GDPR i näringslivet
Behandla personuppgifter i föreningar
Att behandla personuppgifter i föreningar är vanligt förekommande. Exempelvis behandlar föreningar personuppgifter i medlemsregistret. Alla företag, organisationer och offentliga organ som behandlar personuppgifter måste följa GDPR, vilket även inkluderar föreningar.
Föreningar
GDPR bidrar till att förstärka de rättigheter individer har gällande deras personliga integritet. Det spelar ingen roll om det är en ideell förening eller en ekonomisk förening. Det finns också många föreningar som behandlar personuppgifter om barn, såsom idrottsföreningar, och då är det viktigt att känna till att reglerna är striktare.
Att behandla personuppgifter i föreningar i enlighet med GDPR
De flesta föreningar behandlar personuppgifter för att kunna bedriva sin verksamhet. Föreningen är i sådana fall personuppgiftsansvarig, eftersom det är föreningen som bestämmer hur och varför personuppgifterna ska bli behandlade. Därför måste föreningen se till att följa GDPR, som står för EU:s allmänna dataskyddsförordning.
Dessutom kan två föreningar vara gemensamt personuppgiftsansvariga. Vidare kan en förening anlita personuppgiftsbiträden, exempelvis när de säkerhetskopierar personuppgifter till en molntjänst som erbjuds av en tredjepartsleverantör.
Exempel på när föreningar behandlar personuppgifter
Vid föreningens insamling av personuppgifter, såsom namn och telefonnummer, från föreningens medlemmar.
När föreningen för ett register med information om föreningens medlemmar.
I samband med att föreningen utför en säkerhetskopiering av medlemmarnas personuppgifter till en molntjänst, för att kunna återskapa dem ifall de oavsiktligt eller otillåtet raderas eller ändras.
Behandling av känsliga personuppgifter i föreningar
Känsliga personuppgifter är enligt GDPR extra skyddsvärda personuppgifter som kan vara tillåtna att behandla, men i många fall är det förbjudet att behandla dem. Exempel på känsliga personuppgifter är uppgifter som avslöjar information om en individs medlemskap i fackföreningar, etniska ursprung eller religiösa övertygelse.
Information om en persons medlemskap i en fackförening eller ett trossamfund är därmed en känslig personuppgift, enligt artikel 9 i GDPR. Det är tillåtet att behandla sådana särskilda kategorier av personuppgifter, om det sker med stöd i ett av undantagen som anges i artikel 9 i GDPR. Observera att föreningar som behandlar känsliga personuppgifter måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Dessutom måste behandlingen av sådana särskilda kategorier av personuppgifter ske inom ramen för den berättigade verksamheten som föreningen bedriver.
Är det tillåtet att behandla information om en persons medlemskap i ett religiöst samfund eller ett politiskt parti?
Om en person är medlem i ett religiöst trossamfund, kan självaste medlemskapet i sig avslöja vilken religiös övertygelse medlemmen har. Detta utgör en känslig personuppgift enligt artikel 9, som enligt huvudregeln är förbjuden att behandla. Däremot finns ett undantag som trossamfundet kan tillämpa i detta fall, det så kallade medlemsundantaget. Motsvarande gäller även för politiska partier, eftersom medlemskapet i det politiska partiet avslöjar information om medlemmens politiska åsikter.
Enligt medlemsundantaget i artikel 9(2)(d) i GDPR, framgår att det är tillåtet att behandla personuppgifter om medlemskapet, om behandlingen:
- Enbart rör aktiva medlemmar, eller tidigare medlemmar eller andra personer som på grund av organisationens ändamål har regelbunden kontakt med organisationen; och
- Personuppgifterna enbart blir utlämnade utanför organisationen eller till en annan medlem med stöd i den registrerades aktiva samtycke.
Europadomstolens dom om behandling av personuppgifter i samband med dörrknackning utförd av religiöst samfund
I Finland och Europadomstolen har rättsliga prövningar genomförts avseende den insamling av personuppgifter och de namnlistor som upprättas av det religiösa trossamfundet Jehovas vittnen vid hembesök.
Namnlistorna som Jehovas vittnen upprättar vid dörrknackning i samband med sitt predikoarbete, kan innehålla namn, adresser och information om den religiösa övertygelse tillhörande individen de har besökt inom sin dörrknackningsverksamhet. Registreringen av informationen i namnlistorna inträffade ofta utan den registrerades vetskap. Europadomstolen har betonat att det är viktigt att personuppgifterna bli insamlade på ett lagligt sätt, samt att personers rätt till privatliv respekteras.
I Finland har den Högsta förvaltningsdomstolen (HFD) genom en dom beslutat att Jehovas vittnen måste inhämta samtycke från de registrerade individerna, för att upprätta och använda sådana namnlistor. Domen innebär i praktiken att GDPR även gäller för religiösa samfund i Finland, när de behandlar personuppgifter.
Vad är en lämplig rättslig grund att använda som stöd för föreningens behandling av medlemmarnas personuppgifter?
