SÅHÄR FUNGERAR DATASKYDDSFÖRORDNINGEN I SCOUTERNA
SÅHÄR FUNGERAR DATASKYDDSFÖRORDNINGEN I SCOUTERNA
Version: 2.5.2018.
Scoutverksamheten förutsätter att vi behandlar personuppgifter, t.ex. då en kårstyrelse skall godkänna nya medlemmar eller då kåren arrangerar evenemang. Med personuppgift avses varje sådan upplysning om en registrerad person som direkt eller indirekt kan göra denna identifierbar. Personuppgifter är t.ex. namn och fotografi.
Var och en av oss som behandlar personuppgifter bör känna till sina rättigheter och skyldigheter. Denna anvisning behandlar i allmänhet GDPR-förordningen, och hur vi inom scouterna bör förhålla oss till den. I slutet av anvisningen finns scoutrelaterande exempel. Som komplement till detta dokument finns även en check-lista som är ett mer konkret verktyg för kåren.
Anvisningar, dokument och modellblanketter publiceras på svenska på adressen xxx.xxxxx.xx/xxxxxxxxx (finska: xxx.xxxxxx.xx/xxxxxxxxxx)
Suomen Partiolaiset - Finlands Scouter ry (FS) har publicerat förutom detta dokument följande anvisningar:
Check-lista för kåren
Dokumentet kompletterar denna anvisning och ger kåren konkreta uppgifter som behöver ses över för att uppfylla de krav GDPR-förordningen ställer.
Databehandlingsavtal – enbart på finska ännu
Finlands Scouter och scoutkårerna ingår ett gemensamt datahanteringssavtal, där man kommer överens om ansvar och roller gällande behandling av personuppgifter i enlighet med förordningen. Anvisningar gällande detta skickas till kåren under maj.
Användaravtal - enbart på finska ännu
Användarvillkoren för Kuksa finns samlade som ett användaravtal som de registrerade med ett uppdrag godkänner före de kan använda Kuksa. Då den tekniska uppdateringen gjorts senare i maj, godkänner man användaravtalet vid följande login.
Användaravtal introduktion för minderårig - enbart på finska ännu
Anvisning för minderåriga finns till för att klargöra användaravtalet specifikt för under 18-åriga ledare. Anvisningen är även ämnad att fungera som ett diskussionsbotten vid handslagsdiskussioner.
Informationsdokument modell för kåren - enbart på finska ännu
Informationsdokumentet beskriver hur och varför vi behandlar personuppgifter inom scouterna. Finlands Scouter har utarbetat gemensamma nationella informationsdokument. I undantagsfall bör scoutkåren göra upp egna informationsdokument.
För mera information:
Xxxxx Xxxxxxxx hallintopäällikkö tfn (0)00 000 0000
Xxxxx Xxxxxxx jäsenhallintakoordinaattori tfn (0)0 0000 0000
1 Dataskyddsförordningen och principer för behandling av personuppgifter
Dataskyddsförordningen GDPR (General Data Protection Regulation) tillämpas från och med 25.5.2018. Förordningen har trätt i kraft redan 25.5.2016. Utöver dataskyddsförordningen gäller en kompletterande nationell dataskyddslag i Finland.
Även om dataskyddsförordningen oftast framhålls ur en reglerande och begränsande synvinkel, är det framför allt en möjlighet för oss inom scouterna att förbättra behandlingen av personuppgifter och leda scoutkårens verksamhet ännu mer ansvarsfullt. Det är föreningens skyldighet på samma sätt som t.ex. bokföring.
Dataskyddsförordningen fastställer principer för behandling av personuppgifter, som bör följas i alla fall då personuppgifter behandlas:
Uppgifter skall behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet)
Personuppgifter ska samlas in för särskild, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning)
Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering)
Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet)
Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering)
Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentiellt)
Dataskyddsförordningen (GDPR, EU 2016/679) finns även publicerad på finska och svenska
Syftet med dataskyddsförordningen är att förbättra skyddet för personuppgifter, befrämja öppenhet kring behandling av personuppgifter och hindra missbruk. Med hjälp av välplanerade datasystem och omsorgsfull behandling av personuppgifter försäkrar vi oss om att scouternas personuppgifter används endast till det ändamål de insamlats.
