Hoppa till huvudinnehåll

Tusentals föreningar oförberedda på nya dataskyddsregler - riskerar böter

Ant Simons
Ant Simons är expert på IT och på EU:s nya dataskyddsförordning. Ant Simons Bild: Yle/Niklas Fagerström porträtt,ant simons

Om cirka tio veckor börjar EU:s nya dataskyddsförordning att tillämpas. Olika aktörer måste då vara noggranna med hur de hanterar personuppgifter. Det här gäller förutom företag också föreningar, vilket kommer som en överraskning för många.

– Det finns många som inte har någon aning om de här reglerna, och så finns det en hel del som börjar ha en aning och som börjar jobba med det hela. Så det är mycket brokigt, säger it-experten Ant Simons.

Han är vd på företaget Webbhuset och har utbildat tiotals föreningar i vad de nya reglerna innebär.

Den finländska personuppgiftslagen har också hittills krävt att man skyddar personuppgifter, men ändå har många av Finlands cirka 70 000 föreningar inte särskilt god koll på det här.

– För de som har följt personlagen, och gör det i dag är det inte ett stort steg att följa också den nya lagen. Men för de som har slarvat med det hittills är det ett mycket större steg.

Svenska Yle bad flera föreningar berätta hur de har förberett sig på EU:s dataskyddsförordning.

Ingen av de tillfrågade ville medverka eftersom de inte alls hade koll på läget, eller så förväntade de sig att ta reda på det nödvändiga under de närmaste veckorna.

Nya krav

Att till exempel spara en massa gamla medlemsuppgifter, deltagarlistor eller arbetsansökningar bara för sakens skull kommer att vara förbjudet, påpekar Simons.

– Man får inte ha något gammalt bara för att ha det. Man får arkivera, men då ska man fundera på om man kan ta bort namnen och bara skriva hur många som deltog i ett visst evenemang.

Att spara en massa gamla medlemsuppgifter bara för sakens skull kommer att vara förbjudet― Ant Simons

Iiris Kivikari som är advokat på Dittmar & Indrenius påpekar att föreningar kommer att behöva motivera varför de lagrar personuppgifter.

– Den största saken är att man ska börja dokumentera mer. Hur man behandlar personuppgifter, varför man behöver dem och vilken typ av personuppgifter föreningen har, säger hon.

Iiris Kivikari.
Advokaten Iiris Kivikari. Iiris Kivikari. Bild: Yle/Niklas Fagerström porträtt,advokat

Med personuppgifter menas all slags information som direkt eller indirekt kan hänföras till en fysisk person - såsom namn, födelsedatum eller kontaktuppgifter.

Personuppgifterna ska också bränna i handen― Ant Simons

Simons säger att det finns en del personuppgifter som är mer känsliga än andra, och särskilt de ska inte sparas längre än nödvändigt.

Det gäller till exempel hälsouppgifter - sjukdomar, dieter eller allergier med mera.

– Personuppgifterna i sig ska också bränna i handen. Är det okej att vi har de här personuppgifterna, till vilket ändamål har vi dem och så vidare.

Informationen måste behandlas konfidentiellt och säkert.

– It-säkerheten, alltså hur man behandlar och skyddar sina datorer, telefoner med mera, aktualiseras också med den här lagen, påpekar Simons.

Data kan läcka från din mobil.
Data kan läcka från din mobil. Bild: Yle Dataskyddsdirektivet,dataintegritet
Det är att rekommendera att föreningen skaffar en egen kamera― Ant Simons

Han nämner som ett exempel att föreningar ska vara försiktiga med hur de sparar fotografier.

– Är man en förening som vill dokumentera sin verksamhet så ska en medlem inte ta foton av verksamheten med sin privata mobiltelefon eller privata kamera, för då har inte föreningen koll på var fotona lagras.

Det är därmed att rekommendera att föreningen skaffar en egen kamera. Bilderna kan med fördel sparas i ett eget användarkonto på internet - då kan man lätt kan styra vem som ska ha tillgång till bilderna.

Det ska vara tydligt vem i föreningen en person ska kontakta för att ta del av, ta bort eller ändra uppgifter om en själv.

En person har ändå inte alltid rätt att kräva att uppgifter ändras eller tas bort - en förening kan lagra vissa slags uppgifter om sina medlemmar.

Det ska också framgå klart om uppgifter ges vidare till någon annan aktör och varför.

Sanktioner för dem som bryter mot reglerna

En förening som bryter mot EU:s dataskyddsregler kan få direkta böter, och det har fått flera föreningar att aktivera sig på sistone, berättar Simons.

– Absolut. Och de facto så måste de aktivera sig.

För en förening kan det realistiskt sett handla om att betala några hundra eller några tusen euro.

Man kan som mest få 20 miljoner euro i böter, eller fyra procent av omsättningen. För en förening kan det realistiskt sett handla om att betala några hundra eller några tusen euro.

I många fall kan man ändå komma betydligt lättare undan, bedömer advokaten Kivikari.

– Jag tror att det i praktiken är så att föreningar ofta kan klara sig med en varning.

Tangentbord med lås som tangent.
Tangentbord med lås som tangent. Bild: Imilian datasäkerhet,datasekretess,digitalisering
Troligen är det så att storföretag kommer att granskas mer än mindre aktörer såsom föreningar.

EU:s dataskyddsförordning börjar tillämpas den 25 maj, men det är troligt att dataombudsmannen kommer att vänta en tid med att utfärda varningar och böter för att ge olika aktörer mer tid att följa reglerna.

Troligen är det så att storföretag kommer att granskas mer än mindre aktörer såsom föreningar. Men officiellt ska också föreningar följa dataskyddsförordningen.

Det finns mer information om de nya reglerna till exempel på dataombudsmannens byrås webbplats.

Svenska folkskolans vänner håller också gratis kurser i vad EU:s dataskyddsförordning innebär för föreningar.

Föreningar kan vid behov vända sig till it-experter eller juridiska experter som kan hjälpa till mot betalning. Och om man hör till ett förbund kan man troligen få hjälp av det.

Vi har också bett dataombudsmannen om en intervju, men han var inte anträffbar.

Du kan ännu läsa en uppföljande nyhet där dataombudsmannen uttalar sig - publicerad en vecka efter den här nyheten.

9.3.2018 kl. 9.14: Artikeln uppdaterades med information om att dataskyddsförordningen "börjar tillämpas", vilket är mer korrekt än "träder i kraft" eftersom det handlade om en övergångsperiod på två år.

16.3.2018 kl. 15.11: Artikeln uppdaterades med en länk till en uppföljande nyhet.

Läs också

Nyligen publicerat - Inrikes