Information om GDPR. Nya regler för personuppgifts hantering Förbered din bostadsrättsförening

Transkript

1 Information om GDPR Nya regler för personuppgifts hantering Förbered din bostadsrättsförening

2 Bakgrund Den 25 maj 2018 träder EU:s nya dataskyddsförordning i kraft. Förordningen brukar förkortas GDPR efter dess engelska benämning General Data Protection Regulation. Dess svenska benämning är dataskyddsförordningen. Nedan använder vi benämningen GDPR. GDPR ersätter den svenska personuppgiftslagen (PuL) och medför skärpta och nya krav gällande hanteringen av personuppgifter. Brott mot GDPR kan potentiellt leda till höga sanktionsavgifter. Vidare kan den vars personuppgifter hanterats felaktigt kräva skadestånd. Innehåll Grundläggande begrepp... 3 Kartläggning av behandlingar... 4 Laglig grund...7 De registrerades rättigheter... 8 Andra förberedelser... 9 Precis som enligt PuL gäller enligt GDPR att den 1 som behandlar personuppgifter måste ha kontroll över vilka personuppgifter som behandlas och hur det sker, varför behandlingen sker och att laglig grund finns för behandlingen. Denna skrift är tänkt som en introduktion till reglerna om personuppgiftshantering och ett hjälpmedel för bostadsrättsföreningen att förbereda sig inför att GDPR träder ikraft. Skriften är avsedd att fungera som ett komplement till annan information som exempelvis kan fås från Datainspektionen, se se. Vidare, om föreningen har funderingar över vilka åtgärder som konkret behöver vidtas för att föreningens personuppgiftsbehandlingar ska vara förenliga med GDPR kan föreningen behöva anlita hjälp med arbetet att anpassa sig till GDPR. 1 Endast fysiska personer som behandlar uppgifter för rent privat natur är undantagna. 2 GDPR

3 Grundläggande begrepp För att säkerställa korrekt personuppgiftshantering är det viktigt att man förstår de centrala begrepp som används. Det är exempelvis inte självklart vad en personuppgift är i detta sammanhang. Många tror att personuppgifter bara är uppgifter som direkt pekar ut en person såsom exempelvis namn och personnummer, vilket inte stämmer. Alla uppgifter som kan kopplas till en person är en personuppgift. Detsamma gäller begreppet behandling som inte bara innefattar att man gör något med en personuppgift utan även exempelvis att spara eller titta på en uppgift är en behandling. Personuppgift All information som kan kopplas till en fysisk person (d.v.s. en individ, inte t.ex. ett företag) som är i livet är personuppgifter. Både uppgifter som direkt kan knytas till personen (exempelvis namn och personnummer) och uppgifter som indirekt via annan information kan knytas till personen (exempelvis lägenhetsnummer, tvättstugebokningar, passageloggar i nyckelsystem) är personuppgifter. Även bilder och ljudupptagningar som lagras elektroniskt kan vara personuppgifter. Känsliga/särskilda kategorier av personuppgifter Vissa personuppgifter har ett starkare skydd i GDPR. Det handlar om så kallade känsliga personuppgifter som till exempel personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv, samt personuppgifter som rör lagöverträdelser som innefattar brott. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga. Den registrerade Den som man behandlar personuppgifter om kallas den registrerade. Behandling Med behandling avses lite förenklat all form av befattning med en personuppgift och oberoende av om den sker automatiserat eller inte. Det kan vara fråga om insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Personuppgiftsbiträde Den personuppgiftsansvarige kan anlita någon annan som behandlar personuppgifter för den dennes räkning. Den som anlitas kallas personuppgiftsbiträde och finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Exempelvis om föreningen anlitar en förvaltare som hanterar föreningens medlems- och lägenhetsförteckning blir förvaltaren personuppgiftsbiträde åt föreningen. Om föreningen använder sig av en molntjänst för lagring av personuppgifter blir molntjänstleverantören personuppgiftsbiträde. Behandlingsregister Både personuppgiftsansvariga och personuppgiftsbiträden ska föra register över sina personuppgiftsbehandlingar 2. Vad som ska finnas med i registret anges i GDPR 3. Exempelvis ska följande finnas med; ändamålen med behandlingen; beskrivning av kategorierna av registrerade och kategorierna av personuppgifter; mottagare av personuppgifterna om uppgifterna har eller ska lämnas ut; om uppgifter förs över till tredjeland; samt, om möjligt, tidsfristerna för radering. På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet göra registret tillgängligt för Datainspektionen. Personuppgiftsansvarig Den som bestämmer ändamålen med och medlen för behandlingen av en personuppgift är personuppgiftsansvarig. I de fall föreningen bestämmer ändamålen och medlen för en behandling är alltså föreningen personuppgiftsansvarig och det oavsett om det är föreningen själv som behandlar uppgifterna eller om någon annan gör det för föreningens räkning. 2 Det finns ett undantag från registerskyldigheten för företag eller organisationer som sysselsätter färre än 250 personer. Undantaget gäller dock inte för föreningar eftersom undantaget endast gäller när det är fråga om tillfälliga behandlingar. 3 Se Artikel 30. GDPR 3