Finlands Scouter ansvarar för scouternas datasystem, d.v.s. tekniska och administrativa åtgärder som t.ex. avtal och dataskydd i Kuksa. Ett av verktygen för detta är godkännandet av användaravtalet för Xxxxx vid användarregistrering.
2.1. Centrala begrepp och principer
Dataskyddsförordningen innefattar fyra centrala begrepp som kårens styrelsemedlemmar och specifikt medlemsregisteransvarig bör känna till. Vid behov får kåren mera information av Finlands Scouter eller scoutdistriktet/FiSSc.
1. Ansvarsskyldighet
Varje förening, scoutkår, bör kunna bevisa hur den följer förordningen vid behandling av personuppgifter i sin verksamhet. Med andra ord är kåren ansvarsskyldig. Finlands Scouter har framställt en check-lista för kårerna med hjälp av vilken kåren kan påvisa att den följer förordningen.
Inom scouterna använder vi i regel gemensamma informationsdokument. Dessa dokument ersätter tidigare använda registerutlåtanden. Genom att använda de gemensamma informationsdokumenten (för Kuksa) uppfyller scoutkåren sin skyldighet att informera medlemmar, målsmän och övriga frivilliga inom verksamheten.
Medlemsansökningsblanketten kommer att uppdateras så att den informationsmässigt uppfyller dataskyddsförordningen.
Som registerägare är man alltid skyldig att berätta åt den registrerade att man behandlar (eller om eventuella förändringar i behandlingssättet) dennes personuppgifter inom verksamheten, d.v.s. man bör informera den registrerade. Då en person blir medlem och fyller i medlemsansökningsblanketten bör denne få tillgång till principerna för hur behandling av personuppgifter inom scouterna sker.
2. Laglig grund
Behandling av personuppgifter bör alltid ha en laglig grund. Finlands Scouter har definierat principerna för varför vi behandlar personuppgifter inom scouterna.
Laglig grund och principerna för behandling bidrar även att eventuell för verksamheten oväsentlig information som lagras, bör förstöras då den inte längre behövs. En livslängd för hur länge dylika uppgifter lagras bör även definieras. Finlands Scouter har definierat en livslängd för dylika personuppgifter i t.ex. Kuksa.
Om scoutkåren har personuppgifter lagrade annanstans än i Kuksa (eller för annat ändamål) bör kåren bedöma huruvida uppgifterna är nödvändiga för verksamheten, därefter radera onödiga uppgifter och informera personerna om att kåren upprätthåller dylika uppgifter i ett register. Finlands Scouter har utarbetat ett modelldokument för denna typ av informerande, där kåren fyller i sina egna uppgifter.
3. Den registrerades rättigheter
Den registrerade har rätt att få tillgång till all lagrad information om sig i klarspråk, inom en månad från att denne ansökt skriftligt därom.
Efter att man kunnat försäkra sig om den sökandes identitet ger Finlands Scouters kundtjänst ut den information som finns lagrad i scouternas gemensamma system.
Scoutkåren ansvarar för att ge ut eventuell information som man lagrat om medlemmarna i kårens egna register (pappers eller elektroniska), ifall dessa system är något annat än Kuksa och övriga gemensamma digitala datasystem inom scouterna. Kåren bör försäkra sig om den ansökandes identitet.
4. Personuppgiftsansvarig och personuppgiftsbiträde
Finlands Scouter, scoutdistrikten/FiSSc och scoutkårerna är alla personuppgiftsansvariga. Med personuppgiftsansvarig avses en organisation som behandlar personuppgifter för egen verksamhet. Personuppgiftsbiträde är på motsvarande sätt den organisation som behandlar personuppgifter åt och för den personuppgiftsansvariga. Finlands Scouter är t.ex. personuppgiftsbiträde i det fall då de erbjuder ett datasystem (Kuksa) år scoutkårerna för behandling av personuppgifter.
Finlands Scouter och scoutkårerna bör därmed ingå ett användaravtal, där man kommer överens om transparens gällande behandling av personuppgifter, ansvar och roller i Xxxxx. Kårchefen godkänner och undertecknar avtalet i kårprofilen i Kuksa. Därefter blir det godkända avtalet synligt i kårens profil. Separata anvisningar gällande detta skickas till xxxxx.
