Privatpolicy – Vasa Concept Göteborg

GDPR - Policydokument

1. Inledning

Detta policydokument (härefter: Policydokument) innehåller den ideella föreningen Vasa Concept Göteborg’s organisatoriska åtgärder som ska implementeras i enlighet med GDPR.

2. Tilllämpling och revidering

Styrelsen i Vasa Concept Göteborg ansvarar för att policydokumentet för behandling av personuppgifter upprättas, uppdateras och efterlevs. Policydokumentet ska revideras och uppdateras av styrelsen minst en gång per mandatperiod, baserat på nya och förändrade regelverk och praxis kring GDPR

3. Organisation och ansvar

Styrelsen har det övergripande ansvaret för innehållet i detta policydokument samt att det implementeras och efterlevs.

4. Personuppgiftsbehandling
Ny medlem
En ny medlem som ansöker om medlemskap ska registreras hos föreningen Vasa Concept Göteborg. Medlemskapet utgör en avtalsrelation mellan medlemmen och föreningen Vasa Concept Göteborg.
Under tiden som medlemmen finns registrerad hos föreningen Vasa Concept Göteborg har medlemmen rättigheter i enlighet med GDPR. De rättigheter som medlemmar kan komma att begära:
• Tillgång till personuppgifter: Medlem ska kunna få ut sina personuppgifter som finns lagrade hos föreningen, och dom ska kunna fås ut i ett enkelt och läsbart format (t.ex. per mail eller brev).
• Rättning: Medlem vill få sina personuppgifter rättade. Om det skulle vara så att namnet, adressen eller någon annan personuppgift inte stämmer, så ska medlemmen kunna få sina uppgifter rättade.
• Radering: Medlem vill få sina personuppgifter raderade. Detta är synonymt med att avsluta sitt medlemskap. Föreningen får däremot behålla personuppgifter som kan behövas för att uppfylla sina skyldigheter nationell lag (t.ex. bokföringslagen).
Gallring och radering
När ändamålet med att lagra personuppgifterna har uppnåtts måste personuppgifterna raderas. Nedan ges exempel på när så kan vara fallet:
• När en medlem avslutar sitt medlemskap;
• När ett event är avslutat och personuppgifterna inte behövs för eventet längre.
Observera att personuppgifterna kan få behållas under en viss tidsperiod om det behövs i enlighet med nationell lag.

Obehörig person
Medlemsuppgifterna får inte lämnas ut till en utomstående som inte tillhör föreningen. Undantag finns om det förekommer ett avtal med konsult eller uppdragstagare exempelvis.

Hantering av e-mail
När man skickar mail inom föreningen såväl som till utomstående gäller det att vara försiktig. Nedanstående är exempel på vad man bör tänka på:
• Se till att så att det är rätt mottagare till personuppgifterna (speciellt viktigt att tänka på om man har långa förupprättade maillistor);
• Rensa och radera i sin inkorg och utskick efter att personuppgifterna har skickats över;
• Vara extra vaksam över om det är särskilt känsliga personuppgifter som man ämnar att skicka;
• Undvika att använda sig av öppna nät eller nät som inte är krypterade för obehöriga personer eller andra programvaror som kan komma åt nätet.

Korrekta och lagliga personuppgifter
Den ansvarige för hemsidan ska se till att personuppgifter som finns uppe på hemsidan utgör, korrekta och lagliga personuppgifter.

Samtycke
Personuppgifter som finns uppe på hemsidan (anhörigas berättelser, forskare, bilder på medarbetare etc.) måste ha ett samtycke. Den ansvarige för hemsidan bör försäkra sig om att samtycket finns skriftligt dokumenterat och tillgängligt. Om det inte finns ett samtycke eller om samtycket har återkallats så får informationen inte finnas på sidan.
Uppdatering och radering bör ske löpande. Dock bör den ansvarige för hemsidan minst en gång per år göra en stor inventering av hemsidan och försäkra sig om att alla personuppgifter är relevanta och stämmer.

5. Tekniska säkerhetsåtgärder
Föreningen Vasa Concept Göteborg måste se till att grundläggande tekniska säkerhetsåtgärder finns implementerade på datorerna. Detta innefattar bl.a. nedanstående åtgärder:
• Lösenordskyddade datorer, med både unika användarnamn och regelbundet byte av lösenord.
Personnummer, för- och efternamn ska inte användas som användarnamn eller
lösenord. Godkända antivirusprogram och brandväggar;
• Krypterade och lösenordskyddade nätverk där personuppgifter kommer att överföras;
• Använda mailleverantörer som efterlever GDPR;
• Undvika öppna nätverk. Nätverk inom föreningen bör vara lösenordskyddat och krypterat. Är man osäker på huruvida en viss dator, mobil, surfplatta eller andra medier uppfyller grundläggande krav för säkerhet så bör man dubbelkolla det eller använda sig av andra medier som uppfyller kraven i GDPR.

Kontaktuppgifter till Integritetsskyddsmyndigheten:

Integritetsskyddsmyndigheten
Telefon: 08-657 61 00
E-post: imy@imy.se
Postadress:
Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm