Tillämpningen av den länge anteciperade EU:s allmänna dataskyddsförordning inleddes den 25.5.2018. Det märktes dock långt tidigare, att den nya förordningen skulle innebära vissa specifika utmaningar för stipendieutdelande stiftelser och föreningar.

Dessa frågor gällde t.ex. på vilka grunder stipendieansökandens personuppgifter behandlas, publicering av namnen på de som beviljats stipendier och omfattningen på de uppgifter som skall utlämnas till de registrerade. I diskussioner med kollegor genom det europeiska DAFNE samarbetet framgick även att övriga europeiska stiftelser utmanades med samma problem. Oklarheterna var mycket förståeliga med tanke på att mycket få tolkningsanvisningar hade givits ut. I sakta mak började dock mer och mer klargörande ställningstaganden komma, både från den europeiska WP29-arbetsgruppen och från den nationella dataskyddsombudsmannen.

De stora påföljdsavgifterna som enligt den nya förordningen kan åläggas en personuppgiftsansvarig, som bryter mot förordningen har fått stort utrymme i media. Det som dock i praktiken ansetts utgöra en större risk för organisationer när det gäller påföljder är att dataskyddsmyndigheterna kan ålägga organisationens personuppgifter i användningsförbud och den negativa imagen samt avbrott i verksamheten ett sådant förbud kan orsaka organisationen.

Delegationen för stiftelser och fonder ordnade tre skolningstillfällen för medlemmar om den nya dataskyddsförordningen och därtill utgavs anvisningen God informationshantering i stiftelser. Delegationens medlemmar har flitigt upprättat register över behandling och dataskyddsbeskrivning. Glädjande nog har flera medlemmar varit i kontakt gällande upprättandet av dem.

Det som dock är ett återkommande problem i samband med beredning av EU lagstiftning är den begränsade möjligheten för medborgare eller intresseorganisationer att påverka utformningen av lagstiftningen. T.ex. möjligheten att få ta del av utkast till nya lagförslag är begränsat och lagberedningen som helhet är mer sluten.

Speciellt i de nordiska länderna där lagstiftningen sker öppet och med beaktande av flera olika av lagstiftningen berördas intresseorganisationers ställningstaganden, ter sig förfarandet på EU nivå vara mycket slutet. För sådana organisationer som t.ex. stiftelser eller föreningar som sällan automatiskt beaktas i samband med stiftandet av nya lagar, till skillnad från t.ex. bolag, är det viktigt att kunna vara med och påverka lagstiftningen i ett tidigt skede. Ett annat exempel på detta problem var EU:s marknadsmissbruksförordning, som trädde ikraft för två år sedan. Den ställde till med mycket oklarheter om t.ex. hur närståendekretsreglerna tillämpas på personer i stiftelsers och föreningars ledning.

Dataskyddsförordningen tillämpas generellt skett som sådan men ett visst svängrum finns när det gäller den nationella lagstiftningen. Men inte heller den nationella lagstiftningen i form av den nya dataskyddslagen har undgått kritik. Fortfarande låter sig dataskyddslagen vänta på sig. Lagen var avsedd att komma ikraft samtidigt med förordningen. Lagen är för tillfället på utskottsrunda i riksdagen. Den föreslagna dataskyddslagen kommer inte att vara en självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med EU:s dataskyddsförordning.

Det är nu den egentliga efterlevnaden av dataskyddsförordningen börjat. Nu är det upp till bevis när det gäller att uppfylla de krav som dataskyddsförordningen och organisationernas egna register- och dataskyddsbeskrivningar ställer.

Glad sommar!