GDPR-ordlista för företrädare

För att förstå dataskyddsförordningen (GDPR) behöver du känna till några begrepp och roller. Länkarna nedan går till datainspektionen.se och är hänvisningar till lagtexten.

Dataskyddsförordningen eller GDPR

Förkortningen GDPR står för General Data Protection Regulation. På svenska heter det dataskyddsförordningen. GDPR är en EU-förordning som börjar gälla samtidigt i alla EU:s länder.

GDPR gäller alla personuppgifter man innehar 25 maj 2018 och alla personuppgifter som samlas in från och med den 25 maj 2018 och framåt. GDPR ersätter Personuppgiftslagen PUL.

Datainspektionens förklaring till dataskyddsförordningen

Datainspektionen byter namn

Det kan vara bra att veta att Datainspektionen under 2018 byter namn. Datainspektionen är idag tillsynsmyndighet för PUL och från 25 maj för dataskyddsförordningen (GDPR). Det är inte bestämt om det nya namnet blir Integritetsskyddsmyndigheten eller Dataskyddsmyndigheten.

Dataskyddsombud

Det är obligatoriskt för alla personuppgiftsansvariga som hanterar känsliga uppgifter och/eller stora mängder personuppgifter att utse ett dataskyddsombud (DSO) till den 25 maj 2018. Eftersom fackligt medlemskap är en känslig uppgift måste Ledarna, Ledarnas branschföreningar och Ledarnas klubbar utse dataskyddsombud, artikel 37.

Dataskyddsombudet ska ha en självständig ställning inom organisationen och vara någon som har de registrerades bästa för ögonen. Hen ska vara en slags internrevisor som stöttar, ger råd och övervakar att vi följer dataskyddsförordningen. Dataskyddsombudet ska också samarbeta med Datainspektionen, artikel 38 och artikel 39.

Föreningar och klubbar kan anlita Ledarnas dataskyddsombud utan kostnad. Ledarna rekryterar just nu en person till tjänsten som dataskyddsombud.

Genom att utse Ledarnas dataskyddsombud förbinder sig föreningen/klubben att möjliggöra för denne att fullgöra sitt uppdrag.

Gallring och gallringstider

Man ska inte spara eller behandla uppgifter som man inte längre behöver eller har rätt att använda, artikel 17. För att kunna hålla reda på det ställer dataskyddsförordningen (GDPR) krav på att man har kontroll på vilka uppgifter man behandlar, med vilken laglig grund man gör det och rutiner för registervård som gör att man rensar och slänger sådant som man inte ska ha kvar. Ledarna utreder frågan om vilka uppgifter som kan sparas respektive ska gallras bort och återkommer med mer information.

Medlemsavtal eller avtal om medlemskap

Den överenskommelse som medlemmen ingår med Ledarna när man blir medlem. Enkelt uttryckt att Ledarna ska leverera det som ingår i medlemserbjudandet och att medlemmen ska betala medlemsavgift och följa stadgarna. I samband med detta har vi en skyldighet att lämna utförlig information om hur vi hanterar medlemmarnas personuppgifter. Se artikel 6, 1 b) och artikel 13.

Personuppgifter

All slags information som antingen direkt eller indirekt (via annan information) identifierar en fysisk person, till exempel namn, IP-adress, fotografier, ljudfiler, beteenden, preferenser, löneuppgifter och uppgifter om utbildning, se artikel 4, definitioner.

Känsliga eller särskilda kategorier av personuppgifter

Till exempel facklig tillhörighet, politisk uppfattning, sexuell läggning eller hälsotillstånd, se artikel 9.

Det är förbjudet att behandla känsliga personuppgifter om man inte uppfyller både något av kriterierna i artikel 6 och i artikel 9. Eftersom en fackförening behandlar känsliga personuppgifter måste vi vara extra varsamma och mycket noga med att alla kriterier för att göra det är uppfyllda.

Personuppgiftsbehandling

Det vi gör med personuppgifterna, till exempel att samla in och på olika sätt använda uppgifterna eller lämna ut dem till utomstående. Behandling är även passiva åtgärder som att lagra personuppgifter i IT-system, se artikel 4, definitioner.

