Policy för medlemsuppgifter Svensk förening för radiofysik

Medlemsuppgifternas syfte

Syftet med medlemsuppgifterna är föreningen skall kunna veta vilka som är medlemmar samt att kunna förmedla information som är intressant för medlemmarna såsom t ex tjänsteannonseringar och kurser.

Vilka uppgifter registreras

De uppgifter som registreras är: för- och efternamn, arbetsgivare, e-postadress.

Hur uppgifterna hanteras

Uppgifterna ligger i en databas och hanteras manuellt av den som administrerar medlemslistan.

Administratör av medlemsregistret är styrelsen för Svensk förening för radiofysik.

Att vara registrerad som medlem

Alla medlemmar är registrerade. Om man inte är betalande (eller motsvarande) stryks man från listan efter 3 år. Medlemmarna informeras om denna policy och den kommer att finnas tillgänglig på föreningens hemsida.

Att ändra sina uppgifter

Den som är registrerad medlem kan när som helst kontakta den som administrerar listan via e-post och be om ändring. Den som administrerar listan genomför ändringarna skyndsamt.

Att bli avregistrerad

Den som är registrerad kan när som helst välja att få sina uppgifter avregistrerade genom att kontakta den som administrerar listan, vilken då skyndsamt tar bort alla lagrade uppgifter.

 

Hur vi följer principerna enligt Dataskyddsförordningen (GDPR)

Laglighet, korrekthet och öppenhet

Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen.

Som rättslig grund hävdas att all hantering av medlemsuppgifterna efter att samtycke lämnats från var och en som finns registrerad.

Att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade innebär bland annat att det ska vara klart och tydligt för denne hur hans eller hennes personuppgifter samlas in och i övrigt behandlas.

Genom att vi informerar medlemmarna om vilka uppgifter som registreras och hur dessa uppgifter hanteras i samband med att vi efterfrågar samtycket hävdar vi att vi följer denna princip.

Ändamålsbegränsning

Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål.

Ändamålen framgår i stycket ovan om medlemsuppgifternas syfte.

Uppgiftsminimering

Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov.

Vilka uppgifter som samlas in beskrivs ovan i stycket Vilka uppgifter registreras, och vi bedömer att dessa är förenliga med ändamålet i enlighet med denna princip.

Korrekthet

Personuppgifterna ska vara korrekta och uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om det krävs för ändamålen ska personuppgifterna dessutom vara uppdaterade.

I samband med medlemsansökan och upprop för inbetalning av medlemsavgift har de registrerade själva en skyldighet att informera den som administrerar medlemsregistret om uppgifterna ändrats. Administratören rättar och tar bort felaktiga uppgifter skyndsamt.

Lagringsminimering

Personuppgifter får inte sparas, det vill säga. förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Databasen som innehåller uppgifterna till medlemsregistret finns enbart i aktuell version hos Administratören och tidigare versioner av databasen sparas inte. Om medlemsregistret av något skäl inte längre skall finnas raderas databasen omedelbart.

Integritet och konfidentialitet

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Enbart den som administrerar medlemsregistret har tillgång till databasen. Backup av databasen görs regelbundet.

Ansvarsskyldighet

Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade.

Detta görs genom att detta dokument skickas till alla registrerade i samband med att samtycke efterfrågas.

 

De registrerades rättigheter enligt Dataskyddsförordningen (GDPR)

Rätt till information

Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Alla registrerade uppgifter i databasen är de som beskrivs under rubriken ”Vilka uppgifter registreras” och uppgifterna tillhandahålles av medlemmen själv. Uppgifterna används enbart i enlighet med ”Medlemsuppgifternas syfte”.

Rätt till rättelse

Varje person har rätt att vända sig till ett företag eller myndighet som behandlar personuppgifter och be att få felaktiga uppgifter rättade. Det innebär också att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. 

Detta säkerställs genom att information om detta går ut till samtliga registrerade i samband med att samtycke efterfrågas, samt möjlighet att skicka epost till den som administrerar adresslistan.

Rätt till radering

Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. 

Detta säkerställs genom information om att man när som helst kan vända sig till den som administrerar medlemsregistret och be att få sina uppgifter raderade. Den som administrerar adresslistan ska då skyndsamt radera uppgifterna.

Rätt till begränsning av behandling

Enskilda har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Denna begränsning är möjlig då man ger sitt samtycke. Man kan då välja att inte få utskick.

Dataportabilitet

Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till dataportabilitet).

Denna rättighet är inte aktuell här.

Rätt att göra invändningar

En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter.

Se ”Rätt till begränsning av behandling”.

Automatiserat beslutsfattande, inbegripet profilering

Den enskilde har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.

Denna rätt är inte aktuell här eftersom något automatiskt beslutsfattande inte görs i medlemsregistret.

 

Skyldigheter för de som behandlar personuppgifter enligt Dataskyddsförordningen (GDPR)

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.

Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.

Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan innebära att man har antagit en policy med lämpliga strategier för dataskydd och ser till att genomföra den i organisationen.

Svensk förening för radiofysik är personuppgiftsansvarig för medlemsregistret. Denna policy anger hur personuppgifterna hanteras i enlighet med dataskyddsförordningen.

Inbyggt dataskydd och dataskydd som standard

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.

Databasen hanteras enbart av den som administrerar medlemsregistret. Alla uppgifter som finns i databasen är som anges under ”Vilka uppgifter registreras”.

Register över behandling

Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen.

De uppgifter som registret ska innehålla finns i det här dokumentet.

Säkerhet för personuppgifter

Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Vad som är en lämplig säkerhetsnivå beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och på kostnaderna.

Vid riskbedömningen ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet risken för oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Alla de personuppgifter som hanteras är registrerade efter samtycke har lämnats från var och en som är registrerad. Uppgifterna är lagrade på IT system som har inlogg/brandvägg samt backup.

Förlust av uppgifterna medför inte heller några kritiska konsekvenser och skulle i värsta fall innebära att man får uppmuntra till omregistrering i föreningen.

Personuppgiftsincidenter

För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen är det viktigt att organisationer som behandlar personuppgifter har rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter.

Vi bedömer att det inte kan uppstå sådana incidenter som innebär risker för människors friheter och rättigheter.

 Hanna Holstein

Ordförande