Vanliga frågor om föreningsverksamhet
I detta avsnitt går vi igenom vanliga dataskyddsfrågor relaterade till föreningsverksamhet. Dessa frågor behandlas mer ingående i guiden Behandling av personuppgifter i föreningsverksamhet (pdf) som dataombudsmannens byrå gett ut.
Vid behandling av personuppgifter ska kraven i dataskyddsförordningen iakttas, då
- behandlingen är helt eller delvis automatiserad (uppgifterna behandlas med datasystem) eller
- uppgifterna ingår i ett register.
Med register avses alla strukturerade datauppsättningar som innehåller personuppgifter och som är tillgängliga enligt särskilda kriterier. Datauppsättningen kan vara centraliserad eller decentraliserad och indelad utifrån funktionella eller geografiska kriterier.
En förening kan behandla särskilda uppgiftsgrupper endast om den kan visa att behandlingen är motiverad med tanke på syftet med föreningens verksamhet och om medlemmarna informerats om detta. Till exempel om en person blir medlem i en politisk förening är han eller hon medveten om att personuppgifterna registreras och att medlemskapet även indirekt är ett uttryck för politiska åsikter. Uppgifterna ska skyddas och får inte överlåtas vidare.
Uppgifter om religiös övertygelse, hälsa och politiska åsikter hör enligt EU:s dataskyddsförordning till så kallade särskilda personuppgiftskategorier (känsliga uppgifter). Behandling av uppgifter som hör till så kallade särskilda kategorier av personuppgifter är i princip förbjuden. Trots det principiella förbudet kan uppgifter som hör till särskilda personuppgiftskategorier behandlas, om EU:s dataskyddsförordning eller övrig lagstiftning möjliggör undantag. Det vanligaste undantaget som direkt följer av dataskyddsförordningen är den registrerades uttryckliga samtycke.
Även ett annat undantag följer direkt av dataskyddsförordningen, enligt vilket personuppgifter som hör till särskilda personuppgiftskategorier kan behandlas när alla följande villkor uppfylls:
- Uppgifter som hör till särskilda personuppgiftskategorier får behandlas inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte.
- Uppgifterna ska skyddas ändamålsenligt.
- Behandlingen kan gälla samfundets medlemmar, tidigare medlemmar eller personer, med regelbundna till samfundets ändamål relaterade kontakter till samfundet.
- Uppgifterna får inte överlåtas utanför samfundet utan samtycke.
Dessutom gäller det bland annat att beakta att behandlingen av uppgifter som hör till särskilda personuppgiftskategorier ska vara motiverad med tanke på syftet med föreningens verksamhet.
Läs mer: Behandling av särskilda kategorier av personuppgifter
Ibland är redan medlemskap i en förening en uppgift som hör till särskilda personuppgiftskategorier. Till exempel kan uppgifter om medlemskap i politiska partier, religiösa samfund eller föreningar relaterade till olika sjukdomar höra till särskilda personuppgiftskategorier. Med beaktande av syftet med föreningens verksamhet kan det vara motiverat att samla in uppgifter som hör till särskilda personuppgiftskategorier. Detta förutsätter dock att föreningen bedömer vilka uppgifter som behövs med tanke på dess verksamhet och vid behov kan visa varför de insamlats. Om en förening på ett omfattande plan behandlar uppgifter som hör till särskilda personuppgiftskategorier ska den utföra en konsekvensbedömning av behandlingen.
Läs mer: Konsekvensbedömning
Ja. Redan när en person blir medlem ska han eller hon informeras om behandlingen av personuppgifter och eventuell överlåtelse av dem.
I regel inte. E-post ska skickas så att adresserna finns i fältet för dolda kopior så att andra medlemmar inte kan se dem, såvida det inte finns en särskild orsak att visa dem (medlemmar kan till exempel ansluta sig till en frivillig diskussionsgrupp eller e-postlista, där andras adresser visas).
Medlemsregister ska skyddas omsorgsfullt, antingen så att det finns i en enhet som helt är separerad från internet eller så att det är skyddat med en bra brandvägg och antivirusprogram.
De föreningsfunktionärer som behöver medlemsregistret för sina uppgifter ska ha tillgång till det. Även föreningsmedlemmar har enligt föreningslagen rätt att ta del av uppgifter i medlemsförteckningen.
Inte utan särskilda grunder.
Dataskyddslagstiftningen tillämpas alltid när uppgifter behandlas med hjälp av IT-system.
En medlem kan ha rätt att begära att uppgifter om honom eller henne avförs, även om föreningen kan ha rätt att behålla dem trots detta. Föreningen ska planera sin informationsverksamhet så att medlemmar känner till förfarandena i eventuella motstridiga situationer.
Behörigheten att behandla medlemmars uppgifter upphör när funktionärens ställning i föreningen upphör. Funktionären ska återlämna material med personuppgifter och får inte ta kopior av det åt sig själv.
Föreningar får informera medlemmar om sin verksamhet, och detta betraktas inte som direktmarknadsföring. Medlemsuppgifter får inte utlämnas till tredje parter i direktmarknadsföringssyfte utan medlemmens tillstånd.
I allmänhet inte. Ett undantag utgörs av situationer där en medlem har gett sitt samtycke till detta, behandlingen föreskrivs i lag eller det finns någon annan särskilt viktig orsak till entydig identifiering som inte kan göras på något annat sätt än med personbeteckning.
Det räcker med födelseår, medlemsnummer eller motsvarande. Dessutom kan man lägga till en identifierande beteckning efter namnen (Mikael Modell X och Mikael Modell Y).
Registeransvarig beslutar självständigt om behandlingen av uppgifter. Personuppgiftsbiträden får behandla personuppgifter enligt överenskommelse med registeransvarig.
Läs mer: Personuppgiftsbiträden
Avtal ska ingås om outsourcing, och det ska beakta dataskyddsförordningens krav. Outsourcing undanröjer inte föreningens ansvar.
Läs mer: Personuppgiftsbiträden