GDPR – EU:s dataskyddsreform

08.05.2018 kl. 12:17
GDPR eller General Data Protection Regulation är EU:s nya allmänna dataskyddsförordning.
Förordningen antogs 2016 och träder i kraft i hela EU den 25 maj 2018 och ersätter nationell register- och personuppgiftslagstiftning.

De nya reglerna medför förändringar som också påverkar föreningar. Dataskyddsförordningen kommer att medföra utmaningar för föreningsfältet i Finland. Alla föreningar är skyldiga att upprätthålla medlemsregister och berörs därför direkt av reformen.

 

BAKGRUND 

Data i olika former och särskilt data som gäller enskilda personer är framtidens guld eller olja. Med exakta uppgifter om individer; intressen, personlighet, hälsotillstånd och så vidare, är det möjligt att utveckla och skräddarsy nya produkter och tjänster. Idag är det självklart att mobiltelefoner, bilar, tv-apparater och datorer ständigt är uppkopplade och registrerar information om hur de används. I framtiden väntas alltfler om inte de flesta tekniska apparater, allt från brödrostar till kylskåp, producera data om hur de används. 

 

GDPR är ett försök att reglera hur data som gäller enskilda individer får behandlas inom EU. Förordningen syftar till att införa ett nytt tänkande där en central idé är att säkerställa den enskilda individens möjlighet till kontroll över sina egna personuppgifter. För organisationer som hanterar personuppgifter räcker det inte längre att passivt följa regler utan de måste nu aktivt kunna påvisa att de uppfyller reglerna. Juridiskt sett är det frågan om ett paradigmskifte. Artikel 5 slår fast att ”den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs”. De nya reglerna ger också de övervakande myndigheterna möjlighet till administrativa sanktionsavgifter. För allvarliga överträdelser kan företag påföras avgifter på upp till 4 procent av den globala omsättningen, för övriga kan avgiften vara upp till 20 000 000 €. 

 

BERÄTTIGADE ÄNDAMÅL

I förordningen stadgas att behandling av personuppgifter är laglig endast om och i den mån som minst ett av de villkor som uttryckligen nämns i lagen uppfylls (artikel 6). Av de berättigade ändamål som nämns är några omedelbart relevanta för föreningar. För det första sägs att behandling är laglig i fall den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den personuppgiftsansvarige. Föreningslagen förutsätter att alla föreningar upprätthåller en förteckning över sina medlemmar. Ett annat alternativ är regeln att behandlingen är laglig om den registrerade har lämnat sitt samtycke till behandling för ett eller flera specifika ändamål. Samtycket skall dock kunna påvisas av den som behandlar personuppgifterna och det kan under den här regeln när som helst återtas. Att hantera samtycke kan i praktiken vara arbetsdrygt för en mindre förening. Det tredje alternativet är den allmänna regeln att behandling är laglig i fall den är nödvändig för ändamål som berör den personuppgiftsansvariges berättigade intressen. Det här begreppet definieras inte närmare och det är alltså upp till den som behandlar uppgifterna att visa att behovet av behandlingen väger tyngre än den registrerades rättigheter. För föreningar lönar det sig alltså att se till att behandlingen så långt som möjligt grundar sig på regeln om rättsliga förpliktelser eller berättigade intressen.

 

PRINCIPER

Förordningen anger en uppsättning principer som alltid skall iakttas då personuppgifter behandlas. Det är inte möjligt att utförligt behandla de olika principer som förordningen anger för behandlingen av personuppgifter i denna korta artikel. Den övergripande tanken är ändå att behandlingen skall bygga på tydliga behov, att uppgifter endast får användas för det syfte de har samlats in för, att inga onödiga eller alltför omfattande uppgifter får samlas in, att uppgifterna inte får behandlas under längre tid än de behövs för och att dataskyddet skall vara tillräckligt starkt.  

 

 

RÄTTIGHETER

De nya bestämmelserna anger att den registrerade har en uppsättning rättigheter. Som med principerna är det inte möjligt att gå igenom rättigheterna i detalj. Den registrerade har bland annat rätt till tillgång, rätt till rättelse och rätt till radering under vissa förutsättningar. Bland rättigheterna gäller det för föreningar att notera artikel 13 som nämner information som den personuppgiftsansvariga måste ge till den registrerade i samband med att man tar emot personuppgifter. SFV har lagt ut en enkel guide till artikel 13 på Föreningsresursen. 

 

MER INFORMATION

Mer information, bland annat om principerna för behandling och om den registrerades rättigheter och tips på hur en förening kan förbereda sig på reformen finns på www.foreningsresursen.fi.

 

Sebastian Gripenberg