Ni har säkert hört om Dataskyddsförordningen (General Data Protection Regulation (GDPR)) som snart träder i kraft. Denna nya lagstiftning får en stor påverkan på många organisationers arbete med data och kräver i många fall stora insatser. I detta blogginlägg gör Mattias Blomgren, ordförande i Wikimedia Sverige, en genomgång av det arbete som Wikimedia Sverige har gjort som en del av förberedelserna.
Dataskyddsförordningen, är ett EU-direktiv, vilket gäller från och med den 25 maj 2018, och som ersätter Personuppgiftslagen (PUL). Dataskyddsförordningen innebär gemensamma regler i 31 länder (EU/EES), och strängare regler än vad PUL gjort. Ett av syftena med Dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.
Dataskyddsförordningen innebär följande:
- Den gäller för alla företag och organisationer som hanterar data om EU-medborgare,
- Den innebär att man skall uppfylla den, men också kunna uppvisa att organisationen uppfyller den.
- Syftet med insamling av data skall anges, men det omfattar även var data lagras, vilka som har tillgång till data, med vilka tredje parter data utbyts och var de håller till etc.
- Datasäkerhet skall byggas in i systemen och lämpliga organisatoriska och tekniska åtgärder skall vidtas för att säkerställa lämplig säkerhet i förhållande till risken.
- En riskanalys och konsekvensbeskrivning av systemen skall göras.
- Säkerhetsincidenter skall rapporteras till myndigheter och till dem som omfattas av datauppgifterna.
- Att inte uppfylla reglerna kan leda till omfattande böter.
Wikimedia Sverige anser att integritetsfrågor är viktiga och har därför arbetat intensivt med att förbereda föreningens verksamhet inför Dataskyddsförordningens ikraftträdande. Bland åtgärderna märks:
- Utarbetande av en ny integritetspolicy, med tillhörande förklarande sidor. I enlighet med föreningens transparens, redovisar vi hur vi har arbetat med Dataskyddsförordningen, och hur vi kommer att arbeta för att följa den framöver.
- Införande av ett nytt medlemsregister, som uppfyller Dataskyddsförordningens regler.
- Tecknande av personuppgiftsbiträdesavtal med företag, som hanterar personuppgifter för oss.
- Inventering av vilka personuppgifter föreningen hanterar, fastställande av rättslig grund med vilken föreningen hanterar uppgifterna och säkerhetsklassning av uppgifterna har gjorts.
- Överflyttning av personuppgifter till servrar, som hanteras enligt Dataskyddsförordningens krav.
- Framtagande av rutiner i det fall personuppgiftsincidenter skulle inträffa, vilket kan kräva rapportering till berörda snarast och till Datainspektionen inom 72 timmar.
Wikimedia Sveriges integritetspolicy, med tillhörande sidor, finns på föreningens wiki under fri licens. Därmed kan andra organisationer ta del av den och använda den i sina verksamheter. Wikimedia Sverige ser föreningens arbete med att uppfylla Dataskyddsförordningen som en del i spridandet av fri kunskap om integritetsfrågor. För er som inte har hunnit arbeta med detta så mycket som ni hoppats tror vi att ni genom att återanvända vårt arbete kan komma att spara en hel del tid och hjälpa er att komma i mål till den 25 maj. Om materialet var till värde för din organisation, överväg gärna att bli organisationsmedlem i Wikimedia Sverige.
Wikimedia Sverige är nu redo för Dataskyddsförordningens ikraftträdande den 25 maj 2018.