Morgonforum om dataskydd inom ideell sektor

Representanter från mer än 100 organisationer var på plats i ABF-huset i Stockholm den 15 september 2017 då den nya dataskyddsförordningen stod på agendan för Morgonforum. Seminariet arrangerades på initiativ av TechSoup Sverige, som är en del av Forum – idéburna organisationer med social inriktning. Ett 60-tal följde seminariet live på nätet och i dagsläget har mer än 560 har sett inspelningen av seminariet som finns teckentolkat på YouTube.

Den nya dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen som börjar gälla den 25 maj 2018 ersätter personuppgiftslagen (PuL) och innebär förändringar och krav på åtgärder, inte minst för alla med ett medlemsregister. Kritiker har menat att den innebär risker för civila samhället, medan lagens försvarare hyllat den som ett framsteg.

Seminariet inleddes med att Amelia Andersdotter från föreningen Dataskydd.net presenterade vad det nya dataskyddet innebär och vilka utmaningar den ideella sektorn kan komma att få. (Inspelning av Amelias presentation finns att se här.) Anna Ardin, verksamhetsledare för Morgonforum, modererade sedan en panel bestående av Mattias Hjelmberg från Riksidrottsförbundet och David Schreiber från Front Advokater. Tillsammans diskuterade de utmaningar som kan uppstå och potentiella lösningar. Nedan finner du ett referat från seminariet.

Vill du efter seminariet fortsätta följa vad GDPR innebär för civilsamhället, få tips om utbildningar och liknande kan du prenumerera på TechSoup Sveriges nyhetsbrev om dataskydd. Utbildningsmaterial, mallar, checklistor och annat kommer även att samlas här på sidan om dataskydd på TechSoup Sveriges webbplats.


  

Hur påverkar det nya dataskyddet ideella sektorn?

Referat från Morgonforum i ABF-huset i Stockholm, 15 september 2017

Amelia Andersdotter arbetar med den ideella föreningen Dataskydd.net som verkar för ett framförallt bättre dataskydd för privatpersoner i tekniska och juridiska miljöer. Hon har varit direkt involverad i att ta fram dataskyddsförordningen. Lagstiftningen, som träder i kraft den 25 maj, kommer att ersätta den svenska personuppgiftslagen som hittills styrt hur personuppgifter samlas in och behandlas.

Den nya lagen innehåller flera bestämmelser om privatpersoners rättigheter. Den stärker även de skyldigheter som olika typer av verksamheter har, som samlar in och behandlar uppgifter. I kombination med detta väntar skarpare sanktioner de aktörer som inte följer lagen på rätt sätt. 

Den nya förordningen kan ses som ett stöd på vad en ska tänka på när en utgår från demokratiska principer, menar Amelia. Hon fortsätter med att diskutera några områden som hon tror verksamheter i den ideella sektorn kommer ha svårigheter med att implementera.

  • Varje organisation behöver veta vilka personuppgifter de behandlar. Personuppgifter ska dessutom förstås i sin bredaste bemärkelse. Det inkluderar därmed allt som kan kopplas till en levande person.
  • Den nya dataskyddsförordningen ger privatpersoner rätt till att få veta när sådant som berör deras uppgifter går fel. Organisationer behöver rutiner för att kunna följa denna procedur. Här tycker Amelia att ideella organisationer kan hämta inspiration från incidentrapporter av teleoperatörer. Många av dessa är pedagogiska, och förklarar vad som hänt och hur det har rapporterats till de som berörts.
  • Förordningen uppmanar även till att minimera insamling av uppgifter. Därför bör organisationer fundera över om de verkligen behöver personuppgifter i registret eller om de t ex kan använda pseudonymer. När organisationen väl har koll på de uppgifter som behandlas, kan det vara bra att utgå från datainspektionens riktlinjer för inbyggt integritetsskydd.
  • Många organisationer kommer att behöva utbilda sina medlemmar i dataskydd. I och med att dataskydd är en grundläggande rättighet inom EU och i hela området för Europeiska rådet, är det en viktig del i värdegrundsarbetet. Rätten till dataskydd och privatliv kan dock upplevas som abstrakta i den bemärkelsen att det är svårt att respektera andras privatliv. Hur data behandlas kan ha stor påverkan för privatpersoner, och måste därför tas hänsyn till i värdegrunderna.
  • Organisationer bör fundera över i vilken utsträckning de kan lära sig att tacka nej till sponsorer eller andra aktörer som kräver personuppgifter i utbyte mot exempelvis ekonomiskt stöd. Sponsorerna borde inte ha ett annat val än att godta, i och med förordningen.

