Dataskyddsreformen

08.02.2018 kl. 11:48
SFV har samlat en kortfattad information om det viktigaste små föreningar bör veta om ändringarna i dataskydds-lagen som en följd av EU:s allmänna dataskyddsförord-ning GDPR. Den träder i kraft den 25 maj 2018

GDPR – EU:s dataskyddsreform

 

GDPR eller General Data Protection Regulation är EU:s nya allmänna dataskyddsförordning.

Förordningen antogs 2016 och träder i kraft i hela EU den 25 maj 2018 och ersätter nationell register- och personuppgiftslagstiftning.

De nya reglerna medför förändringar som också påverkar föreningar. Dataskyddsförordningen kommer att medföra utmaningar för föreningsfältet i Finland. Alla föreningar är skyldiga att upprätthålla medlemsregister och berörs därför direkt av reformen. Föreningar som endast har organisationer som medlemmar berörs inte beträffande medlemsregistret, men behandlar givetvis i andra sammanhang personuppgifter.

GDPR är en omfattande och komplicerad helhet och det är viktigt att åtminstone i huvuddrag sätta sig in i reglerna.

 

BAKGRUND 

Data i olika former och särskilt data som gäller enskilda personer är framtidens guld eller olja. Med exakta uppgifter om individer; intressen, personlighet, hälsotillstånd och så vidare, är det möjligt att utveckla och skräddarsy nya produkter och tjänster. Idag är det självklart att mobiltelefoner, bilar, tv-apparater och datorer ständigt är uppkopplade och registrerar information om hur de används. I framtiden väntas alltfler om inte de flesta tekniska apparater, allt från brödrostar till kylskåp, producera data om hur de används. 

GDPR är ett försök att reglera hur data som gäller enskilda individer får behandlas inom EU. Förordningen syftar till att införa ett nytt tänkande där en central idé är att säkerställa den enskilda individens möjlighet till kontroll över sina egna personuppgifter. För organisationer som hanterar personuppgifter räcker det inte längre att passivt följa regler utan de måste nu aktivt kunna påvisa att de uppfyller reglerna. Juridiskt sett är det frågan om ett paradigmskifte. Artikel 5 slår fast att ”den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs”. De nya reglerna ger också de övervakande myndigheterna möjlighet till administrativa sanktionsavgifter. För allvarliga överträdelser kan företag påföras avgifter på upp till 4 procent av den globala omsättningen, för övriga kan avgiften vara upp till 20 000 000 €. 
 

BERÄTTIGADE ÄNDAMÅL

I förordningen stadgas att behandling av personuppgifter är laglig endast om och i den mån som minst ett av de villkor som uttryckligen nämns uppfylls. Av de berättigade ändamål som nämns är några omedelbart relevanta för föreningar. För det första sägs att behandling är laglig i fall den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den personuppgiftsansvarige. Föreningslagen förutsätter att alla föreningar upprätthåller en förteckning över sina medlemmar. Ett annat alternativ är regeln att behandlingen är laglig om den registrerade har lämnat sitt samtycke till behandling för ett eller flera specifika ändamål. Samtycket skall dock kunna påvisas av den som behandlar personuppgifterna och det kan under den här regeln när som helst återtas. Att hantera samtycke kan i praktiken vara arbetsdrygt för en mindre förening. Det tredje alternativet är den allmänna regeln att behandling är laglig i fall den är nödvändig för ändamål som berör den personuppgiftsansvariges berättigade intressen. Det här begreppet definieras inte närmare och det är alltså upp till den som behandlar uppgifterna att visa att behovet av behandlingen väger tyngre än den registrerades rättigheter. För föreningar lönar det sig alltså att se till att behandlingen så långt som möjligt grundar sig på regeln om rättsliga förpliktelser. 


PRINCIPER

Förordningen anger en uppsättning principer som alltid skall iakttas då personuppgifter behandlas. Det är inte möjligt att utförligt behandla de olika principer som förordningen anger för behandlingen av personuppgifter i denna korta artikel. Den övergripande tanken är ändå att behandlingen skall bygga på tydliga behov, att uppgifter endast får användas för det syfte de har samlats in för, att inga onödiga eller alltför omfattande uppgifter får samlas in, att uppgifterna inte får behandlas under längre tid än de behövs för och att dataskyddet skall vara tillräckligt starkt.  

 

RÄTTIGHETER

De nya bestämmelserna anger att den registrerade har en uppsättning rättigheter. Som med principerna är det inte möjligt att gå igenom rättigheterna i detalj. Den registrerade har bland annat rätt till tillgång, rätt till rättelse och rätt till radering under vissa förutsättningar.

 

GDPR och Dataskyddslagen 

I Finland kommer också en ny lag att stiftas för att komplettera själva dataskyddsförordningen. Ett arbetsgruppsförslag till dataskyddslag har publicerats i juni 2017. I utkastet finns följande paragraf, som, i fall riksdagen stiftar lagen, kommer att vara av stor betydelse för föreningar: ”personuppgifter [får] behandlas om det är fråga om uppgifter som beskriver en persons ställning, uppgifter eller skötseln av dessa uppgifter inom [...], organisationsverksamhet eller annan motsvarande verksamhet i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen är proportionell mot det legitima mål som eftersträvas[...]”.

 

MER INFORMATION

Mer information, bland annat om principerna för behandling och om den registrerades rättigheter och tips på hur en förening kan förbereda sig på reformen finns här på Föreningsresrsen under Administration och underrubriken Dataskydd.

 

Sebastian Gripenberg