2.2 Laglig grund för behandling av personuppgifter inom scouterna
Till följande definierar vi den lagliga grunden för behandling av personuppgifter inom scouterna. Dessa finns även beskrivna i sin helhet i Finlands Scouters informationsdokument (xxx.xxxxxx.xx/xxxxxxxxxx xxx.xxxxx.xx/xxxxxxxxx) som dataskyddsförordningen kräver att ska finnas. Grunderna nedan omfattar i allmänhet all behandling av personuppgifter inom scouterna.
Att hantera personuppgifter kräver alltid en laglig grund. Den lagliga grunden berättar t.ex. åt den unga scouten varför scoutkåren samlar in och lagrar information om denne. Den lagliga grunden ger dig inte rätt att samla in vilken information som helst eller tillåtelse för vem som helst att hantera uppgifterna.
1 Medlemmar, målsmän och frivilliga
Medlemmarnas och deras målsmäns personuppgifter behandlas för att kunna förverkliga scoutverksamhet. Med hjälp av den elektroniska medlemsansökningsblanketten samlas personuppgifter in av medlemmar och deras målsmän. Personuppgifter samlas även in under medlemskapet, t.ex. då personen uppdaterar sina uppgifter i Kuksa. Målsmannen ger sitt samtycke till detta då det gäller ett minderårigt barn och förmyndaren då det gäller en omyndigförklarad medlem.
2 Deltagare på evenemang
Då en medlem anmäler sig till ett evenemang (i Kuksa), ombedes denne t.ex. uppge eventuella allergier. Dylika uppgifter tillhör kategorin särskilda personuppgifter, eller känsliga personuppgifter. Dessa uppgifter behandlas på basen av det samtycke deltagaren ger i sin anmälan. Känsliga uppgifter raderas alltid efter evenemanget, då de inte längre behövs.
3. Kunder
Kunder inom scouting är t.ex. de personer som köper en adventskalender i webshopen eller ansluter sig till Scoutingens vänner. Kundrelationen som då skapas fungerar som en laglig grund för behandling av personuppgifter. Om kåren har en egen webshop eller egna donatorer, bör den noggrannare tillsammans med Finlands Scouter se över den lagliga grunden för denna typ av register.
4 Övriga förekommande fall där personuppgifter behandlas
I scouterna kan det utöver redan nämnda fall uppkomma behov att behandla personuppgifter i övriga situationer. Sådana fall är t.ex. distrikts-/förbundsläger och världsjamboreer. Finlands Scouter rekommenderar att man för dylika evenemang gör upp ett särskilt informationsdokument. Obs! Vanliga kårläger och kårevenemang som administreras i Kuksa kräver inga skilda informationsdokument.
3 Vardagliga dataskyddsexempel inom scouterna
Nedan finns några konkreta exempel från scoutverksamheten. De åskådliggör varsam behandling av personuppgifter och bör ses som anvisningar och råd för hur kåren uppfyller de skyldigheter dataskyddsförordningen ställer.
Känns något ännu oklart eller svarade vi inte på dina frågor? Ta kontakt, vi publicerar exempel på websidorna xxx.xxxxxx.xx/xxxxxxxxxx / xxx.xxxxx.xx/xxxxxxxxx och uppdaterar även gärna dessa anvisningar så att svaren och god praxis är till nytta åt alla.
Kårledare kan enbart se och komma åt de uppgifter som uppdraget de innehar ger befogenheter till. Xxx kompis bör försäkra sig om att hen har rätt att behandla uppgifterna hen frågar efter. Kuksa är uppbyggt enligt användarrättigheter per uppdrag. Principen är att du inte får skicka personuppgifter åt en annan ledare i kåren (t.ex. excel per e-post). De personer som har rätt att behandla uppgifter ska göra det i Kuksa. Personuppgifter får aldrig delges åt utomstående personer som inte har ett uppdrag som ger tillhörande rättigheter i Kuksa.
Hur ska vi godkänna nya medlemmar på kårstyrelsens möte?
Man får per sig inte bifoga en lista på nya medlemmar till mötesprotokollet. Medlemsuppgifterna finns i Kuksa där rapportmöjligheterna kontinuerligt utvecklas. Däremot kan ni vid behov bifoga en lista på medlemsnummer eller an-talet nya medlemmar, så att personerna inte kan identifieras. Observera att medlemsnummer är en indirekt person-uppgift, men ett bättre alternativ än namn.
