Föreningar
Behandlar ni personuppgifter i er förening, till exempel uppgifter om era medlemmar i ett medlemsregister? Då måste ni följa dataskyddsförordningen. Dataskyddsförordningen stärker rättigheterna för era medlemmar när det gäller deras personliga integritet.
När gäller dataskyddsförordningen?
Dataskyddsförordningen gäller för helt eller delvis automatiserad (digital) behandling av personuppgifter. Ett exempel på delvis automatiserad behandling är när personuppgifter samlas in manuellt i syfte att senare föras in i ett automatiserat register. Dataskyddsförordningen gäller också för manuell behandling (pappersform) av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register. Vid bedömningen om det är ett sådant register är det av betydelse om informationen är strukturerad så att det med lätthet går att återfinna viss information om en enskild person för senare användning.
Det betyder att om ni har ett register över till exempel era medlemmars uppgifter där det exempelvis framgår vad de heter och var de bor så behandlar ni deras personuppgifter och behöver därför följa dataskyddsförordningen.
Vad är personuppgifter?
Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Exempel på personuppgifter kan vara:
- namn
- adress och e-postadress
- telefonnummer
- personnummer
- foton.
Vad är behandling av personuppgifter?
Behandling av personuppgifter är allt man gör med personuppgifter. Ni behandlar personuppgifter om ni till exempel
- samlar in personuppgifter från medlemmar
- registrerar medlemmar på något sätt
- lagrar personuppgifter någonstans, till exempel i en molntjänst
- lämnar ut personuppgifter till någon.
Känsliga personuppgifter är oftast förbjudna att behandla
Vissa personuppgifter är särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter, utom i undantagsfall, till exempel om medlemmen har gett ett uttryckligt samtycke. Känsliga personuppgifter är sådana som avslöjar:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- sexualliv eller sexuell läggning
- genetiska uppgifter
- biometriska uppgifter som används för att identifiera en fysisk person.
Undantag för vissa föreningar
I vissa föreningar, till exempel politiska partier eller trossamfund, avslöjar själva medlemskapet en känslig personuppgift, som vilken politisk åsikt eller religiös övertygelse medlemmen har. Är ni en förening med ett politiskt, filosofiskt, religiöst eller fackligt syfte? Då kan ni vara undantagna från förbudet. Det innebär att ni då får behandla känsliga personuppgifter utan samtycke inom ramen för er verksamhet, om medlemmar, tidigare medlemmar eller andra personer som ni har regelbunden kontakt med på grund av er förenings syfte. Men om ni vill lämna ut känsliga personuppgifter om till exempel en medlem till någon annan, krävs att medlemmen uttryckligen har samtyckt till detta.
Personuppgifter som rör lagöverträdelser får ni enbart behandla i enlighet med IMY:s föreskrifter om undantag, eller efter ett enskilt beslut om undantag från IMY.
Läs mer om undantag för behandling av personuppgifter som rör lagöverträdelser
Personnummer ska alltid skyddas extra
Personnummer är en extra skyddsvärd personuppgift även om den inte är en känslig personuppgift enligt dataskyddsförordningen. Ni får bara registrera personnummer när det är klart motiverat med hänsyn till
- ändamålet med behandlingen (ert syfte med att registrera personnummer ska klart motivera registreringen)
- vikten av en säker identifiering (ni måste registrera personnummer för att kunna identifiera medlemmar på ett säkert sätt)
- något annat beaktansvärt skäl (det finns något annat som klart motiverar registreringen).
Vem ansvarar för att följa lagen – vem är personuppgiftsansvarig?
Personuppgiftsansvarig är normalt den juridiska person som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Många föreningar är juridiska personer, till exempel ekonomiska föreningar, bostadsrättsföreningar och en del ideella föreningar. Om föreningen inte är en juridisk person är det vanligtvis styrelsen som är personuppgiftsansvarig. Då ansvarar alltså styrelsen för att föreningen behandlar personuppgifterna på ett sätt som stämmer överens med dataskyddsförordningen.
