Riktlinjer för personuppgiftshantering

  1. Inledning och syfte

Vallentuna konstförening har utarbetat riktlinjer för hur vi ska sköta personuppgifterna i föreningen. Syftet med riktlinjerna är att säkerställa att personuppgifterna hanteras i enlighet med EUs dataskyddsförordning (General Data Protection Regulation – GDPR). Riktlinjerna omfattar alla s.k. behandlingar där personuppgifter hanteras. Dessa riktlinjer är förankrade hos alla funktionärer i föreningen, d.v.s. hos medarbetare i styrelsen och i arbetsgrupperna.

  1. Tillämpning och revidering

Föreningens alla funktionärer följer dessa riktlinjer vid behandling av föreningens personuppgifter. Riktlinjerna fastställs av styrelsen minst en gång per år och uppdateras vid behov. Kassören är ansvarig för att hålla i processen kring årlig uppdatering av riktlinjerna till följd av eventuellt förändrade regelverk. Dessa riktlinjer är tillämpliga för föreningens alla funktionärer liksom för våra uppdragstagare. Föreningens medlemmar ombeds att meddela eventuella förändringar av sina adress- och telefonuppgifter till kassören eller till annan styrelsemedlen.

  1. Organisation och ansvar

Ordföranden har det övergripande ansvaret för innehållet i dessa riktlinjer samt att de genomförs och efterlevs av verksamheten.
Alla funktionärer i föreningen ansvarar för att de agerar i enlighet med dessa riktlinjer och vad de vill säkerställa.

  1. Principer för personuppgiftsbehandling

    Varje personuppgiftsbehandling inom föreningen ska ske enligt följande principer som Datainspektionen framhållit:

  • Ändamålsbegränsning: Vi samlar bara in uppgifter för specifika ändamål och behandlar inte uppgifterna senare för ett annat ändamål.
  • Uppgiftsminimering: Vi samlar bara in de uppgifter som är relevanta för ändamålet.
  • Korrekthet: Vi eftersträvar att ha korrekta uppgifter och uppdatera dem vid behov.
  • Lagringsminimering: Vi sparar inte uppgifterna under en längre tid än nödvändigt.

Medlemmar i Vallentuna konstförening har rätt att:

  • få tillgång till sina personuppgifter
  • få sina personuppgifter raderade om uppgifterna inte längre är nödvändiga
  • få veta hur länge vi kommer att lagra personuppgifterna
  • lämna in klagomål till Datainspektionen.

Våra medlemmar har rätt att få information och tillgång till de personuppgifter föreningen behandlar om dem i form av ett utdrag.
I dataskyddsförordningen beskrivs vad ett registerutdrag ska innehålla.

  1. Hantering av personuppgifter

Konstföreningen samlar inte in känsliga uppgifter om medlemmarna, som personnummer, hälsa, etnisk bakgrund, etc. Uppföljning och utvärdering av vår hantering av personuppgifter sker minst en gång om året. GDPR-frågor kommer att vid behov tas upp i dagordningen för styrelsemötena.

För intern behandling av medlemsregister med mejl gäller att dessa mejl ska skickas till så få funktionärer i föreningen som möjligt. Vid samtidigt utskick av meddelande till ett antal medlemmars e-postadresser används alltid ”hemlig kopia” för att undvika allmän spridning av medlemmarnas e-postadresser.

Uppgifter från medlemregistret lämnas inte vidare eller säljs till andra personer eller till andra organisationer. Ett undantag görs för medlemmar i styrelsen vars funktion och adress lämnas vidare till riksförbundet Sveriges konstföreningar och till Vallentuna kommun. Ett annat undantag kan ske om medlemmen önskar att föreningen bekräftar dennes medlemskap i föreningen för att exempelvis få en rabatt på ett inköp av tjänst, etc. Föreningen arkiverar vissa uppgifter om föreningens verksamhet och historia, i Vallentuna folkrörelsearkiv, vilket är i linje med Riksarkivets nuvarande rekommendationer. Genom protokoll och verksamhetsberättelse kan vissa uppgifter knytas till föreningens funktionärer men inte till övriga medlemmar i föreningen.

Eventuella incidenter rörande personuppgifter (som förlust av USB-minne med personuppgifter) ska utan dröjsmål rapporteras till ordföranden. Denne ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. Vår personuppgiftsbehandling dokumenteras i enlighet med ett s.k. Behandlingsregister som föreningen upprättat, och föreningens funktionärer kan ta stöd av en checklista som utarbetats.

Våra krav på att personuppgifter hanteras enligt GDPR ska säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal. Konstföreningen har sin hemsida på ett webbhotell, och har därför ett avtal med webbhotellet om skydd av personuppgifter. Medan föreningens styrelse räknas som ”personuppgiftsansvarig” räknas webbhotellet som ”personuppgiftsbiträde”. Detta avtal reglerar parternas ömsesidiga rättigheter och förpliktelser för att skydda personuppgifterna.

Om du har frågor om dessa riktlinjer vänd dig till ordf. Lennart Hallsten, lennart.hallsten@gmail.com eller  072-22 16 511.