4 Kartläggning av behandlingar Vilka personuppgifter behandlas? För att man ska kunna avgöra om de behandlingar av personuppgifter som föreningen gör är förenliga med GDPR, måste man veta vilka personuppgifter som behandlas. Det kan låta självklart men i praktiken har det visat sig att många inte har en klar bild över alla personuppgifter som behandlas eller hur de används. Om föreningen inte redan har sina behandlingar dokumenterade bör ni därför börja med en kartläggning av vilka personuppgifter som behandlas för vilka grupper av individer och varför uppgifterna behandlas. Man måste komma ihåg att alla uppgifter som kan knytas till en person är personuppgifter. I en förening behandlas inte bara uppgifter om medlemmarna utan även om andra personer så som exempelvis uppgifter om kontaktpersoner hos leverantörer och hyresgäster som är juridiska personer, inhyrda konsulter, hyresgäster och andrahandshyresgäster som är fysiska personer brukar förekomma. En och samma personuppgift kan förekomma i flera olika sammanhang. Föreningen kan ha flera anledningar till att en uppgift behandlas vilket gör att uppgiften kan förekomma i olika behandlingar. Exempelvis en persons namn kan föreningen behandla såväl för att föra medlemsförteckningen som för att personen hyr en parkeringsplats av föreningen. Det behandlingsregister som ska finnas struktureras utifrån ändamålen med behandlingarna. Det är inte bara personuppgifter som finns i traditionella register eller förteckningar som ska finnas med i behandlingsregistret utan så snart en uppgift helt eller delvis behandlas digitalt och kan kopplas till en person så omfattas den. Även uppgifter som ska behandlas eller har behandlats digitalt omfattas vilket innebär att uppgifter som samlas in på en blankett för att skrivas in i en dator omfattas liksom personuppgifter i dokument som skrivs ut från en dator. Utöver i register och andra sammanställningar kan man hitta personuppgifter exempelvis i Word-dokument, mejl och på web-sidor. Kartläggningen kan förenklas om man exempelvis delar upp föreningens verksamhet i olika huvudströmmar och sen inventerar man behandlingarna som sker i varje ström. Exempel på sådana huvudströmmar kan vara medlemsadministration, förvaltning av fastigheten och ekonomi. En annan variant är att man utgår ifrån de olika IT-system och externa IT-tjänster som föreningen använder. Ett sätt att dokumentera kartläggningen är att redan från början upprätta ett behandlingsregister som kompletteras med uppgift om laglig grund för behandlingarna, se nedan. Hur kartläggningen lämpligast görs går inte generellt att svara på utan varje förening får finna ut ett lämpligt arbetssätt. Förslagsvis läser ni först igenom hela denna skrift och gärna information på Datainspektionens hemsida så att ni får en helhetsbild av vad föreningen måste göra och sen bestämmer ni lämpligt angreppssätt och sätter igång. Inte minst viktigt är att komma igång. Hur ni än lägger upp arbetet kommer ni sannolikt under arbetets gång behöva gå tillbaka och justera eller göra om vissa saker. Att göra: Kartlägg vilka personuppgifter föreningen behandlar. Varför behandlas personuppgifterna? GDPR innebär inte något generellt förbud mot att behandla personuppgifter utan reglerar hur information kopplat till unika individer får hanteras utifrån förutsättningarna i den aktuella situationen. Om viss uppgift får behandlas eller inte beror på vad ändamålet med behandlingen är. Alla behandlingar måste ha ett syfte, ett ändamål. Vissa uppgifter behövs för ett ändamål och får då behandlas men behövs inte i andra sammanhang och får då inte behandlas. Personnummer är ett typexempel på en personuppgift som får behandlas under vissa förutsättningar men inte alltid. Viktigt att komma ihåg är att man bara får behandla personuppgifterna för det angivna ändamålet och man får bara behandla de uppgifter som verkligen behövs. När man ska bedöma om laglig grund finns för en behandling, se nedan, måste man veta varför personuppgiften behandlas. Ändamålet med behandlingen kan exempelvis vara Pröva ansökan om medlemskap för förvärvare av bostadsrätt. För varje behandling ska det finnas en beskrivning av kategorierna av registrerade 4 GDPR

