GPDR

Tidigare i svensk rätt gällde personuppgiftslagen (1998:204) som upphävdes i och med den numera gällande dataskyddsförordningen (2016/679/EU), en förordning som samtliga medlemsstater i den Europeiska unionen har att tillämpa som nationell lagstiftning och som är mer känt i dess förkortade form, GDPR. 

Avsikten med förordningen är, som framhålls i dess skäl 2, att skapa ett område med frihet, säkerhet och rättvisa. De gränsöverskridande interaktionerna mellan nationer och de ökade kontakterna mellan privatpersoner och företag medför behovet av regelrätt kontroll och främst av allt: en rättslig säkerhet avseende de personuppgifter som lämnas i samband med dessa interaktioner och kontakter. Av just den anledningen, att garantera höga skyddsnivåer i behandlingen, tillkom GDPR. 

GDPR gäller alltså som lag i Sverige. Av artikel 1.2 framgår att förordningen skyddar fysiska personers rätt till skydd av personuppgifter. Av artikel 2.1 gäller att förordningen är tillämplig när behandlingen sker på helt eller delvis automatisk väg och när uppgifterna ingår eller kommer att ingå i ett register. 

Med personuppgifter avses, som framgår av artikel 4.1, varje upplysning som avser en identifierad/identifierbar fysisk person, med vilket menas att denne kan identifieras med stöd av namnet, ett identifikationsnummer, lokaliseringsuppgift, onlineidentifikatorer eller en/flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Vidare förstås behandling som en åtgärd såsom bland annat insamling, registrering, organisering, utlämning genom överföring, spridning, framtagning, ändring och dylikt (art. 4.2). I samma artikel förklaras att personuppgiftsansvarig är den fysiska eller juridiska personen som ensamt eller tillsammans bestämmer ändamålen och medlen för behandlingen av personuppgifterna (art. 4.7) Yttermera, fastslås att ett samtycke föreligger när en person genom en frivillig, specifik, informerad och otvetydig viljeyttring, uttryckligen eller konkludent godtar behandlingen av personuppgifterna. 

I artikel 5 fastslås att det är den personuppgiftsansvariges ansvar att se till att behandlingen sker på ett lagligt, korrekt och öppet sätt. Behandlingen ska vara adekvat, relevant och inte för omfattande i förhållande till ändamålen, vilka ska vara särskilda, uttryckligt angivna och berättigade. Det är vidare den uppgiftsansvariges ansvar att i nödvändig omfattning korrigera felaktiga personuppgifter och rätta dessa utan dröjsmål samt att inte förvara dessa under en längre tid än nödvändigt. Allt detta med personens integritet och konfidentialitet i fokus. 

Behandlingen av personuppgifter är laglig endast om den har sin grund i åtminstone ett av de sex uppställda fall som anges i artikel 6.1a-f. Den först angivna bland dessa är samtycke. Behandlingen är rättsenlig om personen lämnat samtycke till att personuppgifterna behandlas för det specifika ändamålet. Av de efterföljande bestämmelserna följer fall som avser vissa närmare specifika situationer där samtycket inte är nödvändigt. Ett exempel är när behandlingen är nödvändig för att utföra en uppgift av allmän intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.  

I artikel 7 uppställs villkor för att samtycket ska vara giltigt som en grund för behandlingen. Det slås fast att

1. det åligger den personuppgiftsansvarige att bevisa samtycket 
2. samtycket ska kunna lätt urskiljas 
3. personen ska ha rätt att närsomhelst återkalla samtycket på ett sätt som är lika enkelt som när denne gav sitt samtycke 
4. vid bedömningen av frivilligheten ska beaktas om ett eventuell genomförande av ett avtal har gjorts beroende av samtycke som inte är nödvändigt för genomförandet

Av artikel 9.1 framgår att behandling av personuppgifter som avslöjar bland annat religiös övertygelse är förbjuden. Av 9.2d framgår dock det undantaget att behandlingen är tillåten om det sker inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en förening som har ett religiöst syfte förutsätt att behandlingen rör 

1. organets medlemmar,
2. organets tidigare medlemmar eller 
3. personer som på grund av organets  ändamål har regelbunden kontakt med detta och att
4. personuppgifterna inte lämnas utanför det oranget utan den registrerades samtycke. 

