GDPR

GDPR (General Data Protection Regulation) är den nya dataskyddsförordningen som gäller inom EU. Från och med 25 maj 2018 ersätter den vår tidigare nationella datalagstiftning PUL.

Hantering av personuppgifter

Under den här sidan samlar vi information som kan hjälpa scoutkårens arbete med att säkra upp att hanteringen av personuppgifter sker på rätt sätt för att efterleva GDPR.

Vanliga frågor

GDPR, (eller General Data Protection Regulation) är den europeiska Dataskyddsförordningen som gäller sedan den 25 maj 2018. Lagen har direkt effekt mot alla fysiska och juridiska personer inom EU, men har också införlivats i svensk lag genom Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den tidigare lagstiftningen, Personuppgiftslagen (PuL) har ersatts av Dataskyddsförordningen.

Syftet med GDPR är att stärka skyddet för fysiska personer avseende behandling av deras personuppgifter.

När det gäller samtycke som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.

Under PUL fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för missbruksregeln har tagits bort och även material i ostrukturerad form omfattas av GDPR.

Integritetsskyddsmyndigheten kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Den största påverkan jämfört med nuvarande lagstiftning är att vi som organisation måste definiera tydligare hur och varför vi hanterar personuppgifter. Det här gäller både scoutkårer och Scouterna nationellt. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för verksamheten, och det måste vara tydligt för den vi behandlar uppgifter om att vi gör det, vilka uppgifter vi behandlar och varför.

  1. Genomför en nulägesanalys, hur ser våra processer ut, vilka personuppgifter behandlar vi, i vilka system och register behandlar vi dessa personuppgifter och på vilken laglig grund?
  2. Genomför en riskbedömning, vilken behandling av personuppgifter har störst risk att leda till skador eller kränkningar för individen? Börja arbeta med dessa först.
  3. Sätt en tydlig kravbild för hur vi får behandla personuppgifter genom t.ex. integritetspolicy, instruktioner och rutinbeskrivningar. Exempel på dokumentation som kan behövas ta fram är en instruktion för arkivering/gallring som beskriver hur och när ni ska gallra och rutinbeskrivningar för hur ni ska upptäcka och rapportera en personuppgiftsincident mm.
  4. Implementera rutiner och se över system för att säkerställa att den kravbild ni sätter efterlevs, strukturera arbetet så att ni både internt och för Integritetsskyddsmyndigheten kan påvisa ert arbete. Viktigt att komma ihåg också att utbilda ledare och anställda i hur personuppgifter ska hanteras.
  5. Scouternas kansli har tagit fram exempel på samtyckestexter för t.ex. anmälan till läger och arrangemang. Ni hittar det under ”Hämta mallar” i menyn till vänster.

Personuppgiftsansvarig är den juridiska person som sätter ändamålen för behandlingen av personuppgifter. I vissa fall kan ansvaret vara gemensamt. Exempelvis när det gäller personuppgifter i Scoutnet, kan ansvaret vara gemensamt mellan Scouterna och scoutkåren, beroende på vilken typ av databehandling som avses.

I den mån lokala scoutkårer behandlar personuppgifter i medlemsregister eller från andra källor, utan gemensamt ändamål med Scouterna, blir de enskilt personuppgiftsansvariga för den behandling som utförs. Exempelvis anmälningar för hajker och läger, som ej hanteras i Scoutnet. I de fallen måste scoutkåren se till att uppfylla kraven för databehandling under GDPR.

I dagsläget är det oklart vilken rättslig grund föreningar och organisationer kan ha för arkivering. För statliga myndigheter m fl gäller ex. Arkivlagen vilket gör att de kan stödja sig på den rättsliga grunden rättslig förpliktelse. Någon sådan förpliktelse finns dock ej för föreningar.

Om ni bedömer att ert intresse att lagra uppgifterna är större än den integritetskränkning de innebär kan ni stödja er på den rättsliga grunden berättigat intresse. I en sådan bedömning är det framför allt viktigt att bedöma vilken typ av uppgifter som sparas och i vilka volymer. Det finns i praktiken väldigt få begränsningar kring hur mycket uppgifter ni får spara inom ramen för en sådan bedömning, men berättigat intresse medger inte rätt att behandla känsliga personuppgifter (ex. medicinsk information, fackföreningstillhörighet, religion mfl). Det är främst rätten att behandla sådana uppgifter som arkiv i bred bemärkelse söker rättslig grund att behandla. Dessa uppgifter får annars främst behandlas genom samtycke.

Dataskyddsförordningen gäller för nu levande personer, men för arkiv- och forskningsändamål finns även en rad etiska frågor kring hur avlidnas känsliga personuppgifter ska behandlas.

