Bas

Behandling av personuppgifter (GDPR)

En båtklubb måste behandla personuppgifter i sin verksamhet. Man behöver ett medlemsregister för att veta vem som är medlem, men i de flesta fall behöver man behandla personuppgifter mer än så. Behandling av personuppgifter regleras på olika sätt. Den reglering som påverkar båtklubben mest i detta sammanhang är GDPR.

Vad är GDPR?

General Data Protection Regulation (engelsk benämning)
Allmänna dataskyddsförordningen (svensk benämning)

I Sverige ersätter den (bl a) Personuppgiftslagen (PUL) som var en nationell lagstiftning som byggde på ett EU-direktiv från 1995.

Dataskyddsförordningen (GDPR) gäller i hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Förordningen gäller när organisationer behandlar personuppgifter. Samma regler gäller inom hela EU.

Mycket i dataskyddsförordningen liknar de regler som fanns i personuppgiftslagen. På samma sätt som enligt PUL får man till exempel behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning. De registrerade har även i fortsättningen rätt att få information om den personuppgiftsbehandling som sker – och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om hälsa, etniskt ursprung, sexuell läggning, politisk uppfattning eller religiös tro ställs särskilda krav (känsliga personuppgifter).

GDPR i sju punkter 
  1. Rätt till tillgång av din data.
    Som EU-medborgare har du rätt att veta vilken data en organisation har om dig och hur den används.
  2. Rätten att bli glömd
    Organisation ska sluta använda och/eller radera din persondata om du ber om det.
  3. Dataportablitet
    Du har rätt att flytta din data från en organisation till en annan, ungefär som du i dag kan flytta ditt mobiltelefonnummer från en operatör till en annan.
  4. Inbyggt dataskydd
    Om ett system är designat för att leva upp till GDPR-standard har man vad som brukar kallas inbyggd dataskydd, eller ”privacy by design”.
  5. Lämpliga säkerhetsåtgärder
    Organisation ska löpande vidta åtgärder för att skydda persondata.
  6. Rapporteringsplikt
    Organisation måste rapportera incidenter som rör persondata till tillsynsmyndighet (i Sverige är det Datainspektionen) inom 72 timmar. I vissa fall ska även berörda EU-medborgare informeras. Exempel på incidenter är: dataintrång, dataförlust eller annan felaktig behandling av personuppgifter.
  7. Utökat dataskydd
    Även organisation utanför EU omfattas av GDPR så länge den hanterar EU-medborgares data.

Länkar