Ibland kan flera juridiska personer vara inblandade i behandlingen av samma personuppgifter, som en riksorganisation, ett regionalt förbund och en lokal förening. De kan då antingen bli ansvariga för olika delar av personuppgiftsbehandlingen eller gemensamt ansvariga för den som helhet, beroende vem som bestämmer över behandlingen.
För att skydda medlemmarnas integritet på bästa sätt är det viktigt att ni redan från början har klart för er vem som är personuppgiftsansvarig och därmed har ansvaret för att ni följer reglerna i lagen. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig.
Ni behöver en rättslig grund för att behandla personuppgifter
För att få behandla personuppgifter måste ni alltid ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. Ni kan till exempel använda den rättsliga grunden avtal om personuppgiftsbehandlingen är nödvändig för att ni ska kunna uppfylla avtal om medlemskap med era medlemmar. Andra rättsliga grunder kan vara samtycke eller en så kallad intresseavvägning.
Avtal
En förening behandlar vanligtvis uppgifter om medlemmar för att kunna uppfylla avtalet om medlemskap med medlemmarna. Det är viktigt att se till att då bara behandla personuppgifter som är nödvändiga för att uppfylla avtalet, till exempel för att administrera medlemskapet. Ni måste alltså titta närmare på det avtal som ni har ingått med medlemmen, för att bedöma om de ändamål som personuppgifterna behandlas för är nödvändiga för att uppfylla avtalet. Om ni går utanför det som är nödvändigt behöver ni en annan rättslig grund för den personuppgiftsbehandlingen.
Annan rättslig grund än avtal
ExempelRäcker det att ni behandlar uppgifter om namn, telefonnummer, förtroendeposter och deltagande i föreningens aktiviteter för att ni ska uppfylla medlemsavtalet med era medlemmar?
Ni kan behöva någon annan rättslig grund än avtal om ni till exempel vill kunna publicera foton på era medlemmar på föreningens webbplats, eller lämna ut medlemsregistret till någon utanför föreningen.
Samtycke
Ni kan fråga era medlemmar om ni får behandla deras personuppgifter. Det kallas för att få personernas samtycke. Det är då viktigt att medlemmen får tydlig information om vilka uppgifter ni samlar in och vad de ska användas till, för att kunna godta behandlingen.
Dataskyddsförordningen ställer särskilda krav på samtycket, bland annat att
- samtycket är frivilligt och specifikt
- den registrerade har fått information om personuppgiftsbehandlingen innan hen lämnar samtycket
- den registrerade lämnar samtycket genom ett uttalande eller en tydlig bekräftande handling.
Ni som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att medlemmen har lämnat ett giltigt samtycke. Medlemmen har dessutom rätt att när som helst återkalla sitt samtycke.
Det är två olika saker att acceptera avtalsvillkor och att lämna sitt samtycke till behandling av personuppgifter. Att i de avtalsvillkor som gäller för medlemsavtalet räkna upp ett antal behandlingar av medlemmens personuppgifter, som inte är nödvändiga för att fullgöra själva medlemsavtalet, innebär inte att medlemmen har samtyckt till de behandlingar som räknas upp. För att ett samtycke ska vara giltigt måste medlemmen aktivt ha samtyckt till varje sådan behandling.
Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen, eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter.
Läs mer om behandling av personuppgifter om barn
Intresseavvägning
Det är också möjligt att behandla personuppgifter efter en intresseavvägning. Det krävs då att personuppgiftsbehandlingen är nödvändig för berättigade intressen, och att medlemmens intresse av skydd för sina personuppgifter inte väger tyngre. Om en medlem invänder mot en pågående personuppgiftsbehandling måste ni göra en ny intresseavvägning och sluta behandla personuppgifterna om det inte finns tvingande berättigade skäl. Om en medlem invänder mot att ni använder personuppgifterna för direkt marknadsföring måste ni alltid sluta behandla personuppgifterna för sådana ändamål.