Tillika är det stadgat i 9.2a att förbudet inte äger tillämpning om personen uttryckligen lämnat sitt samtycke till behandling för ett eller flera specifika ändamål, utom då unionsrätten eller svensk rätt föreskriver att förbudet inte kan upphävas genom samtycket. I dagsläget för svenskt vidkommande finns ingen föreskrift som fråntar samtyckets förmåga att tillåta behandling av de känsliga uppgifterna.

Kärnan i förordningen är den enskildes utkrävbara rättigheter som den personuppgiftsansvarige har att rätta sig efter. De främsta och tyngsta rättigheterna är: rätten till information (artikel 13), rätten till tillgång (artikel 15), rätten till rättelse (artikel 16), rätten att göra invändningar (artikel 21) och rätten till radering (artikel 17). Det är också den personuppgiftsansvarige ansvar att tillhandahålla informationen om dessa rättigheter i en koncis, klar och tydlig, begriplig och lätttillgänglig form, med användning av ett klart och tydligt språk (artikel 12)

Den personuppgiftsansvarige är Stockholms Läns Unga Katoliker (SLUK) som enklast kan nås per mejl via sluk@suk.se och vars dataskyddsombud nås via norrmalm@stockholm.se. 

SLUKS främsta uppgift är att sprida, främja och förstärka katolicismen bland unga människor i åldrarna 6-28 år. Detta gör SLUK på en mängd varierande sätt. Av relevans i detta sammanhang är medlemsförteckningar och anordnandet av evenemang. I båda fallen är personuppgifter involverade. 

Medlemsförteckningar 

När medlemslistorna fylls på sker en insamling av personuppgifter, vilket är en form av behandling som ovan redogjort för. Personuppgifterna som samlas är

• • För- och efternamn 
  • Fullständig folkbokföringsadress
  • Födelseår 
  • Kön 
  • Underskrift 
  • Eventuellt mobilnummer

Ändamålet

Ändamålet med insamlingen är att föra in personen som medlem i lokalföreningen och därigenom SLUK och också riksförbundet Sveriges Unga Katoliker. Medlemslistorna avser de nödvändiga uppgifterna som behövs för att tillhandahålla personen de fördelar som kommer med ett medlemskap i riksförbundet. 

Behandlingen

Behandlingen hos SLUK avser endast insamlingen. SLUK skickar utan dröjsmål vidare medlemslistan till riksförbundet som sedan ser till att personuppgifterna registreras och medlemskap tilldelas. SLUK har alltså medlemslistorna i en begränsad tid. Mottagarna av personuppgifterna är i slutändan riksförbundet. Den genomsnittliga tiden medlemslistan är bevarade hos SLUK är 2-3 dagar. SLUK bevarar inga kopior sedan medlemslistan kommit riksförbundet tillhanda. 

Grunden

Grunden för behandlingen är personens samtycke som avges genom en underskrift på medlemslistan.

Anordnandet av evenemang 

Jämte att se till att antalet unga i den föreskrivna åldern omfattas av SLUK, ser SLUK även till att anordna evenemang som lokalföreningens medlemmar inbjuds till att delta i. Deltagandet kräver dock föranmälan, som är en behandling i form av insamling och strukturering av personuppgifter. Denna behandling, olikt medlemsförteckningen, är automatiserad. Personuppgifterna som samlas är

• • För- och efternamn 
  • Medlemskap i lokalförening
  • Eventuella allergier 
  • Epostadress

Ändamålet

Ändamålet med behandlingen av för- och efternamn är att kunna urskilja mellan de anmälda och individualisera deltagarna. Ändamålet med behandlingen av medlemskap i en lokalförening är att kunna få veta huruvida personen faktiskt är medlem i någon lokalförening och om svaret är nekande, verka för att personen blir det. Ändamålet med behandlingen av eventuell allergi är för att kunna anpassa förtäringen under evenemanget till den amäldes specialkost. Ändamålet med behandlingen av epostadressen är att inför evenemanget kunna nå ut till de anmälda med eventuell viktig förberedelseinformation och, om situationen kräver det, kunna ta kontakt med den specifike anmälde. 

