FAQ

Här listar vi svar på de vanligaste frågorna kring dataskyddsförordningen GDPR och hur scoutkårerna ska förhålla sig till den.

Vad är GDPR?

GDPR, (eller General Data Protection Regulation) är den nya dataskyddsförordningen som gäller inom EU. Från och med 25 maj 2018 ersätter den vår tidigare nationella datalagstiftning PUL.

Syftet med GDPR är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.

Vad är en personuppgift?

GDPR definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress, en bild.

Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är den juridiska person som sätter ändamålen för behandlingen av personuppgifter. I vissa fall kan ansvaret vara gemensamt. Exempelvis när det gäller personuppgifter i Scoutnet, kan ansvaret vara gemensamt mellan Scouterna och scoutkåren, beroende på vilken typ av databehandling som avses.

I den mån lokala Scoutkårer behandlar personuppgifter i medlemsregister eller från andra källor, utan gemensamt ändamål med Riksorganisationen, blir de enskilt personuppgiftsansvariga för den behandling som utförs. Exempelvis anmälningar för hajker och läger, som ej hanteras i Scoutnet. I de fallen måste scoutkåren se till att uppfylla kraven för databehandling under GDPR.

Hur påverkar GDPR Scouterna som organisation?

Den största påverkan jämfört med nuvarande lagstiftning är att vi som organisation måste definiera tydligare hur och varför vi hanterar personuppgifter. Det här gäller både scoutkårer och Scouterna nationellt. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för verksamheten, och det måste vara tydligt för den vi behandlar uppgifter om att vi gör det, vilka uppgifter vi behandlar och varför.

Hur behandlas personuppgifter i Scouterna?

För att behandla personuppgifter krävs en rättslig grund för detta. I GDPR finns fyra alternativ för rättslig grund till hantering av personuppgifter. I viss mån kan detta variera beroende på vilken typ av behandling det rör sig om. I det dagliga arbetet hanteras Scouternas databehandling enligt ”avtal” eller ”berättigat intresse” som rättslig grund. Betalning av medlemsavgiften räknas som en handling för att bekräfta medlemskapet som avtal.

Personuppgifter i Scouterna behandlas huvudsakligen i medlems- och anmälningsregister, för att kunna fullgöra det avtal som medlemskapet utgör. Det är viktigt att komma ihåg att endast sådana uppgifter som behövs för att fullgöra avtalet får behandlas, och att det måste framgå i avtalet hur och varför uppgifterna används. Det innebär att vi måste ”dela upp” vilka uppgifter vi kräver av våra medlemmar utifrån vilka behov som finns – registrering hälsouppgifter om allergier är till exempel nödvändiga för att kunna genomföra ett scoutläger, men inte självklart nödvändiga för veckoverksamheten.

Vad gäller med molntjänster (Dropbox, Google drive osv.)?

När det gäller behandling av personuppgifter genom s.k. molntjänster finns det några viktiga saker att tänka på.

En leverantör av en molntjänst är ett s.k. personuppgiftsbiträde. Det vill säga att det är någon som på ert uppdrag behandlar de personuppgifter ni sparar på den molntjänsten. Till exempel kan detta vara en deltagarlista på ett läger eller hajk. Själva lagringen är i sig en form av databehandling. Detta betyder att scoutkåren måste ha ett avtal med den tjänsteleverantören – ett s.k. personuppgiftsbiträdesavtal, som reglerar vilka uppgifter som avses och vad tjänsteleverantören – eller ”personuppgiftsbiträdet” får göra med personuppgifterna.

Ni behöver också säkerställa var uppgifterna lagras någonstans. Om leverantören har sina servrar utanför EU innebär det att era personuppgifter hanteras i ”tredje land” och då är det ert ansvar att se till att den tjänsteleverantören har vad GDPR kallar ”adekvat skyddsnivå”. Många av de stora tjänsteleverantörerna har tagit fram generella allmänna villkor som reglerar detta. Det skulle vara ohållbart för t.ex. Google att ha ett separat personuppgiftsbiträdesavtal med varje företag eller organisation som använder deras tjänster. Kolla vad som gäller för just era tjänsteleverantörer.

Vilken skillnad är det mot tidigare PUL?

När det gäller ”Samtycke” som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.

Under PUL fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln” har tagits bort och även material i ostrukturerad form omfattas av GDPR.

Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Kommer Scoutnet vara GDPR-säkert?

Scouterna har en rättslig grund för att lagra personuppgifterna. Detta kommer att finnas med som informationstext vid inskrivning av medlemsuppgifter. Vi rekommenderar starkt att det är medlemmen själv eller dennes vårdnadshavare som skriver in uppgifterna. Det är nu möjligt i och med tjänsten Intresse&Anmälan. Om kåren samlar in personuppgifter på annat sätt och själva matar in dem i Scoutnet (ex genom pappersblankett som medlemsregistreraren sen matar in) är vår starka rekommendation att den föreslagna upplysningstexten finns med.

Det är viktigt att inte använda scoutnets kontaktfält ”kreativt” — vi har bara tillåtelse att registrera den typ av information som är definierad i profilen (telefonnummer, epost, gatuadress, etc).

Kan jag som är avdelningsledare ha en utskriven medlemslista i min pärm?

Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt.  En utskriven lista omfattas av GDPR. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.

Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.

Hur ska kåren göra med anmälningar till egna läger och andra arrangemang?

