Nyheter

GDPR-policy för Australiska Nya Zeeländska Vänskapsföreningen

GDPR (General Data Protection Regulation)
eller Allmänna dataskyddsförordningen
Den 25 maj 2018 blir den nya europeiska personuppgiftsförordningen, GDPR, lag i Sverige. Den
ersätter då den nuvarande personuppgiftslagen PuL. Avsikten med lagen är att stärka den personliga
integriteten.
För att förstå hur lagen är uppbyggd kan man se det så här:
• Det är förbjudet att behandla personuppgifter, men…
• … det finns några undantag och det är reglerna kring dessa som beskrivs i GDPR.
Vem är personuppgiftsansvarig?
Det är föreningen som är personuppgiftsansvarig. Det är styrelsen som ansvarar för att föreningen
följer lagen. Det är alltså aldrig en person som är formellt ansvarig, även om föreningen utsett någon
att vara Personuppgiftsansvarig.
Styrelsens viktigaste uppgift
GDPR reglerar vad som borde vara en självklarhet, att vi äger våra egna personuppgifter. Som
utomstående får vi bara låna uppgifter om andra om vi lovar att skydda dem mot insyn och förvara
dem säkert. Det är ett förhållningssätt vi måste ha hela tiden om vi ska kunna sköta den uppgiften.
Därför har styrelsen utarbetat denna GDPR-policy med samhörande rutiner.
Begrepp:
• Datasubjekt – Den som registreras.
• Behandling – Allt man gör med de personuppgifter man har. Också att lagra dem är en
behandling. Har vi en personuppgift så behandlar vi den.
• Personuppgift – All information som kan knytas till en person. Några exempel: Namn, adress,
e-postadress, telefonnummer, personnummer, fotografi.
• Känslig personuppgift – Uppgift om hälsa, religiös eller filosofisk övertygelse, ras eller etniskt
ursprung och liknande.
• Personuppgiftsansvarig – ”PuA”. Den som bestämmer ändamål och medel för behandlingen.
• Personuppgiftsbiträde – ”PuB”. Den som behandlar personuppgifter på uppdrag av PuA.
• Personuppgiftsbiträdesavtal – Måste finnas mellan PuA och PuB. Avtalet reglerar i huvudsak
hur PuB får behandla uppgifterna.
De lagliga grunder som är mest aktuella för en förening är:

• Samtycke – Man frågar och får lov. Gäller t ex viss marknadsföring som våra Nyhetsbrev.
• Avtal – Föreningens stadgar kan ses som ett avtal med medlemmarna. Den vanliga
medlemshanteringen baseras alltså på ett avtal.
När vi samlar in personuppgifter så måste vi först informera så att den som lämnar uppgifterna får
en klar bild av vem man är, vad uppgifterna ska användas till med mera. Några exempel:
• Till vad?
Vi behöver uppgifterna till vårt medlemsregister så att vi kan kontakta dig kring
föreningens verksamhet.
• Hur länge?
Vi sparar uppgifterna så länge du är medlem plus två år efter din senaste
medlemsavgift.
• Delning?
Vi delar ej personuppgifter med någon annan part
• De registrerades rättigheter:
De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt
dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information
om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har
de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut
eller flytta sina uppgifter.
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-
registreradesrattigheter/
• Vad som händer om man inte vill lämna personuppgifter:
Då kan man inte bli medlem.
När samlar vi in personuppgifter och varför?
Medlemsregister
• Namn: För att driva föreningen behöver vi veta vilka som är medlemmar.
• Adress: Post eller e-post och mobilnummer. Medlemmarna förväntar sig vanligtvis kontakt
och dessutom vill föreningen avisera en medlemsavgift.
• Föreningen skall ha en policy för personuppgifter och den skall finnas på föreningens sidor på
internet.

Styrelsens återkommande åtaganden:
Integritetspolicy
• Vi får inte hantera och lämna ut personuppgifter utan att ha ett uttryckligt samtycke. Vi ska
kunna dokumentera detta, också vilken information vi lämnade innan samtycket erhölls.
Detta görs en gång årligen, lämpligast i samband med kallelsen till Årsmötet.
Utvärdering och revidering
• Denna GDPR-policy med samhörande rutiner skall revideras när så anses påkallat, dock minst
en gång per år, lämpligast i samband med Verksamhetsberättelsen.
Antagen av styrelsen den 20 maj 2018
————————————————————————————————————–

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

Gravatar
WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Google+-foto

Du kommenterar med ditt Google+-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Avbryt

Ansluter till %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggare gillar detta: