Integritetspolicy

Beslutad av förbundsstyrelsen den 22 maj 2018

Integritetspolicy

I policyn regleras riktlinjer för hur personuppgifter hanteras i verksamheten samt den rätt som riktlinjerna innebär för den enskilde vars personuppgifter har samlats in eller hanterats av SDR. Generalsekreteraren ansvarar för att se till att policyn efterlevs i verksamheten.

1. Policyns omfattning

Alla tjänstemän hos förbundet, förtroendevalda på förbundsnivå och telefonförsäljare för SDR Gåvan, Månadslotten och annonser till Dövas Tidning omfattas av riktlinjerna. Den rätt som följer med riktlinjerna omfattar alla vars personuppgifter som på något sätt har samlats in och hanterats hos SDR.

1.1 Definitioner

Personuppgifter: En personuppgift är all slags information som indirekt eller direkt går att hänföras till en fysisk person. Den information kan alltså vara allt från namn till foton samt adresser.

Behandling: Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgiftsansvarig: Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde: Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Laglighet, korrekthet och öppenhet: Denna princip innebär att hanteringen av
personuppgifter måste ha en laglig grund. Med laglig grund menas bland annat samtycke från den registrerade, om insamlandet är nödvändig för fullgörande av avtal (t.ex anställningsavtal eller fullgörande av medlemskap) eller efter en intresseavvägning. Det måste dessutom vara tydligt för den vars personuppgifter som hanteras att dessa samlas in och behandlas. Det ska vara specificerat vad en har samtyckt till.

Ändamålsbegränsning: Innan den som ska behandla personuppgifter gör det måste först bestämma ändamålet. Ett sådant ändamål kan vara medlemskap. Därefter måste personuppgifter som samlas in för det ändamålet göras endast för det ändamålet. Ett exempel är att förbundet begär medlemmens namn, e-post eller adress för att kunna föramedlemsförteckning och gör därför enbart det. Det som inte får göras är att denna information används i ett annat syfte, t.ex. lämnas ut till någon utomstående som vill veta
vilka som är medlemmar. Det kan dock vara tillåtet, men det är isåfall på en annan grund. Ändamålen ska dokumenteras skriftligt.

Uppgiftsminimering: Det är inte tillåtet att samla in mer personuppgifter än nödvändigt. Ett exempel är att om förbundet har alla personuppgifter som behövs för att förbundet ska kunna fullgöra en medlems enskilda medlemskap men att förbundet ändå väljer att fråga personen om dennes familjemedlemmar trots att det inte är nödvändig information för att denne ska bli medlem i föreningen. Man får inte samla in eller spara personuppgifter för osäkra framtida behov.

Korrekthet: Personuppgifterna måste vara korrekta. Den som hanterar personuppgifter måste säkerställa att dessa är uppdaterade. Felaktiga personuppgifter ska raderas.

Lagring: Personuppgifter får inte sparas en längre tid än det är nödvändigt för det ändamål som personuppgifterna behandlas för. Till exempel om en medlem väljer att avsluta sitt medlemskap ska dennes personuppgifter raderas från medlemsregistret.

2. Personuppgiftsansvarig

Sveriges Dövas Riksförbund, organisationsnummer: 882600-2282, med adress Rissneleden 138, är personuppgiftsansvarig för förbundets behandling av personuppgifter.

3. Principer för all behandling av personuppgifter i verksamheten

All behandling av personuppgifter ska grunda sig på principerna: laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet och lagring. För förklaring av principerna, se 1.1. Ändamålet för all behandling måste bestämmas och dokumenteras i förväg.

4. Samling och behandling av personuppgifter i verksamheten (registerförteckning)

Här anges de vanligaste personuppgifterna som samlas in och hanteras i verksamheten och hur förbundet följer det regelverk som finns i och med behandlingen av dessa personuppgifter.

Medlemmar

Ändamål

För att kunna fullgöra medlemskapet. För att SDR ska kunna veta
hur många ur målgruppen som är medlemmar

Typ av behandling

• Hantering av betalning
• Bekräftelse
• Utskick av Dövas
  Tidning

Kategorier av personuppgifter

• Namn
• Hörselstatus
• Ålder
• PersonnummerKontaktuppgifter (sms, emailadress, adress)

Laglig grund: Fullgörande av avtal. När det gäller hörselstatus är den lagliga grunden samtycke. Medlemmen kan själv välja bort att ge den informationen.
Lagringsperiod: Under tiden som medlemskapet varar. Samtycket avseende hörselstatus kan dras tillbaka och då lagras inte den informationen längre.