Nej, personuppgifter får inte delges andra. I informationsdokumenten för Xxxxx beskrivs de fall då personuppgifter får överlåtas. Däremot kan kåren ge ut statistik där enskilda personer inte kan identifieras, t.ex. medlemsantal.
Scouternas personuppgifter så som e-postadresser ges inte till direktmarknadsföring och personuppgifter får inte överlåtas till tredje part. Personuppgifter får heller inte publiceras på t.ex. kårens webbsida, i medlemstidningar eller i verksamhetsberättelsen eller årsboken, bortsett från styrelsens medlemmar eller övriga ansvariga medlemmar i för-troendeuppdrag. Medlemsuppgifter finns i Kuksa för att begränsa behandlingen av dem och att inte tillåta oändligt många behandlare tillgång till dem. De överföringar av personuppgifter som är tillåtna beskrivs i behandlingsdokumentet för scouternas datasystem FS interna dokument).
Anmälan till scoutevenemang sker i regel i Kuksa, då uppgifter samlas in och lagras säkert. Administration av evenemang i Kuksa är viktig även med tanke på rapportering och statistik. Ibland kan man ha behov av att samla in uppgifter på annat vis, i sådana fall bör uppgifterna raderas direkt efter evenemanget, då uppgifterna inte längre behövs. Observera att uppgifter ni samlat in för ett evenemang inte får användas till andra ändamål.
Kan jag bearbeta personuppgifter i en Excel-fil?
Dataskyddsförordningen berör både elektroniskt material och papperslistor. Personuppgifter får behandlas i Excel-listor, men då krävs extra försiktighet. Det är t.ex. inte säkert att spara Excel-filer från Xxxxx på sin egen dator, eftersom kåren då kan ha svårt att bevisa att kåren vet var personuppgifter finns och vem som har tillgång till dem. En bra grundregel är att listan vare sig den är elektronisk eller till pappers förstörs genast då man inte längre har behov av den, t.ex. då evenemanget har avslutats.
Ni kan fortsättningsvis bra ta ut en lista från Kuksa inför ett evenemang. Men både elektroniska och papperslistor bör totalförstöras då evenemanget är över. Observera principen för ändamålsbegränsning: uppgifter om allergier och xxxxxx xxxxxx endast i köket, ekonomen behöver namn och kontaktuppgifter så att betalningar kring deltagaravgifter kan faktureras eller kontrolleras. Att förstöra dokument betyder att de bränns eller läggs i en dokumentförstörare. Att tappa bort dylika listor eller slänga dem som sådana i pappersinsamlingen är att försumma dataskyddet.
Jag har en lista på kårmedlemmarnas allergier på min dator, är det ok?
Allergier är hälsouppgifter och anses tillhöra kategorin känsliga uppgifter. Behandlingen av dylika uppgifter är i regel inte tillåtet. Dylika uppgifter kan dock behandlas med tillstånd från personen för ett specifikt ändamål. I scoutverk-samheten värnar vi om säkerhet. Uppgifter gällande allergier och eventuell medicinering bör dock alltid efterfrågas skilt för varje evenemang och dylika uppgifter får inte lagras utöver den tid de behövs för evenemanget. Efter en teknisk uppdatering i Kuksa kommer dylika uppgifter att per automatik raderas efter evenemang.
Vilka uppgifter kan kåren arkivera efter ett evenemang?
Scoutkåren får arkivera uppgifter som inte identifierar enskilda medlemmar, t.ex. deltagarantal. Notera dock att om ni samlat in en deltagaravgift bör uppgifter om deltagare lagras enligt bokföringslagen 1336/1997 i sex år. Känsliga uppgifter, t.ex. allergier bör förstöras direkt efter evenemanget.
Behöver man samtycke från ett barns båda målsmän, för att kunna behandla dennes uppgifter?
Då ett barn blir medlem i en scoutkår, fyller den ena målsmannen i kårens elektroniska blankett för medlemsansökan. I den elektroniska blanketten ger målsmannen personligt och medvetet samtycke (för minderårig och person som sak-nar rättshandlingsförmåga) till att barnets personuppgifter behandlas inom scouterna. Det räcker att den ena måls-mannen ger sitt samtycke. Under 15-åriga medlemmar kan inte ha ett uppdrag i Kuksa och de kan inte få tillgång till Office 365.