Dataskyddslagstiftningen består däremot inte enbart av ett antal processuella regler för insamling och behandling av personuppgifter. Lagstiftningen är framförallt principiell, och har en stark bas i flera konventioner om mänskliga rättigheter, berättar Amelia. Rätten till dataskydd är kodifierad i EU:s stadga för grundläggande rättigheter, och rätten till privatliv finns i europeiska konventionen för mänskliga rättigheter. Rätten till privatliv och dataskydd prioriteras ofta över exempelvis rätten till yttrandefrihet. Om en inte är en självständig individ som har kontroll över sig själv och hur en påverkas av andra aktörer, är det svårt att bilda sig en uppfattning om det som händer i samhället, menar hon.

Lagstiftningen bottnar i förståelsen om att våra identiteter är större än vår fysiska form, menar Amelia. Den ska förse oss med de verktyg vi behöver för att få insyn i vilka typer av identitet som skapats om oss i olika organisationer, samt vilka och hur de försöker att påverka oss. Det kan exempelvis handla om vilka vi pratar med, vart vi bor och vilka sociala kretsar vi rör oss i, säger hon. I stort handlar det om att få insyn i hur vi som privatpersoner kartläggs av olika aktörer som samlar information om oss, och vad vi kan göra åt det. Med hjälp av förordningen kan vi ha kontroll över oss själva, och genom den kontrollen kan vi känna oss trygga i att uttrycka våra åsikter, säger Amelia.

Amelia tar även upp bristerna med förordningen. Det är en kompromissprodukt mellan 28 olika medlemsstater och 751 ledamöter i Europaparlamentet som under fyra års tid diskuterat över olika gränsdragningar, berättar hon. Lagstiftningstexten är inte alltid optimal, och kan innehålla kryphål. Vad dessa kryphål innebär vet vi inte förrän EU-domstolen behöver uttala sig. Det blir både dyrt och tidskrävande att vänta på absolut juridisk säkerhet. Men har organisationen bra värdegrunder och lyckas integrera arbete med respekt för privatliv, kommer den i princip inte överträda förordningens olika bestämmelser, menar hon.

Panelen intar scenen.

David Schreiber, jurist på Front Advokater, har jobbat med PuL-relaterade frågor i fem år. Nu sitter han dagligen med olika typer av aktörer med problematik kring dataskyddsförordningen. Mattias Hjelmberg arbetar på Riksidrottsförbundet.

David menar att förordningen är mycket som PuL, och bygger på samma principer. Problemet är att PuL inte har följts särskilt bra, säger han. Med den nya förordningen har vissa regler förtydligats, men även sanktioner har skärpts. Dessa frågor uppmärksammas dessutom mer idag på grund av den digitala utvecklingens framgång, menar han. Det han ser som en utmaning för idéburna organisationer är den ökade administrationen. Att gå genom personuppgifter och rutiner kan kräva stora åtgärder. Men om en har tänkt till och dokumenterat det en har gjort och kan presentera det, behöver en inte vara orolig, menar han.  

För Mattias är eventuella böter inte det största problemet, utan det handlar mer om viljan att följa lagen på rätt sätt och respektera medlemmarna. Vi hanterar jättemycket personuppgifter, och vi behöver hjälp av Datainspektionen att göra rätt – någon sorts uppförandekod där vi hjälps åt, säger han. Problemet när förordningen väl ska implementeras i en ny dataskyddslag är att civilsamhället inte har funnits med i utredningen, och det finns ingen konsekvensanalys om hur lagen kommer att slå mot föreningslivet, menar han. Regeringen bör göra det lätt för oss genom att förtydliga ett antal saker, t ex hur vi hanterar medlemskapet. Vi behöver även se över våra egna stadgar, titta på de register vi har, och hur vi hanterar vem som har insyn, tillägger Mattias.

Mattias menar att individens och organisationens perspektiv krockar. Föreningen behöver medlemsregister för att bedriva den vanliga verksamheten som innehåller många personuppgifter. De ska vara tillgängliga för ett antal människor omkring. Där behöver vi förtydliga för våra medlemmar vad de går med på när de blir medlemmar, säger han.

Han tar upp några frågor som de behöver få förtydligande på. Ibland skickas det personuppgifter mellan den lokala föreningen och distriktsförbundet. Är det tillåtet? Vilka uppgifter får en skicka och vem får ta emot dem? Idrottsrörelsen hanterar även statliga pengar och fördelar bidrag. Där finns också en del otydligheter i exempelvis vilka uppgifter som är rätt att samla in i syfte att berätta för staten vad föreningen gör för pengarna, menar han. Det finns även specifika frågor, exempelvis hälsofrågor som dopingfrågan. Har en rätt att samla uppgifter om vilka läkemedel personer använder för att de ska få dispens, undrar Mattias. Där behövs ett extra skäl för att få hantera dem uppgifterna.

David instämmer med Mattias om att vissa delar inte är så tydliga. Där kan jurister hjälpa till att känna på flexibiliteten med lagen, säger han. Uppgifter som kan vara känsliga ska vara tillåtna att behandlas om de är direktkopplade till kärnverksamheten. Problem uppstår om EU-lagstiftning definierar idrottsförbundens kärnverksamhet till att bestå av själva idrotten. Där uppstår en gråzon, menar David. Problemet är att vår sektor inte finns resonerat kring. Då vet man inte vart gränserna går, och vad som behöver förändras, säger Mattias.

