GDPR - en allmän beskrivning

Vad är GDPR?

GDPR står för General Data Protection Regulation – eller Dataskyddsförordningen som den heter på svenska - och är en förordning som börjar gälla inom EU:s medlemsstater från den 25 maj 2018. Dataskyddsförordningen kommer att gälla som lag i Sverige och ersätta den befintliga Personuppgiftslagen (PUL). Målsättningen med den nya förordningen är att ge ett modernare dataskydd för individer mer anpassat för den digitala utveckling som skett de senaste åren.

Vilka är de största förändringarna i Dataskyddsförordningen jämfört med Personuppgiftslagen?

  1. De, företag eller organisationer, som behandlar personuppgifter måste vara tydliga med VARFÖR personuppgifter behandlas. Det måste även framgå VILKA personuppgifter som behandlas samt HUR de behandlas. Förordningen omfattar både behandling av information i datasystem och sådan information som hanteras på annat sätt, t.ex. i pappersform.
  2. Man får bara samla in och/eller behandla personuppgifter om man uppfyller kraven i förordningen. I många fall krävs ett samtycke från individen för att behandla personuppgifter. Den nya lagen ställer högre krav för hur samtycken ska behandlas.
  3. Det måste finnas rutiner för hur personuppgifter behandlas. Dataskyddsförordningen ställer bland annat krav på att en organisation ska lämna ut vilka uppgifter som finns lagrade om en person, om detta efterfrågas. Individer ska kunna ha rätt att "bli glömd" dvs få sina uppgifter borttagna. En organisation som behandlar personuppgifter måste vid en incident, då data kan ha läckt ut, anmäla detta till Datainspektionen.
  4. Personuppgifter måste behandlas på ett säkert sätt så att de inte oavsiktligt ändras eller stjäls.
  5. En organisation ska kunna bevisa att man uppfyller kraven i Dataskyddsförordningen.
  6. Om en organisation bryter mot lagen kan mycket höga böter utdömas. Böter kan uppgå till max 20 miljoner Euro eller 4 procent av organisationens årsomsättning.

Hur bör en förening förhålla sig till Dataskyddsförordningen?

Eftersom den nya lagen även omfattar föreningar så måste varje förening säkerställa att den uppfyller kraven. Det är därför viktigt att man sätter sig in i kraven och vad som gäller och sedan genomför ett arbete för att uppfylla dessa.

Vad gör Riksidrottsförbundet (RF)?

RF genomför ett övergripande arbete gällande idrottens anpassning till Dataskyddsförordningen. Detta handlar bland annat om allmän medlemshantering. Man har även tagit fram en så kallad uppförandekod för idrotten avseende hantering av Dataskyddsförordningen. Koden ska säkerställa att idrotten arbetar på samma sätt med frågan och kunna ge exempel på hur persondata ska hanteras. Uppförandekoden kommer att behandlas av Datainspektion, men enligt det förhandsbesked vi fått kommer inte det kunna ske förrän efter den 25 maj 2018. När uppförandekoden finns tillgänglig kommer RF och SvFF att kommunicera den till alla föreningar och den kommer även att finnas tillgänglig på denna sida.

SvFF är representerat i det arbete RF initierat med anledning av införandet Dataskyddsförordningen.

Vad gör SvFF?

Förutom att vi själva jobbar med att anpassa våra system och rutiner för att uppfylla Dataskyddsförordningen så pågår ett arbete med att säkerställa att de system vi tillhandahåller till föreningarna gör det möjligt att uppfylla kraven i förordningen. Till exempel pågår arbete med att göra det enklare i Fogis för en förening att automatiskt gallra personuppgifter som inte längre används. Det kommer även bli lättare att hjälpa en person att "bli glömd" i systemen. Vi kommer att kontinuerligt på olika sätt tillgängliggöra information om vad det innebär och hur det hanteras. SvFF arbetar primärt med det som specifikt berör fotbollsföreningar och de åtgärder de behöver genomföra för att uppfylla kraven i Dataskyddsförordningen.

Länkar till information om Dataskyddsförordningen

Checklista för föreningar

Det finns många sätt att bedriva ett arbete för att uppnå det som krävs i Dataskyddsförordningen. Det här är ett förslag på ett minimum av aktiviteter i en förening för ett sådant arbete.

  • Information till styrelsen
  • Utse en ansvarig person för det GDPR-arbete som föreningen behöver göra
  • Utbildning/information till ansvarig person
  • Ta ställning till om extern hjälp behövs. Många IT-företag och juristfirmor tillhandahåller tjänster inom området
  • Upprätta en plan för GDPR-arbetet
  • Kartlägg all hantering av personuppgifter som används inom föreningen – hur ser stöd ut i olika system för att föreningen ska upprätthålla det GDPR kräver
  • Definiera de rutiner som krävs inom föreningen enligt GDPR
  • Tillse att det finns laglig grund (samtycke eller annat) för att lagra personuppgifter för medlemmar och andra person.
  • Utbilda alla personer som kommer hantera personuppgifter i föreningen.

Frågor & svar

Gäller Dataskyddsförordningen för oss som är en förhållandevis liten förening?

GDPR gäller för i princip alla föreningar som hanterar personuppgifter.

Gäller Dataskyddsförordningen bara för de nya system som kommer att tas in?

GDPR gör ingen skillnad för befintliga respektive nya system.

Gäller Dataskyddsförordningen bara för hantering av information i system?

Nej, GDPR gäller även för t.ex. personuppgifter på papper.

Kan vi förlita oss på att vi blir GDPR-kompatibla om vi använder system som ger stöd för Dataskyddsförordningen?

Nej, det räcker inte eftersom det även ställs krav på hur systemen hanteras och att det finns rutiner för att hantera olika krav som ställs i förordningen.

Kan vi kopiera ett arbete runt GDPR-anpassning från en annan liknande förening?

Det är inte praktiskt möjligt att kopiera rakt av eftersom hantering av personuppgifter skiljer sig från förening till förening. Däremot kan det vara praktiskt att få stöd i hur någon annan förening genomfört arbetet för att bli GDPR-kompatibel.

Kommer SvFF att erbjuda utbildningar om GDPR?

När det gäller allmän information till föreningar om GDPR kommer Riksidrottsförbundet (RF) att ansvara för det. För det som är specifikt för fotbollsföreningar kommer SvFF, from våren 2018, att tillhandahålla utbildning via vår hemsida. Det handlar t.ex. om hur en förening kan få stöd med att hantera registrerade personuppgifter i Fogis.

Måste det finnas samtycken för att få behandla personuppgifter?

Samtycke är ett av flera kriterier som kan krävas för att få behandla personuppgifter. Det kan finnas laglig grund till behandling utan att samtycke finns.

Måste man vara helt klar till den 25 maj?

Förordningen ska börja tillämpas den 25 maj och då kan även de sanktioner som Datainspektionen har till sitt förfogande tillämpas. Eftersom förordningen är komplex kan det bli svårt för en del att bli klara i tid. Viktigt är att göra prioriteringar och börja där det finns störst risker och med det som är viktigast. Det kommer sedan vara en kontinuerlig uppgift att göra hanteringen bättre. Det är viktigt att man hela tiden har en plan för hur förbättringsarbetet ska gå till.