PM för informationshantering

Se på GitHub

§1 Formalia

Detta dokument beskriver hur sektionen hanterar och använder medlemmars uppgifter för att kunna organisera sektionens verksamhet.

§1.2 Syfte

Syftet med detta dokument är att sätta tydliga rutiner för hur sektionen arbetar med personliga uppgifter. Både genom att säkerställa hur sektionen hanterar medlemmars personuppgifter och i vilka ändamål de får användas.

§1.3 Omfattning

Dessa rutiner gäller för sektionen och samtliga som engagerar sig inom dess verksamhet.

§1.4 Ansvar

Styrelsen är personuppgiftsansvarig för sektionen och kan kontaktas på drek@datasektionen.se.

§2 Bakgrund

§2.1 Laglig grund

Genom bestämmelser i högskolelagen och studentkårsförordningenär det i svensk rätt fastställt att studentkårerna vid statliga universitet och högskolor bedriver verksamhet som är en uppgift av allmänt intresse (prop 2017/18:218, paragraf 9.2.7). Följande är de lagliga grunder vilka vi använder för att spara och behandla personuppgifter:

  • Samtycke enligt artikel 6.1 a i dataskyddsförordningen.

  • Fullgörande av avtal enligt artikel 6.1 b i dataskyddsförordningen.

  • Rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.

  • Allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

  • Intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen.

§3 Dina rättigheter

§3.1 Tillgång till hanterade uppgifter

Enligt dataskyddsförordningen artikel 15 har du rätt att få bekräftelse på huruvida dina personuppgifter håller på att behandlas och iså fall också få tillgång till personuppgifterna samt metainformation runt personuppgiftshanteringen.

För att få insikt i vilka uppgifter sektionen hanterar om dig kan du alltid begära ut dessa. Denna information lämnas ut med angivande av ändamål för hantering av uppgifter, lagringsperiod och var informationen inhämtats från. Om du vill ha övrig information som du enligt dataskyddsförordningen har rätt till måste du specicera detta i samband med din begäran.

För att begära ut denna information kan du kontakta sektionens styrelse på drek@datasektionen.se. Information ska lämnas ut utan onödigt dröjsmål och inom en månad från mottagen begäran. Om din begäran inte kan fullföljas inom den tiden kommer du informeras om förseningen med en motivering.

§3.2 Rättelse av hanterade uppgifter

I det fall att sektionen hanterar felaktiga uppgifter relaterade till dig har du enligt dataskyddsförordningen artikel 16 rätt att begära rättelse av dessa. Du har även rätt att komplettera ofullständiga uppgifter. Om du vill göra detta kan du kontakta sektionens styrelse på drek@datasektionen.se.

§3.3 Borttagning av hanterade uppgifter

Enligt dataskyddsförordningen artikel 17 har du i vissa fall rätt att kräva radering av dina personuppgifter. Sektionen sparar inte uppgifter längre än vad som är nödvändigt för respektive ändamål. I följande fall kan du begära att uppgifter relaterade till dig tas bort:

  • Om uppgifterna inte längre är nödvändiga för ändamålet.

  • Om du återkallar ditt samtycke till att uppgifterna hanteras och grunden till hanteringen baseras på samtycke.

  • Du invänder mot en intresseavvägning sektionen har gjort och dina skäl för invändningen väger tyngre än sektionens berättigade intresse.

  • Uppgifter behandlas på ett felaktigt sätt.

  • Uppgifter måste raderas för att uppfylla en rättslig förpliktelse som sektionen omfattas om.

Sektionen kan ha rätt att neka en begäran om borttagning om det finns lagliga grunder som förhindrar omedelbar borttagning eller om uppgifterna är nödvändiga för pågående utredning. I det fallet kommer sektionen istället blockera användning av uppgifterna i andra syften än det som förhindrar borttagning. Om du vill begära att sektionen tar bort uppgifter relaterade till dig kan du kontakta sektionens styrelse på drek@datasektionen.se.

§3.4 Anmälan av felaktig hantering

Om du anser att vår hantering av dina uppgifter bryter mot dataskyddsförordningen kan informera sektionensstyrelse på drek@datasektionen.se. Om du anser att vi avsiktligen hanterar uppgifterna felaktigt kan du anmäla detta till Integritetsskyddsmyndigheten.

§4 Vår hantering

§4.1 Administration av uppgifter

Vid insamling av uppgifter ska det alltid finnas en ansvarig person som ser till att relevanta lagstiftningar samt interna policies efterföljs. Denne ska vara tillgänglig för frågor om uppgiftsinsamlingen samt ansvarar för att anonymisera uppgifterna efter ett event är avslutat. Mail till den ansvarige och en länk till sektionens PM för Informationshantering ska alltid finnas angivet i insamlingsformuläret.

§4.2 Hur skyddar vi uppgifter

Alla personuppgifter som hanteras av sektionen ska lagras på den Google Drive som gruppen använder i sin verksamhet eller serveryta som sektionen genom antingen ägarskap eller uthyrning förfogar över. Endast de som aktivt ingår i gruppen, sektionens systemansvarig, sektionens styrelse samt sektionens revisorer får ha tillgång till den information som sparas. Personuppgifter får inte spridas genom kommunikationskanaler utöver Google Drive eller sektionens egenhostade kommunikationssystem för att undvika att skapa ytterligare kopior. Vid arbete som kräver en lokal kopia ska alla lokala kopior tas bort så snart arbetet är färdigt. Då informationen lagras på Drive samt inhyrd serveryta finns det en chans att uppgifterna överförs till ett annat land för lagring, dock ska detta alltid göras i enlighet med GDPR.

Undantag till ovanstående gäller personuppgiftersom hanterasi kondentiella sammanhang, till exempel inom trygghetsnämnden, där ovanstående rutin betydligt försvårar sekretess och/eller integriteten av ärendet.