Information om GDPR

Stiftsföreningar, föreningar och grupper på lokal nivå hanterar personuppgifter. Detta för att hålla kontakt och sprida information till medlemmar, sympatisörer och andra intressenter. 

För POSK gäller att alla föreningar är personuppgiftsansvariga enligt GDPR. 

GDPR (dataskyddsförordningen) är en skyddslagstiftning, det vill säga syftet är att skydda den enskildes grundläggande rättigheter och lagen ställer krav på den som hanterar personuppgifter. Personuppgifter är allt som kan identifiera en enskild, vilket betyder att även adressuppgifter och foton på individer är personuppgift. Hanteringen av personuppgifter behöver vara genomtänkt så att lagens krav följs. 

För förening och grupp gäller att personuppgifter behandlas enligt följande grundläggande principer: 

Ändamålsbegränsning:
Samla bara in de uppgifter som är relevanta för ändamålet.
Exempel: Om ni samlat in uppgifter för att administrera medlemskap och kommunicera med medlemmar och sympatisörer får dessa inte senare användas till andra ändamål. 

Uppgiftsminimering:
Samla bara de uppgifter som är relevanta.
Exempel: Om ni bara behöver namn, e-post och telefonnummer ska ni inte samla in personnummer. 

Lagringsminimering:
Spara inte uppgifter längre än nödvändigt.
Exempel: Efter avslutat medlemskap ska uppgifterna raderas. För uppgifter som kräver samtycke ska de raderas så snart ändamålet är uppnått. 

Hantering av personuppgifter ska vara laglig, korrekt och öppen mot den registrerade. En enskild har alltid rätt att veta vilka personuppgifter som hanteras och varför, samt att det är föreningen som är personuppgiftsansvarig. Man ska också veta hur en uppgift kan ändras eller rättas och vem man ska kontakta. 

För all personuppgiftshantering krävs laglig grund. Det finns sex lagliga grunder varav tre normalt är tillämpliga för POSK. Dessa är avtal, samtycke och intresseavvägning. 

För en förening är exempelvis medlemsregistret lagligt då det i juridisk mening ingås ett avtal mellan den enskilde och föreningen. Samlas känsliga personuppgifter in, till exempel uppgifter relaterade till hälsa (födoämnesallergier) krävs alltid samtycke från den enskilde. Publiceras bilder på sociala medier som Facebook, Twitter, Youtube, Instagram med flera krävs alltid samtycke. Observera att medlem kan begära att kontaktuppgifter inte får lämnas ut till andra medlemmar, till exempel vid skyddade personuppgifter och det måste då efterlevas. Medlem som aktivt begärt utträde ska snarast strykas ur medlemsregistret. Den som inte förnyar sitt medlemskap ska också gallras bort inom rimlig och fastställd tid, till exempel vid påföljande årsskifte eller senast vid mandatperiodens slut. 

Personuppgifter för personer som accepterat att kandidera för POSK och/eller är valda till ett förtroendeuppdrag för POSK inom Svenska kyrkan får hanteras, eftersom föreningen har ett berättigat intresse av att kommunicera med sina företrädare oavsett medlemskap. Den lagliga grunden är då intresseavvägning, eftersom POSK har ett berättigat intresse att kommunicera med dessa, normalt mandatperioden ut eller så länge uppdraget varar. 

När lokalföreningen är konstituerad, det vill säga som förening med stadgar, årsmöte och styrelse, så är det ingen tvekan om att föreningen är personuppgiftsansvarig. För EJ konstituerade grupper utan stadgar gäller att tillämpa samma grundläggande principer. Detta då en sådan grupp i juridisk mening kan betraktas som förening om vissa kriterier uppfylls. Kriterierna kan vara att gruppen har ett namn, ett syfte, en i praktisk handling fastställd beslutsordning och en företrädare/kontaktperson. Dessa villkor uppfylls av många POSK-grupper och de behöver därför hantera kraven på samma sätt som konstituerade föreningar.

Om föreningen/gruppen bara hanterar medlemsuppgifter av typen namn och kontaktuppgifter och undviker att registrera känslig information som till exempel hälsouppgifter som eventuella allergier och motsvarande så finns laglig grund. Den som inte vill tillåta sådan registrering kan så att säga inte vara medlem. Medlemmarna ska veta vilka uppgifter som sparas och veta varför. De måste även veta att medlemskapet även gäller POSK stiftsförening och POSK riksorganisation och att personuppgifterna delas med dessa. Utomstående och kommersiella intressen får INTE ta del av personuppgifterna. 

Därför är det lämpligt att föreningar och grupper utser en medlemsansvarig eller motsvarande för att fullgöra sina skyldigheter enligt GDPR. Hur kraven hanteras och vem enskilda ska vända sig till med frågor ska fastställas och göras känt. Exempelvis kan detta göras via lokala hemsidor på www.posk.se 

Observera att POSK’s hemsida www.posk.se har utgivningsbevis, det vill säga är en journalistisk produkt som lyder under Tryckfrihetsförordningen. Allt innehåll, både ord och bild, som publiceras på hemsidan gör det på ”ansvarig utgivares” ansvar. Utgivningsbeviset omfattar även de lokala sidorna på www.posk.se och dataskyddsförordningen (GDPR) gäller alltså INTE hemsidan. 

Läs även POSKs integritetspolicy.
För fördjupning om regelverken, läs mer på Datainspektionens hemsida.

Nedladdningsbar PDF:
Information om GDPR