GDPR och Enskilda arkiv

EU:s dataskyddsförordning (GDPR) och kompletterande nationell rätt

Syfte

Dataskyddsförordningen som sedan den 25 maj 2018 gäller inom hela EU syftar till att stärka skyddet för den personliga integriteten. Förordningen kompletteras och förtydligas i vissa avseenden av nationella lagar och förordningar.

Alla organisationer, företag, institutioner, myndigheter m.m. som samlar in och behandlar personuppgifter är personuppgiftsansvariga och måste ha kontroll över bl.a. vilka personuppgifter som samlas in, för vilka ändamål samt att detta sker inom ramen för vad man är berättigad till enligt dataskyddsförordningen.  

Datainspektionen är den myndighet som är ansvarig för att informera om frågor rörande tillämpningen av dataskyddförordningen och kontrollerar även efterlevnaden. På deras webbsida www.datainspektionen.se finns utförlig information och många praktiska tips att tillgå.

De enskilda arkivens speciella roll

De rättsliga grunderna för behandling av personuppgifter

I dataskyddsförordningens artikel 6 anges de kriterier som måste uppfyllas för att en behandling av personuppgifter ska anses vara laglig. Dessa utgör de rättsliga grunder för behandling av sådana personuppgifter som omfattas av förordningen.

En sådan rättslig grund är när en behandling är nödvändig för att en uppgift av allmänt intresse ska utföras (artikel 6.1.e). Denna rättsliga grund ska kunna härledas ur antingen unionsrätten eller den nationella (svenska) rätten.

De enskilda arkiven i Sverige anses i regel bedriva en verksamhet av allmänt intresse – många av dem får därför verksamhetsstöd av det offentliga – det finns dock för närvarande inget i den nationella lagstiftningen som uttryckligen stödjer denna uppfattning.

Den nya arkivlagen

Förhoppningsvis kommer den kommande, nya arkivlagen att, åtminstone till viss del, råda bot på denna brist. I arkivutredningens betänkande Härifrån till evigheten föreslås att de enskilda arkiv som får statligt stöd ska omfattas av den nya arkivlagen. Det skulle innebära att deras verksamhet, enligt nationell lag, är att betrakta som arkivverksamhet av allmänt intresse och därmed får de den rättsliga grunden för behandling av personuppgifter, även känsliga sådana (se dataskyddsförordningen, artikel 9.2.j).

Förhoppningsvis kommer ett lagförslag med sådant innehåll att läggas fram redan under hösten 2020 och träda i kraft någon gång under 2021.

Tanken är att enskilda arkiv som inte får statligt stöd varken från Riksarkivet eller genom kultursamverkansmodellen ska kunna ansöka hos Riksarkivet om att deras verksamhet ska klassas som arkivverksamhet av allmänt intresse. Regeringen har redan bemyndigat Riksarkivet att meddela föreskrifter om detta enligt 7 och 8 §§ förordningen (2018:219) om kompletterande bestämmelser till EU:s dataskyddsförordning.

Övriga arkivspecifika frågor

Deposition

Många enskilda arkivinstitutioner tar emot arkiv som depositioner. Det är viktigt att komma ihåg att deponenterna behåller personuppgiftsansvaret i och med att de äger och bestämmer över sitt arkiv. Arkiven har rollen som personuppgiftsombud. Ett personuppgiftsombud får inte genomföra sådan behandling som den personuppgiftsansvarige (deponenten) inte har rättslig grund till.

Vidarebehandling för arkivändamål

Att behandla personuppgifter för arkivändamål betraktas i regel inte som oförenligt med det ändamål för vilket personuppgifterna har samlats in även om det inte föreligger samtycke från den registrerades sida, särskilt om det sker för att tjäna ett viktigt allmänintresse. Avvägningen om bevarande/arkivering ska dock ske med hänsyn till förhållandena mellan den registrerade och personuppgiftsansvarige, personuppgifternas art, särskilt med tanke på eventuella känsliga förhållanden, konsekvenserna för den registrerade och möjligheten att vidta lämpliga skyddsåtgärder. (Om ändamålsförenlighet se dataskyddsförordningen, artikel 6.4.a – e.)  Professionella enskilda arkivinstitutioner har regel goda kunskaper och möjligheter i övrigt för att hjälpa sina deponenter med att tillmötesgå kraven enligt förordningen.

Rekommendation för föreningar

För att underlätta hanteringen av personuppgifterna är det bäst att informera era medlemmar om att:

  • Föreningen hanterar personuppgifter enligt EU:s dataskyddsförordning,
  • vilka personuppgifter föreningen samlar in och
  • för vilka ändamål samt
  • att dessa kan komma att sparas/arkiveras tillsammans med föreningens övriga handlingar för att bevara föreningens historia.

 Ha gärna också en kryssruta med anslutande text, förslagsvis med följande innehåll: Ja, undertecknad godkänner att föreningen (föreningens namn) behandlar mina personuppgifter enligt beskrivningen ovan.

Informera om vem inom föreningen (namn, telefonnummer och e-postadress) man kan vända sig till om man har frågor, synpunkter eller invändningar.

Bäst är att göra det i samband med att någon blir medlem eller när de årliga medlemsavgifterna tas in. Sådan information kan ges även på föreningens hemsida, exempelvis där ni informerar om medlemskap.