Behandlingen

Behandlingen hos SLUK avser insamlingen, struktureringen och lagringen. När väl evenemanget ägt rum ser SLUK till att utan dröjsmål radera de digitala filerna där de insamlade personuppgifterna framgår. Behandlingen pågår alltså från och datumet för insamlandet av personuppgifterna till och med evenemangets slutdatum.

Grunden

Grunden för behandlingen är personens samtycke som avges genom ifyllandet av en samtyckesruta och påskrivandet av förnamnet, ort och datum. 

Särskilt om årsmötet

Enligt §6 stadgarna måste SLUK senast inom två månader från verksamhetsårets utgång hålla ett årsmöte, där lokalföreningarna får tillfälle att samlas och diskutera SLUKs angelägenheter. I samma paragraf uppställs olika regler avseende röstberättigandet, yttrande-, förslags- och närvarorätten. En lokalförening är nämligen bara en juridisk person, varför det måste representeras av fysiska personer som för dess talan. För att på bästa och effektivaste sätt anordna årsmötet (något som är styrelsens uppgift) och därigenom tillvarata medlemmarnas intressen, måste det likt anordnande av evenemang i övrigt, insamlas personuppgifter. Personuppgifterna som samlas är

• • För- och efternamn 
  • Medlemskap i lokalförening
  • Fullständigt personnummer 
  • E-postadress
  • Eventuella allergier 

Ändamålet

Ändamålet med behandlingen av för- och efternamn är att kunna urskilja mellan de anmälda och individualisera deltagarna, något av synnerligen stor vikt när det rör sig om en demokratiskt process som årsmötet. Närvaro-, yttrande-, förslags- och i förekommande fall, rösträtt kan endast tilldelas individuellt varför det gör sig relevant med för- och efternamn tillika personnumret. Personnumret fyller även syftet att underlätta eventuell registrering för det fall den anmälde inte äger medlemskap i någon lokalförening. Vidare är ändamålet med behandlingen av medlemskap i lokalförening att tillse att stadgarnas krav är mötta vad avser antalet ombud och närvarande per lokalförening. Ändamålet med behandlingen av e-postadressen är att inför årsmötet kunna nå ut till de anmälda med eventuell viktig förberedelseinformation och, om situationen kräver det, kunna ta kontakt med den specifike anmälde. I samband med mejlutskicket bifogas även i förekommande fall propositioner och anmälda motioner. Mejlutskicket är särskilt viktigt för tillvaratagandet av medlemmarnas intressen då handlingarna nödvändiga för en fullgod förberedelse skickas i samband med mejlet. Till sist är ändamålet med behandlingen av eventuella allergier att kunna anpassa förtäringen under evenemanget till den anmäldes specialkost.

Behandlingen

Behandlingen hos SLUK avser insamlingen, struktureringen och lagringen. Olikt vad som gäller för evenemang i övrigt, raderas inte filen innehållande personuppgifterna direkt efter det att årsmötet ägt rum. Detta har att göra med villkoret för erhållandet av bidrag. Krav uppställs på att vederbörande lokalförening ska ha representerats av minst en medlem under det senaste årsmötet. När väl bidragsansökningarna prövas, inventerar styrelsen för SLUK deltagarlistan över årsmötet för att utröna huruvida det kravet är uppfyllt och bidrag därmed kan ges. Personuppgifterna, utom e-postadressen och allergierna som raderas omedelbart efter årsmötet, lagras alltså från och med att den anmälde skickat in dessa till och med nästa årsmöte. Årsmötena hålls regelbunden varje år med 12 månaders mellanrum. Lagringen pågår lika länge, alltså under 12 månader. Av 6§ stadgarna framgår dock att årsmötet bör hållas inom två månader efter verksamhetsårets utgång, vilket, tillsammans med det faktum att verksamhetsåret följer kalenderåret, innebär att lagringen kan pågå under mindre än 12 månader förutsatt att årsmötet hålls närmare i tiden efter verksamhetsårets utgång än det tidigare årsmötet (då personuppgifterna erhölls). Detta kan exemplifieras enligt följande. 

