PM för informationshantering

Se på GitHub

§1 Formalia

Detta dokument beskriver hur sektionen hanterar och använder medlemmars uppgifter för att kunna organisera sektionens verksamhet.

§1.2 Syfte

Syftet med detta dokument är att sätta tydliga rutiner för hur sektionen arbetar med personliga uppgifter. Både genom att säkerställa hur sektionen hanterar medlemmars personuppgifter och i vilka ändamål de får användas.

§1.3 Omfattning

Dessa rutiner gäller för sektionen och samtliga som engagerar sig inom dess verksamhet.

§1.4 Ansvar

Styrelsen är personuppgiftsansvarig för sektionen och kan kontaktas på drek@datasektionen.se.

§2 Bakgrund

§2.1 Laglig grund

Genom bestämmelser i högskolelagen och studentkårsförordningenär det i svensk rätt fastställt att studentkårerna vid statliga universitet och högskolor bedriver verksamhet som är en uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Andra möjliga grunder:

  • Samtycke enligt artikel 6.1 a i dataskyddsförordningen.

  • Fullgörande av avtal enligt artikel 6.1 b i dataskyddsförordningen.

  • Rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.

  • Intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen.

§3 Dina rättigheter

§3.1 Tillgång till hanterade uppgifter

För att få insikt i vilka uppgifter sektionen hanterar om dig kan du alltid begära ut dessa i form av ett registerutdrag. Denna information lämnas ut med angivande av ändamål för hantering av uppgifter, lagringsperiod och var informationen inhämtats från. För att begära ut denna information kan du kontakta sektionens styrelse på drek@datasektionen.se. Information ska lämnas ut utan onödigt dröjsmål och inom en månad från mottagen begäran. Om din begäran inte kan fullföljas inom den tiden kommer du informeras om förseningen med en motivering.

§3.2 Rättelse av hanterade uppgifter

I det fall att sektionen hanterar felaktiga uppgifter relaterade till dig har du rätt att begära rättelse av dessa. Du har även rätt att komplettera ofullständiga uppgifter. Om du vill göra detta kan du kontakta sektionens styrelse på drek@datasektionen.se.

§3.3 Borttagning av hanterade uppgifter

Sektionen sparar inte uppgifter längre än vad som är nödvändigt för respektive ändamål. Du kan dock begära att uppgifter relaterade till dig tas bort i följande fall:

  • Om uppgifterna inte längre är nödvändiga för ändamålet.

  • Om du återkallar ditt samtycke till att uppgifterna hanteras och grunden till hanteringen baseras på samtycke.

  • Du invänder mot en intresseavvägning sektionen har gjort och dina skäl för invändningen väger tyngre än sektionens berättigade intresse.

  • Uppgifter behandlas på ett felaktigt sätt.

  • Uppgifter måste raderas för att uppfylla en rättslig förpliktelse som sektionen omfattas om.

Sektionen kan ha rätt att neka en begäran om borttagning om det finns lagliga grunder som förhindrar omedelbar borttagning eller om uppgifterna är nödvändiga för pågående utredning. I det fallet kommer sektionen istället blockera användning av uppgifterna i andra syften än det som förhindrar borttagning. Om du vill begära att sektionen tar bort uppgifter relaterade till dig kan du kontakta sektionens styrelse på drek@datasektionen.se.

§3.4 Anmälan av felaktig hantering

Om du anser att vår hantering av dina uppgifter bryter mot dataskyddsförordningen kan du anmäla detta till Integritetsskyddsmyndigheten.

§4 Vår hantering

§4.1 Administration av uppgifter

Vid insamling av uppgifter ska det alltid finnas en ansvarig person som ser till att relevanta lagstiftningar samt interna policies efterföljs. Denne ska vara tillgänglig för frågor om uppgiftsinsamlingen samt ansvarar för att ta bort uppgifterna vid det tillfälle de inte längre behövs, exempelvis efter ett event eller vid avanmälan. Mail till den ansvarige och en länk till sektionens informationshanteringspolicy ska alltid finnas angivet i formuläret.

§4.2 Hantering av inkommande e-post

E-post som kommer in behöver hanteras för att kunna genomföra sektionens verksamhet. Däremot innehåller e-post alltid kontaktuppgifter och behöver därför hanteras i enlighet med dataskyddsförordningen. Om det finns personuppgifter som behöver sparas ska dessa flyttas till andra system för vidare lagring och sedan tas bort. Funktionärer ska även rensa sin inkorg på alla mail var tredje månad för att säkerställa att inga hanterade e-postmeddelanden finns kvar. Vid utskick till många personer ska alla funktionärer även använda BCC för att inte sprida personuppgifter i onödan.

§4.3 Hur skyddar vi uppgifter

Alla personuppgifter ska lagras på den Google Drive som gruppen använder i sin verksamhet. Endast de som aktivt ingår i gruppen, sektionens styrelse vid behov samt sektionens revisorer får ha tillgång till den information som sparas. Personuppgifter får inte spridas genom andra kommunikationskanaler utan ska endast hanteras genom Google Drive för att undvika att skapa ytterligare kopior. Vid arbete som kräver en lokal kopia ska arbetet sparas på Google Drive och alla lokala kopior tas bort så snart arbetet är färdigt. Då informationen lagras på Drive finns det en chans att uppgifterna överförs till ett annat land för lagring, dock ska detta alltid göras i enlighet med GDPR.