Dataombudsmannen: Också föreningar måste följa de nya dataskyddsreglerna - men vi skriver inte ut sanktionsavgifter genast
EU:s dataskyddsförordning får konsekvenser för hur föreningar får hantera personuppgifter, och hurdana sanktioner som är möjliga. Det är ändå inte så strikt som många experter tror, säger dataombudsmannen.
De nya dataskyddsreglerna, som börjar tillämpas den 25 maj, tolkas på lite olika sätt av olika aktörer.
Svenska Yle publicerade förra veckan en artikel där experter slog larm om att många föreningar är oförberedda på förändringen. Artikeln väckte mycket debatt.
Vi har bett dataombudsman Reijo Aarnio, som inte var anträffbar då, att klargöra hur de nya reglerna kommer att påverka föreningarna.
Hans svar är extra intressanta eftersom det blir dataombudsmannens byrås uppgift att avgöra hur väl olika aktörer följer dataskyddsförordningen.
Dataombudsman Reijo Aarnio, kan en förening tvingas betala om den inte följer de nya reglerna?
– Visst kan vi också ge en förening böter, eller en administrativ påföljdsavgift som det officiellt kallas, men det är inte det första alternativet.
I och med EU:s nya dataskyddsförordning får vi alltså nya befogenheter så att vi också kan skriva ut avgifter
― Reijo Aarnio
Ni varnar alltså i första hand?
– Ja, vi varnar eller ger en anmärkning. Det har vi också kunnat göra hittills. Men i och med EU:s nya dataskyddsförordning får vi alltså nya befogenheter så att vi också kan skriva ut avgifter.
Allvaret avgörande för avgiften
Hur stor kan avgiften vara för en förening? En förening är ju ofta relativt liten. Tittar ni på fyra procent av omsättningen som en del experter menar?
– Nej, det gör vi inte. Föreningar har ingen omsättning. De har bokföring men anses inte vara ekonomiska aktörer, så gränsen på fyra procent gäller inte för dem.
Avgiften måste ha en varnande och korrigerande funktion, samtidigt som den måste stå i proportion till brottet
Om det blir aktuellt att utfärda en administrativ påföljdsavgift åt en förening, hur stor kan den avgiften då realistiskt sett vara?
– Avgiften måste ha en varnande och korrigerande funktion, samtidigt som den måste stå i proportion till brottet. Det innebär att vi tittar på varje fall individuellt. Jag kan inte heller säga att avgifterna till exempel alltid skulle röra sig mellan en euro och 100 000 euro.
Så det avgörande är hur allvarligt ett visst dataskyddsbrott har varit?
– Ja. Vi har en lista på elva punkter som vi ska utgå från då vi fattar beslut.
Reglerna gäller alla
Är det ändå så att ni kommer att fokusera på att övervaka större företag, och att mindre aktörer inte kommer att prioriteras så mycket i ert arbete?
– Troligen är det så att stora aktörer kommer att övervakas mer. Det har att göra med att vi enligt förordningen ska prioritera sådana fall som kan orsaka en större risk. Men alla aktörer måste kunna visa att de följer reglerna.
Troligen är det så att stora aktörer kommer att övervakas mer
Aarnio tillägger också att många tror att de självmant måste upplysa dataombudsmannens byrå om att de följer dataskyddsreglerna, vilket oftast inte är fallet. Det finns bara några specialfall där det är nödvändigt.
– Vi tar varje dag emot flera helt onödiga meddelanden. Det gäller alltså att följa reglerna men det är onödigt att informera oss om det, påpekar han.
Vanliga missuppfattningar
Finns det någon särskild felaktig uppfattning som du har sett om den nya dataskyddsförordningen?
– En ganska stor missuppfattning handlar om att man alltid måste be kunden eller medlemmen om lov för att registrera uppgifter om honom eller henne. Det stämmer inte, säger Aarnio.
Om föreningen redan har ett kundavtal eller om det handlar om en existerande medlem så behöver man alltså inte fråga varje gång om lov för att registrera nya uppgifter.
– En annan missuppfattning handlar om att det skulle vara nytt att man endast får samla in nödvändiga uppgifter. Så har det varit redan i 30 år.
Föreningar får inte glömma bort att vara noggranna med it-säkerheten. Många fäster inte tillräckligt stor uppmärksamhet vid det här
Och god it-säkerhet kommer att krävas också i fortsättningen?
– Ja, så är det. Helt såsom det har varit enligt de nuvarande reglerna. Föreningar får inte glömma bort att vara noggranna med it-säkerheten. Många fäster inte tillräckligt stor uppmärksamhet vid det här.
Gamla arkiv
Hur är det om föreningar till exempel har sparat gamla utskrivna medlemslistor eller listor på personer som har deltagit i olika evenemang? Får man ha sådana här efter maj månad eller måste man anonymisera en del av dem?
– Det korta svaret är att man får använda sunt bondförnuft. Om vissa dokument inte längre är nödvändiga så varför skulle man då ens spara dem? Om det inte finns ett verkligt behov av att spara vissa uppgifter så kan man förstöra dem - på ett säkert sätt.
Såsom i livet i allmänhet så gäller det att städa då och då
Men måste man alltså vara noggrann med vad man sparar?
– Såsom i livet i allmänhet så gäller det att städa då och då. Det kommer nog inte att vara en prioritet för oss att rota i gamla skåp för att granska föreningars arkiverade papper.
Egen kamera för föreningen?
En it-expert vi talade med påpekade att det kunde vara problematiskt om en föreningsmedlem dokumenterar föreningens verksamhet med en egen kamera, och därmed sparar foton på egna minneskort eller egna hårdskivor, istället för i molnet. Hur kommenterar du det?
– Den uppfattningen har inte grund i EU:s dataskyddsförordning. Det står inte ett ord om något sådant i förordningen.
It-experten hade ändå avsett att det kunde vara bra att spara föreningens bilder i molnet - inte att förordningen tvärt skulle kräva det.
– Ja, det kan vara en fungerande lösning att spara bilder i molnet, men det måste man alltså inte göra. Och att spara bilder på internet är inte alltid säkert, kommenterar dataombudsman Reijo Aarnio.
16.3.2018 kl. 18.54: Artikeln uppdaterades med lite tilläggsinformation.
' /%3E%3C/svg%3E)