Kontaktuppgifter till föreningar/förbund och förtroendevalda

Ändamål

För att information från SDR ska kunna nå rätt personer hos föreningar/förbund. Andra ska kunna kontakta lokalföreningar vid behov.

Typ av behandling

• Intern sändlista
• SDR:s hemsida
• Hänvisning vid

Kategorier av personuppgifter

• Namn
• Email-adresser
• Förtroendeuppdrag

Laglig grund: Samtycke av den vars kontaktuppgifter som läggs upp på den interna sändlistan eller hemsidan. Lagringsperiod: Under tiden som förtroendeuppdraget varar eller om samtycket dras tillbaka.

Kunder hos SDR – via webbshop

Ändamål

För att kunna hantera beställning och köp.

Typ av behandling

• Leverans, inkl avisering och kontakter angående leveransen
• Hantering av betalningar kan innefatta kontroll av tidigare
  betalningshistorik
• Hantering av returer

Kategorier av personuppgifter

• Namn
• Adress
• Telefonnummer
• Köpinformation tex vilken vara som beställts, leverans till annan adress

Laglig grund: Fullgörande av köpeavtalet. Denna insamling av dina personuppgifter krävs för att vi ska kunna fullgöra våra åtaganden enligt köpeavtalet. Om uppgifterna inte lämnas kan våra åtaganden inte fullgöras och SDR tvingas därför neka köpet. Lagringsperiod: Tills köpet har genomförts inkl. leverans och betalning, och för en tid om 36 månader därefter i syfte att kunna hantera eventuella reklamations- och garantiärenden

Kunder hos SDR – via webbshop och telefonförsäljning

Ändamål

För att kunna hantera kundserviceärenden

Typ av behandling

• Kommunikation och besvarande av eventuella frågor gällande kundserviceärenden via telefon eller i digitala kanaler
• Identifiering
• Utredning av ev.
  klagomål och
  supportärenden

Kategorier av personuppgifter

• Namn
• Adress
• Telefonnummer
• Köpinformation tex vilken vara som beställts, leverans till annan adress
• Köptillfälle
• Ev. fel/klagomål
• Returfrågor

Ändamål

För att kunna hantera beställning och köp.

Typ av behandling

• Leverans, inkl avisering och kontakter angående leveransen
• Hantering av betalningar kan innefatta kontroll av tidigare
  betalningshistorik
• Hantering av returer

Kategorier av personuppgifter

• Namn
• Adress
• Telefonnummer
• Köpinformation tex vilken vara som beställts, leverans till annan adress

Laglig grund: Fullgörande av köpeavtalet. Denna insamling av dina personuppgifter krävs för att vi ska kunna fullgöra våra åtaganden enligt köpeavtalet. Om uppgifterna inte lämnas kan våra åtaganden inte fullgöras och SDR tvingas därför neka köpet. Lagringsperiod:Tills köpet har genomförts inkl. leverans och betalning, och för en tid om 36 månader därefter i syfte att kunna hantera eventuella reklamations- och garantiärenden.

Annonskunder till Dövas Tidning – via telefonförsäljningen och andra kontaktvägar

Ändamål

För att kunna hantera köp/beställning av annonsplats, publicering och
fakturering

Typ av behandling

• Publicering av annons, inkl kontakter angående publiceringen
• Hantering av beställningar och betalningar kan innefatta kontroll av
  tidigare betalningshistorik
• Hantering av kundserviceärenden

Kategorier av personuppgifter

Namn

• Företag/organisation
• Adress
• Telefonnummer
• Köpinformation tex
  vilken annons som
  beställts,
  publiceringsinformaton,
  fakturering till annan
  adress

Laglig grund: Fullgörande av köpeavtalet. Denna insamling av dina personuppgifter krävs för att vi ska kunna fullgöra våra åtaganden enligt köpeavtalet. Om uppgifterna inte lämnas kan våra åtaganden inte fullgöras och SDR genom Dövas Tidning tvingas därför neka köpet. Lagringsperiod: Tills köpet har genomförts inkl. publicering och betalning, och för en tid om
36 månader därefter i syfte att kunna hantera eventuella reklamationsärenden.