Årsmötet X (då personuppgifterna erhålls) hålls 25 februari 2022. Årsmötet Y (nästaårsmöte som måste hållas inom två månader efter verksamhetsårets utgång) hålls 12 januari 2023. Det har fortlöpt mindre än 12 månader mellan årsmötet Y och X, närmare bestämt 10 månader och 18 dagar. Lagringen, som försiggår mellan årsmötena, har alltså pågått i 10 månader och 18 dagar. Att hålla i tanken är att detta endast avser lagringen.

Det hittills sagda angående tiden behandlingen pågår avser endast lagringen. Då §6 stadgarna föreskriver att kallelsen till årsmöten ska skickas ut som senast en (1) månad före årsmötets datum, ska även behandlingen av insamlandet och struktureringen beaktas. Detta då anmälningsblanketten offentliggörs i samband med kallelsen. Exemplet ovan, med åtgärderna insamlande och struktureringen inräknat, blir följande. 

Då årsmötet X (då personuppgifterna erhålls) hålls 25 februari 2022, innebär detta enligt stadgarna att kallelsen måste utfärdas senast 25 januari 2022. I exemplets fall, anmäler deltagaren sig i direkt anslutning till kallens utfärdande. Tiden för insamlandet och struktureringen som pågår fram till självaste årsmötet X tillsammans med tiden för lagringen som pågår fram till Årsmötet Y, medför att behandlingen pågår under 11 månader och 18 dagar.

Under tiden för lagringen, vidtas inga andra åtgärder än att filen innehållande personuppgifterna öppnas för att, som ovan sagt, kontrollera föreningens representationen under årsmötet. Åtgärden vidtas alltså endast om en lokalförening inkommit med en bidragsansökan. Förloppet under vilket filen är öppen för kontrollen är ytterst kortvarig och pågår några enstaka minuter. Filen öppnas av endast en (1) styrelseledamot under styrelsemöte. 

Grunden

Grunden för behandlingen är personens samtycke som avges genom ifyllandet av en samtyckesruta och påskrivandet av förnamnet, ort och datum. 

Bilder och videor 

Under självaste evenemangen förekommer det som huvudregel ljud- och bildupptagning då det fotas och även ibland filmas. Av det skälet, då fotografier på en person utgör en personuppgift, måste även den behandlingen ha sin grund i ett avgivet samtycke för ett specifikt ändamål. 

Ändamålet

Ändamålet med behandlingen av bilderna och videorna är att använda dessa i den ideella marknadsföringen av organisationen, bestående i inlägg på SLUKs Instagram, Facebook, hemsida och YouTube-kanal. Vad särskilt gäller Instagram och Facebook används bilderna och videorna även genom s.k händelser (eng. stories). 

Behandlingen

Behandlingen hos SLUK avser insamlandet, lagrandet, användandet, spridandet, justerandet och begränsandet av personuppgifterna som är bilderna och videorna. När väl de bilder och videor styrelsen bedömer lämpligast att publicera offentliggörs genom inläggen och händelserna, raderas de övriga bilderna och videorna. Behandlingen, avseende en bild eller video som inte publicerats offentligt, pågår alltså från och med tidpunkten för fotografins eller videons uppkomst till och med att det raderas.

Grunden

Grunden för behandlingen är personens samtycke som avges genom ifyllandet av en samtyckesruta och påskrivandet av förnamnet, ort och datum i samma anmälningsblankett som beskriven i avsnitt 2.2. 