Panelen tar emot frågor från publiken.

Hur ser ni på förhållandet mellan riksorganisation och lokalföreningar?

Det är en fråga som vi som har den strukturen behöver fundera på, säger Mattias. En kartläggning över register och hur uppgifterna används är viktigt. Vi behöver även jobba med våra stadgar och det som står där om vilka uppgifter riksorganisationen respektive lokalföreningen får samla, fortsätter han. En kan ju använda samtycke, men det är svagare än avtal, menar Mattias.

David menar däremot att samtycke är rätt starkt, men samtidigt ska den kunna tas tillbaka av den som samtyckt. Han menar att organisationer inte alltid tänker efter anledningen till personuppgiftsbehandlingen. De samlar i stort sett alla syften för behandlingen av PuL, bakar ihop det, och ber individer att samtycka till all behandling. Det är inte tillåtet, menar han. Uppgifter får sparas om organisationen har ett tydligt syfte med att bevara dem. Då är det också viktigt att informera medlemmarna om varför man sparar uppgifterna, och hur länge, säger han.

Även han ser kartläggning som ett första steg, och menar att stadgar, system och hur medlemsvärvningen ser ut bör kartläggas. När en har det framför sig kan en också se var det brister, eller vilket område som ska prioriteras, säger David.

Mattias berättar att enligt medlemskapsavtalet tas personuppgifter bort när medlemskap avslutas. Men han tycker att det ur ett forskningsperspektiv skulle vara intressant att se förändringarna över tid. Vi vill kunna titta bakåt, och då skulle vi vilja behålla en del uppgifter för att se utvecklingen om 10 - 20 år, säger han.

Vilka regler gäller vid användning av externa verktyg, som t ex verktyg för nyhetsbrev där en ofta exporterar e-postadresser som sedan laddas upp på en bolagsserver utanför EU?

Tjänster som nyhetsbrevs- och molntjänster förekommer ofta. Enligt lagstiftningen måste en säkerställa att det är samma skydd i landet som tar emot uppgifterna som det är inom EU – där samtliga länder omfattas av förordningen. Amerikanska myndigheter och EU-kommissionen har tagit fram en överenskommelse kallad Privacy Shield som amerikanska företag kan ansluta sig till, berättar han. Dessa företag har en korrekt skyddsnivå, vilket innebär att det är ok att skicka uppgifter till dem. I de fall det inte är så behövs särskilda avtal mellan parterna, vilket kan bli knepigt, menar David. En bör framförallt ta reda på var leverantören befinner sig, och om de är anslutna till en tjänst som ger korrekt skyddsnivå. Detta gäller både för digitala lösningar, och för konsulter utanför EU som tar emot personuppgifter.

Panelen avslutar diskussionen med några idéer.

Civilsamhället skulle kunna ta fram en idé för branschkoder gällande PuL, och få det godkänt av Datainspektionen. Föreningar skulle då kunna behandla personuppgifter enligt en sådan kod, vilket skulle underlätta för civilsamhället en hel del. Vi kommer att börja med det arbetet på Riksidrottsförbundet, säger Mattias. Vi, stora paraplyorganisationer, behöver hjälpa våra medlemsföreningar.

Vad gäller administration, tycker Mattias att det borde gå att klara av den ordinarie verksamheten när en väl har gjort jobbet och har IT-systemen på plats. Det blir en puckel i arbetsinsats, där skulle det behövas mer resurser och stöd, säger han. Andra organisationer har lyft fram att några av studieförbunden ska få ett särskilt uppdrag att vara stöd till ideella när datalagen ska implementeras, tillägger han.

David tycker att Datainspektionen ska ta sitt ansvar och ge stöd till dem som de vet kan ha det svårare. De har varit alldeles för passiva med sina instruktioner, menar han. Anna tillägger att även Forum har upplevt att det finns en aktiv politik för att minska administrationen för näringslivet mer än för ideella sektorn. Det viktiga är att sätta igång med det som är möjligt, och dokumentera för att visa att ni tänker på lagen, menar David. Parallellt med det kan organisationer försöka organisera sig i paraplyerna. Men vänta inte med att implementera lagen, efter som det är skarpt läge nu. Mattias uppmanar paraplyerna till att ta kontakt med Regeringskansliet. Om ni inte är paraplyer, ta kontakt med era paraplyer och be dem göra det, säger han.

Om du som läsare har frågor kring förordningen kan du höra av dig till TechSoup, som hjälper ideella föreningar med digitalisering. På techsoup.se/dataskydd finns en länksamling och ett nyhetsbrev som en kan anmäla sig till. TechSoup kommer att prata vidare med olika aktörer och se om en gemensam fortsättning kan erbjudas, möjligtvis via en Q & A.