Prenumeranter

Ändamål

För att kunna leverera köp/prenumeration av Dövas Tidning

Typ av behandling

• Hantering av betalning
• Bekräftelse
• Utskick av Dövas Tidning

Kategorier av personuppgifter

• Namn/Företag/organisation
• Ev organisationsnummer
• Kontaktperson
• Kontaktuppgifter (sms, emailadress, adress)

Laglig grund: Fullgörande av köpeavtalet. Denna insamling av dina personuppgifter krävs för att vi ska kunna fullgöra våra åtaganden enligt köpeavtalet. Om uppgifterna inte lämnas kan våra åtaganden inte fullgöras och SDR genom Dövas Tidning tvingas därför neka köpet. Lagringsperiod: Tills köpeavtalet inte längre gäller.

Kunder hos Månadslotten via telefonförsäljning och brevutskick

Ändamål

För att kunna hantera beställning och köp.

Typ av behandling

Se http://www.manadslotten.se/ommaanadslotten/integritetspolicy/

Kategorier av personuppgifter

Se http://www.manadslotten.se/ommaanadslotten/integritetspolicy/

Laglig grund: Se länken.
Lagringsperiod: Se länken.

5. Känsliga personuppgifter

Insamlandet av känsliga personuppgifter (t.ex. döv) ska alltid föregås av samtycke av den registrerade. Samtycket kan återkallas när som helst.

6. Gentemot distriktsförbund och föreningar

Medlemskap i en dövförening innebär automatiskt medlemskap i SDR. Medlemskap är ett avtal mellan organisationerna och medlemmen. Vi har inget direktmedlemskap. Dövföreningarna har tillgång till medlemsregistret men kan inte ändra i personuppgifterna. Vi har personuppgiftsbiträdesavtal med dessa.

7. Gentemot andra förbund

SDR sköter medlemsadministrationen, även för SDUF:s och SDP:s medlemmar då medlemskap i SDR är grunden för medlemskap hos de senare. Ett medlemskap i SDUF (för medlemmar mellan 6 och 31) ingår utan extra kostnad efter medlemmens samtycke genom tillval, då ingår ett medlemskap i en lokal ungdomsklubb. Ett medlemskap i SDP (för medlemmar från 65 år) ingår utan extra kostnad efter medlemmens samtycke genom tillval,
då ingår ett medlemskap i en lokal pensionärsförening. SDUF och SDP har tillgång till medlemsregistret men inte på det sätt att de kan ändra i personuppgifterna. Personuppgiftsbiträdesavtal har tagits fram för detta slags samarbete.

8. Säkerhet

Inom SDR värnar vi om säkerheten kring hanteringen av personuppgifter. Vi ser till att vår dator och mobil är låsta med lösenord, så att dessa är låsta för obehöriga. När vi gör anteckningar med personuppgifter i mobilen, ser vi till att lösenordsskydda dessa. Våra pärmar och handlingar som innehåller personuppgifter är skyddade från obehöriga. Vi ser till att våra utskrift föregås av en säker utskrift, där dokumentet lösenordsskyddas innan utskrift.

9. Rättigheter

Du som medlem eller kund har rättigheter. Du har möjlighet att påverka din information och vad som sparas. SDR kommer på eget eller ditt initiativ ändra i personuppgifter som är felaktiga. Du kan när som helst kontakta oss för att återkalla ett samtycke som getts tidigare eller begära att personuppgifter raderas. I nya medlemsregistret syns vilka som varit inne på din sida med personuppgifter och spår efter ändringar.

10. Personuppgiftsincident

Vi dokumenterar om det sker dataintrång eller om vi på något sätt förlorar kontrollen över våra personuppgifter. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter anmäler vi händelsen till Datainspektionen inom 72 timmar. Vid allvarliga händelser informerar vi de registrerade. Alla incidenter ska rapporteras till generalsekreteraren inom 72 timmar som i sin tur anmäler när det är behövligt.