GDPR, lite information

OBS! Denna information är lämnad utan ansvar för att vara heltäckande eller korrekt i just ert fall. GDPR-direktivet kommer att tolkas via rättsfall innan lagen blir helt förutsägbar.

Fiberföreningarna kommer även i fortsättningen att ha rätt att hålla register där personer kan identifieras. För att få göra det kan man i första hand hänvisa till att det är nödvändigt för affärerna, 1. dels via avtal, 2. dels via bokföringslagen, 3. även via lagen om ekonomiska föreningar och 4. rapportskyldighet till myndigheter.

Föreningen skall upprätta en POLICY för datahantering. Denna fastställs av styrelsen och beslutet protokollförs.

Styrelsen fattar beslut om RUTINER för datahantering. Nedan finns ett exempel.

Lagtexten är inte så betungande som man kan tro, de första 31 sidorna beskriver EU:s bevekelsegrunder för lagens tillkomst. Sidorna 32-55 (Artikel 1-36) beskriver vad föreningen/företaget måste följa. Detta är de viktigaste sidorna att läsa och de ger god vägledning. Resterande text innehåller anvisningar för myndigheter, sanktioner och referenser.

(https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=celex%3A32016R0679)

Riksidrottsförbundet har sammanställt en omfattande och god handledning för föreningar hos RF. Denna är i flera stycken overkill för fiberföreningar, men ger en vägledning om hur andra bedömt vilka åtgärder som är aktuella.

(http://www.rf.se/Personuppgifter/utbildningstodochmallar/).

Exempel på rutin.

  1. Vilka personuppgifter har vi?
    1. Ett genererat ID-nummer
    2. Namn
    3. Datum för medlemskap
    4. Datum för utträde ur föreningen ( om applicerbart)
    5. Kontaktinformation (telefon, e-post, postadress)
    6. Vilka anslutningar personen äger
    7. Vad som fakturerats och inbetalats
    8. Andra noteringar
2. Varför har vi dessa uppgifter?
    1. För att kunna fakturera medlemmarna och hålla reda på vem som äger vilka anslutningar.
3. Vem hanterar dessa uppgifter?

Styrelsen beslutar att Kassören är PUA, annan person är enligt styrelsebeslut PUB. Beslutet är protokollfört.

4. Hur säkerställer vi uppgifternas korrekthet?

    1. Kassören meddelas om alla ändrade uppgifter. Denne daterar därefter databasen.
5. Hur korrigerar vi felaktiga uppgifter?
    1. se ovan
6. Hur säkerställer vi uppgifternas aktualitet?
    1. Se ovan
7. Hur säkerställer vi uppgifternas relevans?
    1. Se ovan
8. Hur säkerställer vi uppgifternas lagringssäkerhet?
    1. Databasen består av en skräddarsydd applikation som lagrar datat i EDN-format. Applikationen och datafilerna kan bara nås från kassörens LAN (som är lösenordsskyddat) och är inte tillgängligt över internet. Allt lagras på en RAID-1 server som även den backas upp regelbundet.
    2. All data, både fysisk och digital, förvaras i låsta utrymmen.
9. Kan vi ta fram alla uppgifter om en person om denna begär det?
    1. Ja, kassören kan göra ett utdrag ur databasen som visar all information om en medlem.
10. Kan vi radera en persons uppgifter om denna begär det?
    1. Inte så länge de är medlemmar i föreningen.
11. Kan vi informera andra organisationer om ändringar i de fall personuppgifterna överförts?
    1. vi lämnar inte ut någon information till andra organisationer.
12. Kan vi korrigera eller radera personuppgifter vi fått från andra organisationer?
    1. Vi tar inte emot några uppgifter från andra organisationer.
13. Inhämtar vi samtycke från dem vi samlar in personuppgifter om?
    1. Nej, inte separat. All avtalstext förutsätts ge oss rätt till nödvändig lagring.
14. Kontrollerar vi åldern på personer som lämnar personuppgifter?
    1. Nej, men personen måste vara gammal nog att teckna avtalet.
15. Informerar vi om vad personuppgifterna ska användas till och med vilken rätt de samlats in, liksom vilka rättigheter de registrerade har enligt GDPR?
    1. Nej, det förutsätts framgå av avtal.
16. Lagrar vi data om andra än medlemmar?

Vi har ostrukturerade data om:

    1. Markägare med vilka vi har avtal
    2. Leverantörer
Exempel från annan aktör på information om policy till medlemmar och andra, som kan vara relevant att upplysa om.