Scoutnet har en funktion för att hantera anmälningar till arrangemang. I dagsläget är den inte fullt anpassad för mindre arrangemang som sker lokalt. Utveckling pågår däremot för att bättre möjliggöra detta. Målet är att Scoutnet ska ha en bra funktionalitet för att stödja administrationen kring lokala arrangemang på ett bra sätt som uppfyller kraven kring GDPR. Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under GDPR som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang. I den utveckling av funktionaliteten för anmälningar till arrangemang i Scoutnet, kommer det att finnas stöd för automatisk radering av hälsouppgifter en bestämd tid efter avslutat arrangemang.

Fram tills den här funktionaliteten finns på plats i Scoutnet, rekommenderar vi att ni inhämtar samtycke från vårdnadshavaren i samband med att de anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, samt hur dessa raderas efter avslutat arrangemang. Detta gäller framför allt uppgifter som klassas som känsliga. T.ex. hälsouppgifter.

Notera att hälsouppgifter aldrig får skrivas in i den vanliga medlemsprofilen i Scoutnet.

Om en scoutledare får ett mail av en förälder till en scout, som meddelar barnets personuppgifter, omfattas det då av GDPR och hur ska det hanteras?

Ja. Alla personuppgifter omfattas av GDPR och behöver hanteras därefter. I och med GDPR omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. Scoutnet, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.

Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din scoutkårs ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.

Ett förslag är att ni inför en policy i scoutkåren över hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är känsliga personuppgifter, t.ex. personnummer. Dessa måste hanteras med extra försiktighet.

Kommunen ställer krav på att vår kår har närvaroförteckningar, hur ska dessa hanteras?

Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga

Scoutkåren har en webbsida där kårens scoutledare finns med namn, mailadress, telefonnummer och bild. Hur ska det hanteras?

Enklast är att hantera det med ett skriftligt dokumenterat samtycke från de ledare som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (ledaren kan ångra sig och hens uppgifter ska då avpubliceras) och att det inte får ge några negativa konsekvenser att inte ge sitt samtycke (en ledare ska få vara ledare även utan att publiceras på kårens hemsida).

I scoutkårens bokföringssystem finns det namn och kontonummer till kårens scoutledare, eftersom de skickar in sina utläggsredovisningar. Omfattas det av GDPR?

Ja, dessa omfattas av GDPR. Däremot är det så att svensk lagstiftning går före GDPR i de fall de är motstridiga. I det här fallet gäller bokföringslagen, som kräver att ni sparar finansiell information i sju år. Eftersom bokföringslagen kräver sju år, innebär det också att en medlem inte kan hävda ”rätten att bli glömd” under den tiden.

På scoutkårens webbsida och i våra reklamblad finns det bilder på lekande barn. Kan vi ha kvar dessa?

Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av GDPR. Lämpligtvis inhämtar ni samtycke från vårdnadshavaren till att få publicera bilderna.

Vi har en lista som visar vilka som varit ledare i vår kår under hela kårens historia (mer än 50 år). Kan vi ha kvar den?

Generellt är svaret ”nej” när det gäller personer som ej längre är medlemmar. Dessa saknar vi laglig rätt till att databehandla. I de fall där de fortfarande är medlemmar går bra, men då finns dessa redan som aktiva medlemmar i medlemsregistret.

Kåren kan också be om ledarnas samtycke för att ha kvar deras uppgifter på hemsidan. Det är då viktigt att samtycket dokumenteras skriftligt, och att det är informerat (de vet vad de går med på) och frivilligt. Att samtycket är frivilligt innebär att det inte får innebära några negativa konsekvenser att inte samtycka. Det går också att när som helst återkalla ett samtycke, och uppgifterna ska då tas bort.

Vår scoutkår använder ett system som inte tillhandahålls av riksorganisationen. Vad gäller här?

Om scoutkåren använder ett system som inte tillhandahålls av Scouternas riksorganisation, ansvarar scoutkåren för att GDPR efterlevs. Det innebär t.ex. att kåren måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.

Om Scoutkåren satt ändamålen med behandling av personuppgifter, dvs de bestämmer när och hur personuppgifter får behandlas, är det kåren som ansvarar för att behandlingen uppfyller kraven i GDPR.

Ska scoutkåren göra något särskilt inför GDPR?

  1. Genomför en nulägesanalys, hur ser våra processer ut, vilka personuppgifter behandlar vi, i vilka system och register behandlar vi dessa personuppgifter och på vilken laglig grund?
  2. Genomför en riskbedömning, vilken behandling av personuppgifter har störst risk att leda till skador eller kränkningar för individen? Börja arbeta med dessa först.
  3. Sätt en tydlig kravbild för hur vi får behandla personuppgifter genom t ex integritetspolicy, instruktioner och rutinbeskrivningar. Exempel på dokumentation som kan behövas ta fram är en instruktion för arkivering/gallring som beskriver hur och när ni ska gallraoch rutinbeskrivningar för hur ni ska upptäcka och rapportera en personuppgiftsincident mm.
  4. Implementera rutiner och se över system för att säkerställa att den kravbild ni sätter efterlevs, strukturera arbetet så att ni både internt och för Datainspektionen kan påvisa ert arbete. Viktigt att komma ihåg också att utbilda ledare och anställda i hur personuppgifter ska hanteras.
  5. Scouternas kansli kommer att ta fram exempel på samtyckestexter för t.ex. anmälan till läger och arrangemang.