I samband med en behandling av dina personuppgifter har du rätt att

• återkalla ditt samtycke 
• få bekräftelse på huruvida personuppgifter som rör dig håller på att behandlas 
• få tillgång till personuppgifterna
• få veta ändamålet med behandlingen 
• få veta kategorin av de personuppgifter som behandlingen gäller
• i förekommande fall, få veta de mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut 
• få veta den förutsedda period under vilken personuppgifterna kommer att lagras eller kriterierna för bestämmandet av den tidsperioden
• få personuppgifter utan onödigt dröjsmål rättade 
• få personuppgifter kompletterade
• få personuppgifter raderade 
• få personuppgifterna utan onödigt dröjsmål raderade om*
  • personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats 
  • du återkallat ditt samtycke och det inte finns en annan grund för behandlingen 
  • du invänder mot behandlingen 
  • personuppgifterna behandlats på ett olagligt sätt 
  • personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som SLUK omfattas av
  • personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster direkt till barn 
• få personuppgifterna begränsade 
• invända mot behandlingen 
• om persouppgifterna behandlas för direkt marknadsföring, invända mot behandling av personuppgifter som avser dig för sådan marknadsföring 
• om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statiska ändamål, invända mot behandling av personuppgifterna avseende dig om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse 
• få behandlingen begränsad om 
  • du bestrider personuppgifternas korrekthet under en tid som ger SLUK möjlighet att kontrollera om personuppgifterna är korrekta
  • behandlingen är olaglig och du motsätter dig att personuppgifterna raderas och istället begär en begränsning av deras användning 
  • SLUK inte längre behöver personuppgifterna för ändamålen med behandlingen men du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk 
• om du fått behandlingen begränsad, bli underrättad av SLUK innan begränsningen upphör 
• få ut de personuppgifter som rör dig och som du har tillhandhållit i ett strukturerat, allmänt använt och maskinläsbart format 
• överföra uppgifterna i förra punkten till en annan personuppgiftsansvarig utan att SLUK hindrar detta om 
  • behandlingen grundar sig på samtycke och
  • behandlingen sker automatiserat 
• inge klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten
• inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för dig eller på liknande sätt i betydande grad påverkar dig, dock inte om beslutet 
  • är nödvändigt för ingående eller fullgörande av ett avtal mellan dig och SLUK 
  • tillåts enligt unionsrätten eller en medlemsstats nationella rätt som SLUK omfattas av och som fastställer lämpliga åtgärder till skydd för dina rättigheter, friheter och berättigade intressen 
  • grundar sig på ditt uttryckliga samtycke 
• om personuppgifterna inte samlas in från dig personligen, få veta all tillgänglig information om varifrån dessa uppgifter kommer
• få veta förekomsten av och förstå eventuellt automatiserad beslutsfattande 
• om personuppgifterna överförs till ett land utanför EU eller en organisation som inrättats på grundval av en överenskommelse mellan två eller fler länder, få veta de lämpliga skyddsåtgärder som vidtagits
• få en kopia av de personuppgifter som är under behandling 

Du har rätt att få allt det ovan sagda förklarat muntligt, förutsatt att din identitet kan bevisas.

Du har också rätt 

• till ett effektivt rättsmedel om du anser att dina rättigheter enligt GDPR har åsidosatts som en följd av att dina personuppgifterna behandlats på ett sätt som inte är förenligt med GDPR 
• till skadeersättning om du lidit materiell eller immateriell skada till följd av en överträdelse av GPDR och SLUK varit ansvarig för den händelse som orsakade skadan. 

Önskar du kräva någon av de ovanstående rättigheterna? Kontakta sluk@suk.se 

* Gäller inte i den utsträckningen behandlingen är nödvändig för att 1) utöva rätten till yttrande- och informationsfrihet eller 2) för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt medlemsstats nationella rätt som SLUK omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av SLUK eller 3) för skäl som rör ett viktigt allmänt intresse på folkhälsoområdet eller 4) för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller 5) för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Om du har frågor eller funderingar angående eller vill påpeka, invända eller på annat sätt anmärka det ovan sagda, tveka inte att kontakta sluk@suk.se