5 och kategorierna av personuppgifter som behandlas. Kategorierna finns inte fördefinierade i GDPR utan varje personuppgiftsansvarig definierar lämpliga kategorier. Exempel på kategorier av registrerade personer kan vara bostadsrättshavare och anställda. Exempel på kategorier av personuppgifter kan vara kontaktuppgifter och uppgifter om bostadsrätten. När föreningen samlar in uppgifter om en person måste föreningen informera personen om hur uppgifterna kommer hanteras, se nedan. Bland annat måste information lämnas om ändamålet med behandlingen. Det är därför viktigt att ändamålet är tydligt och heltäckande. Vill föreningen använda uppgifter den har för ett nytt ändamål, blir det fråga om ny behandling. Innan en ny behandling får påbörjas måste föreningen informera den registrerade om den nya behandlingen. Att göra: Kartlägg varför personuppgifterna behandlas, ändamålet med behandlingarna. Uppgiftsminimering En grundprincip i GDPR är uppgiftsminimering. Den innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, så kallade bra-att-ha-uppgifter. Insamlade personuppgifter får inte heller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ursprungliga ändamålen. Till hjälp för den bedömning av om en personuppgift behövs kan följande frågor ställas. Behöver föreningen överhuvudtaget göra denna behandling? Går det att uppnå samma syfte utan att blanda in personuppgifter? Går det att uppnå syftet med färre personuppgifter? känsliga personuppgifter. Tänk också på att föreningen vid varje givet tillfälle måsta ha kontroll över de personuppgifter som den behandlar. Att göra: Gör er av med personuppgifter föreningen inte behöver. Observera att man inte gjort sig av med personuppgifterna om man skriver ut dem på ett papper innan man tar bort dem från datorn. Ska man ta bort uppgifterna ska även papperskopior rensas ut. Bevarandetid Personuppgifter får bara sparas så längre de är nödvändigt för de specifika ändamål för vilka de samlades in. När föreningen inte behöver uppgifterna längre ska de gallras bort. Föreningen behöver därför rutiner för att säkerställa systematisk gallring av de personuppgifter som föreningen behandlar. Att göra: Ta ställning till hur länge personuppgifterna behövs och inför rutiner för gallring samt gallra. Utlämnande av uppgifter till annan Insamlade personuppgifter får inte delas eller spridas hursomhelst och föreningen måste informera de registrerade om till vem eller vilka uppgifterna kan komma att lämnas ut. Att lämna ut en personuppgift är en behandling som det måste finnas laglig grund för. Det kan vara fråga om utlämnade av uppgifter till exempelvis fastighetsförvaltare och skattemyndigheten. Att göra: Kartlägg till vem eller vilka personuppgifter lämnas ut och varför. Fundera alltid på vilka personuppgifter som behöver användas. Behandla endast personuppgifter som föreningen verkligen behöver och undvik i möjligaste mån att behandla GDPR 5

6 6 GDPR

7 Laglig grund För att personuppgifterna ska få behandlas måste det alltid finnas lagligt stöd i GDPR, en så kallad laglig grund. Det kan ibland vara svårt är att avgöra vilken laglig grund som gäller i ett specifikt fall men varje behandling måste ha en laglig grund. Saknas laglig grund måste föreningen radera uppgifterna och upphöra med behandlingen. Lagliga grunder i GDPR Samtycke Avtal Rättslig förpliktelse Skydd för grundläggande intressen Allmänt intresse och myndighetsutövning Intresseavvägning Nedan redogörs för de lagliga grunder som vanligen förekommer i en förenings verksamhet. För mer detaljerad information om samtliga grunder hänvisas till Datainspektionens hemsida. Samtycke Behandling med stöd av samtycke får ske om den registrerade ha fått tydlig information om vilka uppgifter som omfattas och vad de ska användas till samt frivilligt samtyckt till behandlingen. Samtycket anses inte som frivilligt om det är en förutsättning för att man ska kunna ta del av en vara eller tjänst för vilken personuppgifterna egentligen inte behövs. Använder man sig av samtycke som laglig grund måste man ha kontroll över vem som lämnat samtycke till vad. Ett samtycke kan när som helst återtas. Om samtycket återtas får den personens uppgifter inte längre behandlas för den specifika behandling som samtycket gavs till och personuppgifterna ska raderas (om de inte används även för andra behandlingar). Rättslig förpliktelse Behandling med stöd av grunden rättslig förpliktelse får ske när personuppgiftsbehandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Exempelvis föreningens behandling av personuppgifter när kontrolluppgifter lämnas till Skatteverket om bostadsrättsöverlåtelser som skett i föreningen. Intresseavvägning I vissa fall är det tillåtet att behandla personuppgifter efter en intresseavvägning. Så får ske om behandlingen är nödvändig för att tillvarata någons berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Exempel på behandlingar med stöd intresseavvägningar är anteckningar i störningsärenden och kameraövervakning. Att göra: Ta ställning till vilken laglig grund som finns för respektive behandling samt, vid avsaknad av laglig grund, upphör med behandlingen. För behandlingar som grundas på samtycken, inhämta nya samtycken som uppfyller GDPRs regler. Behandlingar som annan utför för föreningens räkning Även behandlingar som ett personuppgiftsbiträde utför för föreningens räkning ska finnas med i föreningens behandlingsregister. Att göra: Säkerställ att även behandlingar som personuppgiftsbiträden utför för föreningens räkning finns med i behandlingsregistret. Avtal Om behandlingen är nödvändig för att föreningen ska kunna fullgöra ett avtal med den registrerade så utgör det en laglig grund för behandlingen. Exempelvis de uppgifter som föreningen behöver ha om en hyresgäst för att kunna fullgöra hyresavtalet. GDPR 7

