17.1 Dataskyddsreform på kommande i maj

Kort sammanfattning över EU:s nya dataskyddsförordning – 25 maj 2018

EU:s nya dataskyddsförordning har utarbetats för att ge människor möjlighet att veta vilka och skydda de uppgifter som samlas in om dem. De nya direktiven träder i kraft den 25 maj 2018 och det betyder att förordningen då ersätter den gamla personuppgiftslagen. Datadirektivet gäller uttryckligen föreningar, organisationer och företag och inte privatpersoners listor över föräldrarna i klassen eller vem man skickar julkort till. Notera att den här texten inte på något sätt är juridiskt uttömmande utan närmast reflektioner kring vad ändringen kan innebära för en föräldraförening.

Den nya dataskyddsförordningen har författats med tanke på stora multinationella bolag vars handelsvara är folks personuppgifter. Tanken är inte att sätta dit ideella föreningar och kräva ohemula insatser från deras sida. En EU-förordning berör ändå både små och stora och därför är det viktigt att också i en liten förening stanna upp kring frågan om personregister och reflektera över hurdana rutinerna skall vara i vår förening.

Vad kommer det här att innebära för föreningar?
Alla organisationer som handskas med personuppgifter skall se över sina nuvarande personregister, fundera på vad som skall hållas kvar och för vilket syfte man behöver dem till. Som ett register räknas något så enkelt som en Exel-tabell, ett handskrivet papper, bilder med personers namn, trots att det saknas personsignum och annan känslig information.

Det är viktigt att också i en mindre förening ta ett formellt protokollfört beslut i föreningens styrelse över vilka register man behöver i framtiden, vem som ansvarar för dem och hur man sköter dem på korrekt sätt. Det är viktigt att dokumentera de här frågorna.

Den centrala ändringen är att samfund i framtiden är skyldiga att kunna påvisa att de uppfyller bestämmelserna i EU-förordningen. I registerbeskrivningen skall föreningen presentera vad tanken med registret är och hur det sköts.

Register behövs också i framtiden!
Det finns flera grunder för att kunna ha register, för föreningar är den mest väsentliga grunden skyldigheten att uppfylla en rättslig förpliktelse. Föreningslagen förutsätter att varje förening har ett medlemsregister.

I en förening är det motiverat att spara uppgifter om föreningens historia, t.ex. styrelsens sammansättning från tidigare år. Det har kan ses som ett berättigat intresse då man kanske i framtiden vill sammanställa en matrikel eller historik över sin verksamhet.

Ett annat sätt att samla in personuppgifter är via samtycke. Man kan också samla in personuppgifter genom att personer samtycker att var med i registret. Som ett juridiskt begrepp är det knepigare då man mycket klart måste klargöra vad personen samtycker till och det skall också vara möjligt att återta samtycke. Samtycke är en aktiva handling, alltså man kruxar för att man samtycker, det räcker inte att man kruxar i en ruta ifall man INTE samtycker, som man ofta gjorde tidigare. I teorin kan en privatperson kräva att få veta i vilka sammanhang ens uppgifter kommer fram i förenings register och be att få raderas ifrån dem. En förening skall då hörsamma önskemålet.

En viktig fråga är också om och hur man ger sina register vidare till en tredje part. Där gäller det då man ger sitt register vidare till någon som vill marknadsföra sina produkter eller som man kanske köper tjänster av. Det lättaste alternativet är att inte ge ut registret utan att t.ex. göra alla utskick själva. Då det gäller utskick per e-post så finns den behändiga funktionen att dölja mottagarna så att andras e-postadresser inte syns. Ifall man ger en uppgift vidare till en utomstående så borde man ha samtycke av alla som ingår i registret. Då man ger uppgiften vidare till en tredje part så skall man sluta ett avtal där man kommer överens om att den utomstående behandlar uppgifterna på ett korrekt sätt.

Mer information om dataskyddreformen hittas här:
Till föreningsresursens artikel om dataskyddsreformen.
Till webbplatsen foreningsresursen.fi