Enligt en proposition föreslås att Riksarkivet av regeringen ska få ett bemyndigande att utfärda föreskrifter rörande behandling av personuppgifter hos de enskilda arkiv som bedriver arkivverksamhet av allmänt intresse. Riksarkivet bereder fortfarande frågan om hur sådan reglering skulle kunna se ut. Författningsprocessen har bytt skepnad ett antal gånger. Nuvarande författningsförslag som var på remiss under 2022. Det går att läsa med på länken: https://riksarkivet.se/Nyhetsarkiv?item=117646

Scouternas tolkning av förslaget är att Riksarkivets ståndpunkt är att man inte ska behöva något godkännande för att fortsatt bedriva arkiv av allmänt intresse (och därmed luta sig mot den rättsliga grunden allmänt intresse enligt Dataskyddsförordningen).

Tills vidare uppmanar Riksarkivet därmed föreningar, organisationer och enskilda arkivinstitutioner att inte radera eller gallra personuppgifter i sina arkivbestånd.

Gå till www.scoutnet.se eller kontakta din scoutkår.

Det finns ingen klassificering av system som anger att de är ”GDPR-säkra”. Enligt GDPR måste personuppgiftsansvarig tillse att den har en rättslig grund att hantera personuppgifterna och se till att de hanteras på ett betryggande sätt.

I Scoutnet lagras en mängd olika uppgifter. Den största volymen uppgifter avser dock medlemsregistret med nuvarande och vissa tidigare medlemmars medlemsuppgifter. Uppgifter från anmälan till arrangemang i Scoutnet lagras under en begränsad tid och gallras automatiskt.

Scouterna är gemensamt personuppgiftsansvarig med respektive scoutkår och scoutdistrikt för medlemsuppgifter. Enligt GDPR ska gemensamt ansvar regleras i ett inbördes arrangemang, vilket i detta fall görs i Scouternas stadgar. Den rättsliga grunden för hanteringen av medlemsuppgifter är fullgörande av avtal. Avtalet i fråga (medlemskapet) stödjer sig på Scouternas stadgar.

Det finns ett dokument högst upp på denna sida som beskriver hur personuppgifter hanteras i Scoutnet. För information om hur Scouterna hanterar personuppgifter, se https://www.scouterna.se/personuppgiftsbehandling/. Vid medlemsansökan finns en text som beskriver hur uppgifterna hanteras. Hänvisa gärna till informationen om ni delar ut blanketter osv för uppgifter som senare kommer skrivas in i medlemsregistret.

Det är viktigt att inte använda Scoutnets kontaktfält ”kreativt”. Endast den typ av information som är definierad i profilen (telefonnummer, e-post, gatuadress, etc) ska registreras i systemet. Var uppmärksam på att inte lagra känsliga personuppgifter i kontaktfält i Scoutnet.

Logga in på www.scoutnet.se där kan du uppdatera dina uppgifter.

Scoutnet har en funktion för att hantera anmälningar till arrangemang. I dagsläget är den inte fullt anpassad för mindre arrangemang som sker lokalt. Utveckling pågår däremot för att bättre möjliggöra detta. Målet är att Scoutnet ska ha en bra funktionalitet för att stödja administrationen kring lokala arrangemang på ett bra sätt som uppfyller kraven kring GDPR. Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under GDPR som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang. Scoutnets arrangemangsmodul raderar automatiskt information 90 dagar efter avslutning.

Under ”Hämta mallar” i menyn till vänster, finns en mall för inhämtning av samtycke i samband med kårarrangemang, som ni kan utgå ifrån. Kom ihåg att anpassa den för just ert arrangemang.

Notera att hälsouppgifter aldrig får skrivas in i den vanliga medlemsprofilen i Scoutnet.

Alla personuppgifter som hanteras av scoutkåren omfattas av Dataskyddsförordningen (GDPR). Precis som för alla andra personuppgifter krävs en rättslig grund för att hantera dem. När det kommer till bokföringen måste bokföringsunderlag sparas i sju år, vilket gör att ni kan stödja er på den rättsliga grunden rättslig förpliktelse. I de fall ni vill spara bokföringsunderlagen längre än så måste ni använda er av en annan rättslig grund, ex. berättigat intresse.

Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.

Generellt innehåller närvaroförteckningar endast en begränsad mängd personuppgifter, såsom namn, kön och födelsedatum.

Tänk på att inte lagra uppgifterna längre än vad ni behöver. Precis som med alla personuppgifter, se till att gallra så fort ni inte behöver uppgifterna längre. Kontrollera med kommunen hur länge ni måste spara uppgifterna.