8 De registrerades rättigheter De registrerade har ett antal rättigheter enligt GDPR. Kortfattat kan sägas att den registrerade ska ges kontroll över sina personuppgifter och hur de behandlas. De registrerade ska informeras om behandlingarna och har rätt att få felaktiga uppgifter rättade. Under vissa förutsättningar har den registrerade rätt att få uppgifter raderade eller blockerade samt att rätt att få ut eller flytta sina uppgifter. Information till de registrerade De registrerade ska informeras om hur deras personuppgifter behandlas. Information ska lämnas dels vid insamling av uppgifter, dels efter begäran. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, exempelvis om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri. Informationen till de registrerade ska tillhandahållas kostnadsfritt och vara koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. GDPR innehåller detaljerade regler om vilken information som ska lämnas. Vid insamling av uppgifter När personuppgifterna samlas in ska bland annat följande information lämnas till de registrerade 4. Vilka uppgifter det är fråga om, ändamålet med behandlingen, den lagliga grunden för behandlingen, om uppgifterna kommer att lämnas ut till någon annan och hur länge uppgifterna kommer att behållas om det är möjligt att ange det. Hur informationen lämpligen lämnas när behandlingen påbörjas beror på vad det är fråga om för behandling. Att göra: Ta fram informationstexter att använda vid insamling av uppgifter (jämför dagens PuL-texter) och se till att dessa används senast from 25 maj Lämna motsvarande information till befintliga registrerade för redan insamlade uppgifter. Efter begäran från den registrerade så kallade registerutdrag De registrerade har bland annat 5 rätt att veta om och i så fall vilka personuppgifter föreningen behandlar om den registrerade, varifrån uppgifterna hämtats, vilka mottagare som uppgifterna har lämnats ut till, ändamålet med behandlingen samt hur länge uppgifterna behålls. Att göra: Ta fram en rutin för hur föreningen ska gå till väga vid en begäran om registerutdrag. Av rutinen bör framgå hur man praktiskt söker fram och sammanställer information om den registrerade och vilka uppgifter föreningen ska lämna till den registrerade. Rätt till rättelse De personuppgifter som behandlas måste vara korrekta och uppdaterade vid varje givet tillfälle. De registrerade har rätt att få felaktiga uppgifter rättade samt att komplettera med sådana uppgifter som saknas och som är relevanta med hänsyn till ändamålet med behandlingen. Den som behandlar personuppgifter ska också själv se till att uppgifterna är korrekta och uppdaterade. Om uppgifter rättas på den registrerades begäran måste den personuppgiftsansvarige informera dem som man har lämnat ut uppgifter till om att uppgifterna rättats. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Att göra: Säkerställ att föreningen kan rätta felaktiga uppgifter samt lämna information om detta till mottagare av uppgifterna. Dataportabilitet En ny rättighet de registrerade får i och med GDPR är rätten att överföra personuppgifter till en annan personuppgiftsansvarig, rätten till dataportabilitet. Personuppgiftsansvarige måste kunna leverera persondata på ett strukturerat, allmänt använt och maskinläsbart format. Rätten till dataportabilitet gäller endast behandlingar som grundar sig på samtycke eller fullföljande av avtal som laglig grund. Att göra: Undersök om föreningen har några personuppgifter som kan bli föremål för dataportabilitet och om så är fallet, säkerställ att dataportabilitet är möjlig. 4 För en fullständig uppräkning se Artikel13-14 i GDPR. 5 För en fullständig uppräkning se artikel 15 i GDPR. 8 GDPR