Om man vill behandla personuppgifter måste det finnas en laglig grund för att göra det. En laglig grund kan vara ett avtal om medlemskap eller samtycke (artikel 6). Att behandla känsliga personuppgifter, till exempel fackligt medlemskap, är förbjudet om man inte kan uppfylla de krav som finns i artikel 9.

De som behandlar personuppgifter kan i Ledarnas fall vara till exempel anställda, förtroendevalda i förening, företrädare, konsulter, andra leverantörer och samarbetspartners.

Personuppgiftsansvarig

En fysisk eller juridisk person som bestämmer över behandlingen av personuppgifter, se artikel 4, definitioner. Oftast är det en juridisk person, alltså ett företag eller en organisation, som har personuppgiftsansvar. Det är personerna som företräder den juridiska personen som ska se till att reglerna följs, se artikel 5. Ansvaret riktar sig dels gentemot den person vars uppgifter man behandlar, dels gentemot Datainspektionen, artikel 24 och artikel 31.

I Ledarnas fall har förbundet Ledarna – Sveriges chefsorganisation, branschföreningarna och klubbarna till stor del ett gemensamt personuppgiftsansvar. Vi ska tillsammans säkerställa att vi bedriver bästa möjliga verksamhet samtidigt som vi skyddar de registrerades rättigheter på det sätt som dataskyddsförordningen föreskriver, artikel 26.

Personuppgiftsbiträde

Ett företag eller organisation som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige och för dennes räkning, till exempel en tjänsteleverantör som inom ramen för sin leverans får tillgång till personuppgifter. Den personuppgiftsansvariga organisationen ska ha personuppgiftsbiträdesavtal (PUB-avtal) med personuppgiftsbiträdet artikel 4, definitioner och artikel 28.

Registrerad

Är den person vars personuppgifter vi behandlar. I Ledarnas fall kan det vara en medlem eller en person som inte är medlem.

Samtycke

Är en av flera lagliga grunder för att få behandla personuppgifter. Samtycke lämnas för ett specifikt ändamål, till exempel en anmälan till en specifik aktivitet, se artikel 4, definitioner. Och personuppgifterna får inte användas för något annat ändamål, artikel 5, 1 b). Den som lämnat samtycket kan också återkalla det och då får personuppgifterna inte användas, se artikel 7.

Ledarnas ambition är att så långt det är möjligt använda medlemsavtalet som rättlig grund när vi behandlar medlemmarnas personuppgifter och att bara använda samtycke när det är nödvändigt. Det kommer att göra det enklare både för medlemmarna och för oss.

Strukturerad och ostrukturerad data

Strukturerad data är uppgifter som är ordnade och sorterade enligt en struktur och därmed lättare att söka och hitta i än sådant som inte är strukturerat. Ostrukturerad data är sådant som inte ordnats eller sorterat.

I PUL omfattades inte ostrukturerad data. Men det gör den i dataskyddsförordningen (GDPR). Det innebär att man kommer att behöva följa lagens regler även för till exempel e-post och texter på webb.

Dataskyddsförordningen är teknikneutral och gäller därför även hantering av personuppgifter i form av till exempel pappersdokument eller lokalt lagrade Word- och Excel-filer. Se artikel 4, definitioner, särskilt "personuppgifter", "behandling" och ”register”.

Rättslig grund och laglig grund

Man får inte behandla personuppgifter om man inte har rättslig grund för att göra det. Den rättsliga grunden finns i kriterierna i artikel 6 i dataskyddsförordningen (GDPR). För att få behandla känsliga uppgifter måste dessutom man uppfylla något av kriterierna i artikel 9. I det register om man ska föra över sina personuppgiftsbehandlingar ska man uppge vilken rättlig grund man har för varje behandling, artikel 30.

Frågor och svar om dataskyddsförordningen

Tillbaka till sidan dataskyddsförordningen – vad du som företrädare behöver veta