En medlem i scoutkåren har spärrmarkering – vad betyder det och hur skall vi göra?
Spärrmarkering är en typ av förbud för överlåtelse av personuppgifter. Utöver detta även finns förbud för överlåtelse av adressuppgifter och marknadsföringsförbud. Vem som helst kan ansöka om förbud för överföring av personuppgifter. Var och en av oss har rätt att förbjuda överlåtelse av våra uppgifter från befolkningsregistret till privata organisatörer (t.ex. direkt marknadsföring, telefonförsäljning, marknads- och åsiktsundersökningar, adresstjänster och släktforskning eller personmatriklar). Spärrmarkering är den mest omfattande typen av förbud som kan ansökas om en person har befogad orsak att misstänka att hens eller hens familjs säkerhet är hotad. Beslut om spärrmarkering görs av magistraten. Även om en spärrmarkering i sig gäller för befolkningsregistret respekterar Finlands Scouter personens integritet så fort en anmälan därom nått förbundet och överlåter inte personens uppgifter till andra.
Hur länge bör scoutkåren arkivera sina dokument?
Dataskyddsförordningen tar inte ställning till hur länge scoutkåren skall arkivera sina dokument, men enligt tidigare beskrivna principer för behandling av personuppgifter får personuppgifter enbart lagras så länge man har en laglig grund för behandlingen och uppgifterna används för det ändamål de uppgetts.
Personuppgifter kan således lagras endast så länge som principen för behandlingen på laglig grund inte rimligen kan förverkligas på annat vis. Principen kan vara definierad av kåren (t.ex. uppgifter som behövs för arrangemang kring evenemang) dock beaktande den tillämpade principen för behandling av personuppgifter, eller en av lag berättigad behandling då lagring av personuppgifter är berättigat i enlighet med den tid lagen uppger.
Scoutkåren bör lagra verksamhetsårets verifikat eller kvitton (bokföringsmaterial) i enlighet med bokföringslagen 1336/1997 i sex år räknat från slutet av det kalenderår som bokföringsmaterialet baserar sig på. Bokslut, verksamhetsberättelse och bokföringen bör arkiveras i 10 år efter utgången av verksamhetsperioden. Alla dessa dokument kan innehålla personuppgifter, vars arkivering är tillåten den tid lagen förutsätter, då det är fråga om uppgifter som krävs för att säkerställa bokföringsmaterialets integritet och tillförlitlighet.
Vad bör jag beakta i mina e-post utskick?
Då du skickar e-post till flera personer, lägg mottagarna i fältet för hemlig kopia. Märk ut i början av e- postmeddelandet vilka grupper som är mottagare för e-postmeddelandet. En bra grundprincip är att mottagarnas e-postadresser inte är synliga i meddelandet. Skicka inga personuppgifter och fråga aldrig efter personbeteckning per e-post. Om du vill skicka en deltagarlista till alla deltagare före ett evenemang, bör du ha tillstånd till detta från alla (från målsman då det gäller minderåriga scouter).
På vilket sätt måste jag beakta dataskyddet med tanke på min telefon, läsplatta eller dator?
Via din telefon och läsplatta har du ofta en direkt åtkomst till appar, sociala medier och personuppgifter. Om du t.ex. använder Kuksa eller O365 via din telefon eller läsplatta, skydda apparna då med en kod eller upplåsningsmönster. På så sätt undviker du att utomstående kommer åt personuppgifter via din telefon etc. Skydda även din dator, med login och sekretesskydd (privacyfilm).
Vad behöver jag tänka på gällande webbsidor och sociala medier?
Publicera inga listor som inkluderar personuppgifter på kårens websida eller i kanaler på sociala medier. Kårstyrelsens uppgifter får publiceras på websidan, men fråga även i detta fall efter samtycke först. Lägg inte till någon i Whatsapp-grupper utan deras samtycke. Om ni har ett scoutevenemang, där man kan anmäla sig via Facebook, notera då att del-tagaren enbart gett sitt tillstånd till Facebook. Uppgifter från Facebook får inte överföras annanstans. Därför är vår rekommendation att ni administrerar era evenemang enbart via Kuksa.