Behandling av personuppgifter
Vi registrerar vissa personuppgifter. I samband med avtal med oss godkänner du att vi lagrar och använder dina uppgifter i vår verksamhet för att fullfölja avtalet gentemot dig. Du har enligt Dataskyddsförordningen (GDPR) rätt att få ta del av den information som finns registrerat om dig.

Personuppgiftspolicy
Vi sparar uppgifter om namn, adress, telefonnummer, anslutningsnummer, fastighetsbeteckning. Alla personuppgifter hanteras med sekretess och säljs eller lämnas aldrig vidare, utan används enbart för våra syften enligt lagen om GDPR.

Lagringstiden
Vi spar uppgifterna så länge du är medlem och tre år efter uppsägning innan de raderas. Namn på  fastighetsägare och vilken fastighet det avser, sparas alltid för historisk kontinuitet. Du kan när som helst begära att bli raderad från medlemsregistret, men inte så länge du äger en fastighet med avtal om uppkoppling.

Dina rättigheter
Du har rätt till insyn hur dina personuppgifter behandlas. Vill du veta vilka uppgifter vi har om dig, kontaktar du kassören. Du kan även begära ett utdrag från vårt register, och begära att informationen ska rättas.

Skulle du uppleva att vi inte behandlar dina personuppgifter korrekt har du rätt att vända dig till Datainspektionen för att lämna klagomål. Vänd dig dock till oss i första hand. Det är viktigt att du som medlem känner dig trygg med oss.

 

IDG har gjort en kortfattad sammanställning om vad som är viktigt att tänka på.

I nästan 20 års tid har personuppgiftslagen, PuL, reglerat hur och vem som får hantera personuppgifter. Men den 25 mars pensioneras PuL och ersätts av den nya dataskyddsförordningen, GDPR (General Data Protection Regulation).

GDPR gäller alla företag som har någon form av personregister, till exempel kundregister eller register över den egna personalen.

I praktiken innebär GDPR att personer som finns i ditt företags register har rätt att bli borttagna, vilket ställer en del krav på hur ditt företag hanterar uppgifterna.

Viktigt att känna till med den nya dataskyddsförordningen är att ditt företag måste ha kontroll på hur, var och varför ni behandlar personuppgifter.

Delar du uppgifter med en tredje part, som till exempel en distributör, är du skyldig att att ha koll på vilka filer och uppgifter som tredje parten får ta del av. Den tredje parten ska i sin tur hantera uppgifterna i enlighet med den nya lagen.

De 3 viktigaste delarna i GDPR

1. Dokumentera uppgifter

All behandling av personuppgifter i ditt företaget ska dokumenteras och du måste kunna visa att du uppfyller kraven. Beskriv varför företaget behandlar personuppgifter, hur länge uppgifterna sparas och på vilken laglig grund som uppgifterna behandlas.

2. Informera kunder

Du är skyldig att informera kunder, leverantörer och andra om att ditt företag hanterar personuppgifter. Det kan göras i en övergripande integritetspolicy på ditt företags hemsida. I policyn ska det framgå vilka personuppgifter företaget samlar in, vilket syftet är och hur länge informationen sparas.

3. Säkra rutiner

GDPR ställer krav på att alla företag ska kunna visa att insamlingen av uppgifter har skett lagligt eller genom ett samtycke av uppgiftslämnarna. Alla som registrerats har rätt att få tillgång till sina uppgifter och vid önskemål få uppgifterna flyttade eller raderade.

Frågorna du måste kunna besvara om Datainspektionen kommer

1. Vilka uppgifter hanterar ni?

Dokumentera vilka personuppgifter ditt företag har, hur de samlas in och till vem/vilka uppgifterna lämnas ut.

2. Vilken information lämnar ni?

Granska informationen ditt företag lämnar om de personer som finns registrerade. Det kan handla om hur, varför och till vem/vilka ni skickar reklam eller erbjudanden.

3. Hur hanterar ni de registrerades rättigheter?

Hur gör ditt företag när någon begär att få ändra eller radera sina uppgifter? Kan ni hitta och rätta uppgifterna?

4. Hur säkerställer ni att registreringen är laglig?

Det finns flera grunder för att få registrera personuppgifter. En grund är samtycke, men du kan ha uppgiftsregister baserat på andra grunder, till exempel för att:

  • fullgöra ett avtal
  • fullgöra en laglig förpliktelse
  • fullgöra ett enskilt intresse

5. Vem ansvarar för dataskyddsfrågor?

Bestäm vem i ditt företag som har ansvaret för dataskyddsfrågor så minskar du risken att hanteringen fallerar.

Källor: IDG, Verksamt, Driva Eget.