För registeransvariga

Som ni troligtvis redan vet så har en ny dataskyddslag -även kallad GDPR- att börjat gälla. Nu har jag försökt sammanfatta lite av det viktigaste vi har att tänka på, riktat till oss som hanterar deltagarlistor och medlemslistor och liknande.

Lagen gäller hur vi ska göra när vi hanterar personuppgifter.
Personuppgifter är information som kan leda till att vi kan identifiera en person. T.ex. namn, personnummer, förnamn+adress, e-postadress, telefonnummer och liknande uppgifter. En personuppgift kan också vara en bild där man kan identifiera vem som visas på bilden. (I redaktionellt material som t.ex. tidningar är det även fortsättningsvis fritt fram med bilder.)

Lagen kan tillåta insamling av personuppgifter under vissa förutsättningar:
-Om personen det gäller ger sitt samtycke skriftligen/via mail/något som kan visas upp i efterhand. För barn under 16 år ska föräldrarna ge sitt samtycke.
Eller
-Om vi samlar in uppgifter för att vi ska kunna fullgöra vår del av ett ”avtal”. T.ex. om någon blir medlem eller ska åka på läger så krävs vissa uppgifter för att de ska kunna åka på lägret, få medlemstidningen etc.

I korthet så gör denna lag att:

1. När ni samlar in personuppgifter; samla inte in mer än ni behöver.
Om ni exv. tar emot anmälningar till en filmkväll så behöver ni veta folks telefonnummer, ifall något går snett och den blir inställd, men deras medborgarskap är ju rätt ointressant.

2. Dela bara personuppgifterna med de som behöver få ta del av dem.
Om ni exv. har ett läger behöver kocken få en allergi-lista men folk från styrelsen som inte är ledare på lägret men bara är nyfikna på vilka som kommer ska inte få se deltagarlistan.

3. Håll listorna inlåsta eller bakom lösenord.

4. Radera i efterhand de personuppgifter ni vet inte kommer att behövas.

5. Om ni sparar personuppgifter: Se till att ha en tydlig skriftlig beskrivning för internt bruk om vilka uppgifter som ska samlas in och varför, vad de ska användas till och länge de ska sparas.

6. När du samlar in personuppgifter så ska du informera om varför du gör det, vad de ska användas till, hur de sparas och hur länge. Berätta också om att de har rätt att begära utdrag korrigering och radering av uppgifterna, och att DI bestämmer. Berätta vem som ska ta hand om registret, och hänvisa eventuellt till delar av texten på SUKs hemsida om GDPR. Här får man ha någon typ av rimlighetsbedömning; hur mycket information får plats? Ibland får man helt enkelt hänvisa till en plats där informationen finns samlad.

7. Vill någon bli struken ur registret/listan så ska den få bli det -OM det inte hindrar oss att genomföra det vi lovat att genomföra. T.ex. om vi behöver ett bidrag från Bilda för att kunna genomföra lägret och lovat Bilda att efteråt lämna in en lista med namn och personnummer, så kan inte en deltagare kräva att vi stryker dennes personnummer -innan redovisningen är gjord.

8. Det är ok att fotografera, men det är inte alltid ok att använda fotot var som helst. Om en person på bilden kan identifieras (t.ex. om någon annan än den fotograferade också känner igen personen på bilden) ska man alltid be om lov att publicera fotot i kommersiella sammanhang. Som redaktionsmaterial får bilderna användas av media, så länge bilderna är relaterade till artikelns ämne. I samband med anmälan till evenemanget kan man informera om fotograferingen, bildernas eventuella användningsändamål samt be om skriftligt samtycke till mer omfattande användning av bilderna.

Mer utförligt kan ni läsa om detta på Datainspektionens hemsida:
www.datainspektionen.se

Vänliga hälsningar
Åsa Hulthén, administratör SUK