Som ovan nämnt, måste alla företag, organisationer och offentliga organ följa GDPR. Detta innebär bland annat att varje enskild behandling av personuppgifter måste ha stöd i en rättslig grund för att vara laglig. Om en behandling sker utan stöd i en av de rättsliga grunderna i GDPR, är behandlingen olaglig.
Det finns totalt sex (6) rättsliga grunder, och dessa framgår i artikel 6 i GDPR. Nedan följer en beskrivning av de fyra (4) rättsliga grunder som är vanligast för föreningar att använda vid behandling av personuppgifter:
Avtal med registrerade
Det är vanligt för föreningar att behöva behandla vissa personuppgifter för att kunna ingå och fullgöra avtalet mellan föreningen och medlemmen. Föreningen får inte behandla fler personuppgifter än nödvändigt för att personen ska kunna bli medlem. Om föreningen vill behandla samma personuppgifter eller/och andra personuppgifter för något annat syfte, behöver föreningen även en rättslig grund för den ytterligare behandlingen.
Rättslig förpliktelse
I vissa fall kan en förening behöva behandla personuppgifter för att någon lag eller förordning kräver det av föreningen. Till exempel kan ekonomiska föreningar i vissa länder behöva föra en medlemsförteckning. Vid sådana fall sker behandlingen av personuppgifterna för att uppfylla en rättslig förpliktelse som åligger föreningen.
Samtycke
En förening kan behandla vissa personuppgifter med stöd av den rättsliga grunden samtycke. Alltså att en medlem aktivt, informerat, otvetydigt, specifikt och frivilligt godkänner att föreningen behandlar dennes personuppgifter för ett specifikt och angivet syfte. Om den rättsliga grunden är samtycke, är det inte tillåtet att inkludera det i avtalsvillkoren som innebär att medlemmen måste lämna sitt samtycke för att kunna acceptera avtalsvillkoren. Det finns nämligen tydliga regler för hur ett giltigt samtycke lämnas.
Berättigat intresse
Föreningar kan ha ett berättigat intresse av att behandla vissa av medlemmarnas personuppgifter. Till exempel om det är nödvändigt att ha kamerabevakning i en lokal som tillhör en ekonomisk förening och innehåller värdesaker. Berättigat intresse innebär att den personuppgiftsansvarige, alltså föreningen, anser att deras intresse väger tyngre än de registrerades rättigheter och friheter. Dock måste behandlingen av personuppgifterna genom kamerabevakning vara nödvändig för att uppnå ändamålet.
Är det tillåtet för en förening att publicera sitt medlemsregister online?
Det är endast tillåtet för en förening att publicera sitt medlemsregister online om det sker med stöd i en rättslig grund enligt GDPR. Exempelvis kan det ske med stöd i samtycke från respektive medlem. Däremot är det vanligt förekommande att vissa medlemmar inte vill att deras telefonnummer, adresser eller andra personuppgifter ska bli offentligt tillgängliga på internet.
I de flesta fall krävs det att föreningens medlemmar först aktivt och frivilligt samtycker till att deras personuppgifter kan bli publicerade online på internet. Vid sådana fall behöver föreningen först fråga om tillåtelse att genomföra sådan publicering. Även om en annan rättslig grund kan vara tillämplig för föreningen att publicera sitt medlemsregister online, är det rekommenderat att först begära medlemmarnas tillåtelse. Om personuppgifterna avser barn, behöver samtycket lämnas av barnets vårdnadshavare, även om barnet har lämnat sitt samtycke.
Får en förening via e-post skicka ut sitt medlemsregister till andra medlemmar eller personer?
Om föreningen skickar ut sitt medlemsregister via e-post, är det fråga om en delning av personuppgifter vilket utgör en behandling. Sådan behandling måste ske med stöd i en rättslig grund i GDPR för att vara tillåten och laglig. Till exempel kan det ske med stöd i medlemmarnas samtycke.
Däremot är det viktigt att tänka på att det kan finnas vissa medlemmar som av olika anledningar inte vill att deras personuppgifter ska spridas till andra medlemmar eller personer via e-post. Exempelvis kan en medlem ha ett hemligt telefonnummer eller en skyddad bostadsadress.
Är en förening skyldigt att utlämna information om en medlem till en annan medlem?
Om föreningen inte omfattas av en lagstiftning som kräver att förteckningen av medlemmarna ska finnas tillgänglig för de som vill ta del av den, behöver inte föreningen lämna ut sitt medlemsregister. Däremot har en medlem alltid rätt att få en kopia av dennes egna personuppgifter som föreningen behandlar, men inte om andra medlemmar eller personer. Denna rättighet följer av den registrerades rätt till tillgång enligt artikel 15 i GDPR.
Mer information om GDPR
Behandla personuppgifter i skolor och förskolor
Behandling av personuppgifter i skolor och förskolor sker regelbundet. Exempelvis i samband med digital undervisning, närvarolistor, betygsunderlag och personliga utvecklingsplaner. Det är skolan eller förskolan i sig som innehar rollen som personuppgiftsansvarig enligt GDPR, inte rektorn, lärarna eller annan personal. Däremot är det viktigt att personalen följer GDPR i praktiken vid behandling av elevernas personuppgifter. Personuppgifter om barn är särskilt skyddsvärda enligt GDPR.