GDPR + sida driven av privatpersoner

Hej

Vi är två personer som driver ett on-lineforum inom ett intresseområde. Vi är ingen förening eller annan organisation, har givetvis inget organisationsnummer, vi säljer inget och tar inte betalt för några tjänster. Allt vi gör är att vi tillhandahåller det som i lagen kallas "elektronisk anslagstavla".


Men i driften av det hela har vi med tiden fått rätt gott om e-postadresser, varav en del är sådana att man sannolikt kan härleda dem till en viss person.

Det enda vi egentligen använder e-posten till är om vi behöver kontakta någon privat. Det kan handla om specifika frågor som ställts, och i en del fall kan det vara att vi behöver säga åt någon att t ex uttrycka sig mindre aggressivt och så, dvs en förlängning av vanlig moderering. (Det mesta har dock varit folk som hört av sig med olika tekniska problem.)

Nu hävdar somliga att vi inte har rätt att inneha de här e-postadresserna, och att de utgör ett register och är ett brott mot GDPR.

Om någon ber så tar vi bort e-postadressen, men det här handlar mer om folk som anser att vi måste radera hela e-postkatalogen. Det skulle göra det betydligt mer besvärligt att kontakta folk i de fall då det är nödvändigt (inte superofta iofs).

Så vad gäller? Är en privat e-postadresslista (vilket det i praktiken är) att anse som ett register i det här fallet?
(Hoppas att detta blev något så när sammanhängande.)

I regel får man ha register, vilket er e-postlista kan ses som, bara man berättar för kunden/användaren vilken information som sparas och samtidigt berättar om varför man sparar den.

Jag är inte jurist, men lättast kommer ni antagligen undan med att skriva någon form av registerbeskrivning som berättar vilken användarinformation som sparas och varför. Sen lägger ni till den så att de som registrerar sig måste godkänna den. Skicka den också till dem som redan är registrearade och be dem meddela om de vill bli borttagna.

Gdpr gäller inte er som privatpersoner.

Ni använder dels mailen till användarkontona och sedan använder ni dem i laga krav då den sk. BBS-lagen kräver att ni behöver göra det. Sedan behöver inte privatpersoner följa GDPR, men en förening behöver.

Dom som säger att du inte får ha ett email adressregister på grund av GDPR stämmer inte!
Men å andra sidan erat forum är ju någonting mer än vad Privatundantaget i GDPR medger, privatundantaget är snävare;

Artikel 2
2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,
https://www.imy.se/verksamhet/datask...en-i-fulltext/

Ni två har ju en rättsligförpliktelse att följa Lag om ansvar för Elektronisk Anslagstavlor när ni administrerar erat online forum!
https://www.riksdagen.se/sv/dokument...a_sfs-1998-112

Använd då GDPR Rättslig förpliktelse som rättsligt stöd i eran personuppgiftsbehandling!

Artikel 6
Laglig behandling av personuppgifter
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
https://www.imy.se/verksamhet/datask...en-i-fulltext/

Ta bara upp och behandla bara dom personuppgifter som är nödvändiga för att ni ska kunna fullgöra eran rättsliga förpliktelse, och radera dom när dom inte behövs längre;
https://www.imy.se/verksamhet/datask...nde-principer/

Samt informera dom registrerade om eran personuppgiftsbehandling, vilket är ett krav, samt att GDPR ställer krav på den Personuppgiftsansvarige genom Principen om Ansvarsskyldighet att kunna visa att ni följer GDPR för IMY, Integritetsskyddsmyndigheten, och hur ni gör det, det ska alltså dokumenteras, ett exempel är Expressen, som i sitt redaktionella innehåll är undantagna från GDPR, på grund av att dom har ett utgivningsbevis. Men måste följa GDPR när dom behandlar sina kunder, och anställdas personuppgifter. Här är deras personuppgiftspolicy som dom följer när dom behandlar sina kunders personuppgifter!
https://privacy.bonniernews.se/perso...ar-och-magasin