GDPR – personuppgiftshantering

Policy gällande personuppgiftshantering för Staffanstorps Teaterförening från den 25 maj 2018.

Syftet med denna policy är att säkerställa att vi hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation – GDPR). Denna policy är förankrad hos alla våra styrelsemedlemmar och suppleanter.

Tillämpning och revidering
Styrelsen ansvarar för att behandlingen av personuppgifter följer denna policy.
Policyn ska fastställas av årsmötet en gång per år och uppdateras vid behov.

Organisation och ansvar
Styrelsen har det övergripande ansvaret för innehållet i denna policy samt att den
implementeras och efterlevs av verksamheten. 

Alla styrelsemedlemmar och suppleanter ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa.

Begrepp och förkortningar
Behandling– Allt man gör med de personuppgifter man har. Att lagra dem är också en behandling.
Personuppgift– All information som kan knytas till en person. Några exempel; Namn,
personnummer, adress, telefonnummer, fotografi mm.
Känsliga personuppgifter– Uppgift om hälsa, religion, etniskt ursprung, ras eller liknande.
Personuppgiftsansvarig– ”PuA Den som bestämmer ändamål och medel för behandlingen.
Personuppgiftsbiträde– ”PuB” Den som behandlar personuppgifter på uppdrag av PuA.
Personuppgiftsbiträdesavtal– Måste finnas mellan PuA och PuB. Avtalet reglerar i
huvudsak hur PuB får behandla uppgifter.

Personuppgiftsbehandling

Varje personuppgiftsbehandling ska ske enligt följande principer:

  • Laglighet, samtycke man frågar och får tillåtelse.
    Avtal föreningens stadgar kan ses som ett avtal med våra medlemmar.
    För följande behandlingar tex. mejlhantering internt, resp. externt.
  • Våra uppgiftsbehandlingar dokumenteras löpande i Behandlingsregistret.
  • Uppföljning och utvärdering av vår hantering av personuppgifter ska ske årligen.
    Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till kassören som utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidtanödvändiga åtgärder med anledning av incidenten.
  • Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal.

När vi samlar in personuppgifter och varför vi behöver dem.

  • Namn: för att hantera medlemsregister, biljettbokningar, artister.
  • Adress: för att hantera medlemsregister, mailadresser.
  • Telefonnummer: för att hantera medlemsregister och biljettbokningar.
  • Personnummer: För hantera lag 

Insamlade uppgifter får inte lämnas ut, utan ett uttryckligt samtycke. Vi ska
dokumentera detta för att visa vilken information vi lämnat ut. Information till
medlemmar om detta görs i samband med kallelsen till årsmöte.

Det är föreningen som är personuppgiftsansvarig. Det är styrelsen som ansvarar för att föreningen följer lagen. Det är alltså aldrig en person som är formellt ansvarig, även om föreningen utsett någon att sköta olika register.

GDPR reglerar vad som borde vara en självklarhet, att vi äger våra egna personuppgifter. Som utomstående får vi bara låna uppgifter om andra om vi lovar att skydda dem mot
insyn och förvara dem säkert. Det är ett förhållningssätt vi måste ha hela tiden om vi ska kunna sköta den uppgiften. 
Det kan man bara få genom att skapa medvetenhet och
utbilda alla som behöver det.

 

Fullständig policy finns här att läsa.