I Scoutnet finns sedan 2023 möjlighet att registrera närvaro direkt i systemet. Läs mer om det på vår supportsida på länken: https://support.scouterna.se/support/solutions/articles/75000116102-n%C3%A4rvarohantering.

Ja. Alla personuppgifter omfattas av GDPR och behöver hanteras därefter. I och med GDPR omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. Scoutnet, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.

Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din scoutkårs ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.

Ett förslag är att ni inför en policy i scoutkåren över hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är känsliga personuppgifter, t.ex. personnummer. Dessa måste hanteras med extra försiktighet.

Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av GDPR.

Precis som med övriga personuppgifter måste ni ha rättslig grund för att hantera uppgifterna. De rättsliga grunderna berättigat intresse (intresseavvägning), avtal och samtycke ligger närmast till hands.

För att använda den rättsliga grunden berättigat intresse, behöver ni ge tydlig information på förhand om att:

  • Det kommer att fotograferas och bilderna kommer att användas/publiceras med stöd av den rättsliga grunden ”Intresseavvägning”/”Berättigat intresse”
  • Du har rätt att invända mot fotograferingen/intresseavvägningen på plats och i efterhand

För att använda den rättsliga grunden samtycke behöver ni samla in samtycke från individen i fråga. Det råder viss oenighet kring rättshandlingsförmågan av barn mellan 13-16, men generellt ska samtycket av personer under 16 komma från vårdnadshavare också. Samtycket måste inte vara skriftligt, men bör vara det för er egen skull. Samtycket kan dras tillbaka när som helst, varvid ni måste avpublicera bilden.

För att använda den rättsliga grunden avtal behöver ni formulera överenskommelsen i fråga. Avtalet måste inte vara skriftligt, men bör vara det för er egen skull. I avtalet kan ni formulera villkor för uppsägning, bindningstid o s v.

 

Att publicera innehåll på en webbsida skiljer sig inte ur personuppgiftshanteringssynpunkt från att lagra uppgifterna internt. För individen i fråga innebär ju dock publiceringen ett bedömt större intrång i den personliga integriteten än en intern notering i ex. ett protokoll.

Ni behöver ha rättslig grund för personuppgiftsbehandlingen. Exempelvis kan ni använda den rättsliga grunden berättigat intresse/intresseavvägning. Då stödjer ni behandlingen på att era intressen att informera om vilka som är ledare i verksamheten väger tyngre än individens integritetsintrång. Ett enkelt sätt att göra bedömningen är att fråga individen om det är okej. Om individen invänder måste ni göra om bedömningen. Då är det ofta svårt att motivera intresseavvägningen och ni bör avsluta behandlingen/publiceringen enligt önskemål/invändning.

Ni kan också använda er av den rättsliga grunden samtycke. Tänk på att samtycket kan dras tillbaka när som helst av individen.

Personuppgiftsbehandling ska bygga på frivillighet. Om personen inte vill synas på ex. hemsidan bör ni sträva efter att tillgodose önskemålet.

 

GDPR definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress, en bild.

När det gäller behandling av personuppgifter genom s.k. molntjänster finns det några viktiga saker att tänka på.

En leverantör av en molntjänst är ett s.k. personuppgiftsbiträde. Det vill säga att det är någon som på ert uppdrag behandlar de personuppgifter ni sparar på den molntjänsten. Till exempel kan detta vara en deltagarlista på ett läger eller hajk. Själva lagringen är i sig en form av databehandling. Detta betyder att scoutkåren måste ha ett avtal med den tjänsteleverantören – ett s.k. personuppgiftsbiträdesavtal, som reglerar vilka uppgifter som avses och vad tjänsteleverantören – eller ”personuppgiftsbiträdet” får göra med personuppgifterna.

Ni behöver också säkerställa var uppgifterna lagras någonstans. Om leverantören har sina servrar utanför EU innebär det att era personuppgifter hanteras i ”tredje land” och då är det ert ansvar att se till att den tjänsteleverantören har vad GDPR kallar ”adekvat skyddsnivå”. Många av de stora tjänsteleverantörerna har tagit fram generella allmänna villkor som reglerar detta. Det skulle vara ohållbart för t.ex. Google att ha ett separat personuppgiftsbiträdesavtal med varje företag eller organisation som använder deras tjänster. Kolla vad som gäller för just era tjänsteleverantörer.

Om scoutkåren använder ett system som inte tillhandahålls av Scouterna, ansvarar scoutkåren för att GDPR efterlevs. Det innebär t.ex. att kåren måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.

Om scoutkåren satt ändamålen med behandling av personuppgifter, dvs de bestämmer när och hur personuppgifter får behandlas, är det kåren som ansvarar för att behandlingen uppfyller kraven i GDPR.