9 Andra förberedelser Dokumentera arbetet med personuppgifter Den personuppgiftsansvarige måste kunna visa att de grundläggande kraven i GDPR följs. Föreningen behöver därför säkerställa att det finns dokumenterade rutiner för hur man arbetar med personuppgifter samt regelbundet följa upp att de följs. Att göra: Utarbeta skriftliga rutiner för föreningens hantering av personuppgifter. Utbildning Föreningen måste se till att alla i föreningen som kommer i kontakt med personuppgifter för föreningens räkning har kunskaper om personuppgiftshantering och GDPR. Att göra: Säkerställ att de som hanterar personuppgifter för föreningen har grundläggande kunskaper om GDPR. Behandlingar som utförs av andra När någon utanför föreningen får tillgång till personuppgifter från föreningen måste föreningen först ta ställning till om det blir fråga om en personuppgiftsbehandling för föreningens räkning eller inte. Om behandlingen inte sker på ett sådant sätt att det är föreningen som bestämmer ändamålen med och medlen för behandlingen blir det fråga om ett utlämnade av uppgifterna och en ny behandling hos mottagaren. Föreningen måste ha laglig grund för sådant utlämnande och mottagaren blir personuppgiftsansvarig för den nya behandlingen. Är det istället så att behandlingen alltjämt sker för föreningens räkning hos mottagaren måste det finnas ett personuppgiftsbiträdesavtal mellan föreningen och personuppgiftsbiträdet som reglerar hur behandlingarna ska utföras. När Riksbyggen utför tjänster åt föreningen får Riksbyggen tillgång till personuppgifter från föreningen. Vissa behandlingar kommer Riksbyggen utföra för föreningens räkning som personuppgiftsbiträde åt föreningen och andra behandlingar, där Riksbyggen bestämmer ändamålen med och medlen för behandlingarna, kommer Riksbyggen bli personuppgiftsansvarig för. Sistnämna gäller exempelvis om föreningen köper inkassotjänster från Riksbyggen. För de personuppgifter som Riksbyggen behandlar som personuppgiftsbiträde åt föreningen, måste föreningen och Riksbyggen träffa ett särskilt avtal angående hanteringen. Idag regleras denna hantering genom en personuppgiftsbiträdesbestämmelse i förvaltningsavtalet. I och med att GDPR träder i kraft måste nya personuppgiftsbiträdesavtal ingås mellan föreningen och Riksbyggen. Under våren kommer Riksbyggen återkomma med nya personuppgiftsbiträdesavtal. Föreningen måste även se över vilka andra leverantörer den använder sig av vilka får tillgång till personuppgifter från föreningen. Att göra: Kartlägg vilka personuppgiftsbiträden föreningen anlitar och se till att uppdaterade personuppgiftsbiträdesavtal finns tecknade med samtliga. Informationssäkerhet GDPR uppställer särskilda krav på informationssäkerhet. Alla som behandlar personuppgifter ska vidta lämpliga GDPR 9

10 tekniska och organisatoriska åtgärder för att uppfylla kraven i GDPR. Vilka åtgärder som behövs beror på vad det är fråga om för personuppgifter, omfattningen och syftet med behandlingen liksom vilka risker för de registrerades enskilda fri- och rättigheter som behandlingen kan innebära. Personuppgifterna ska skyddas så att det inte stjäls eller oavsiktligt raderas, ändras eller sprids. Att göra: Se över skyddet för personuppgifter i era IT-system så att personuppgiftsincidenter inte inträffar och upphandla bara system och IT-tjänster som lever upp till kraven i GDPR. Personuppgiftsincidenter Eventuella dataintrång eller andra former av förlorad kontroll över de personuppgifter, så kallade personuppgiftsincidenter, måste dokumenteras. Ett tappat USB-minne som innehåller personuppgifter eller att någon obehörigen tagit del av personuppgifter är exempel på incidenter. Incidenter ska anmälas till Datainspektionen inom 72 timmar förutsatt att det inte är osannolikt att incidenten medför risker för den registrerades fri- och rättigheter. Om incidenten kan leda till att någon registrerad utsätts för allvarliga risker såsom ID-stöld, finansiella stölder eller diskriminering måste berörda registrerade dessutom informeras om händelsen så att de kan vidta nödvändiga åtgärder. Att göra: Utarbeta en rutin för hantering av personuppgiftsincidenter så att föreningen kan upptäcka, rapportera och utreda personuppgiftsincidenter. 10 GDPR