Integritetspolicy

Parter och ansvar för behandlingen av dina personuppgifter

Hansaklubben, Org nr 846502-5958 (nedan kallad föreningen) är personuppgiftsansvarig för behandlingen av personuppgifter som sker inom ramen för föreningens verksamhet. Hansaklubben är en opolitisk ideell förening som har till uppgift att i Malmö tillhandahålla sina medlemmar lokaler för konferens- och utbildningsändamål samt möjligheter till samvaro i traditionellt klubbliv.

Varför behandlar vi dina personuppgifter?

För att föreningen ska kunna bedriva sin verksamhet behandlas personuppgifter för olika ändamål kopplade till verksamheten. Föreningen behandlar personuppgifter för att administrera löpande föreningsaktiviteter, kommunicera med medlemmarna (kallelser till aktiviteter, information, m.m.) samt hantera medlemsrelaterade ekonomiska transaktioner (medlemsavgifter och anmälningsavgifter m.m.).

Föreningen är personuppgiftsansvarig för behandlingen av de personuppgifter som sker vid:
 
  • Hantering av medlemskap i föreningen
     
  • Föreningsadministration
     
  • Deltagande i föreningens verksamheter
     
  • Sammanställning av statistik och uppföljning
     
  • Kontakt med medlem
     
  • Besök på vår hemsida
     
  • Publicering av material på hemsida och sociala medier
     
  • Tillträdesförbud (om tillämpligt)
     
  • Ordningsstörningar och otillåten påverkan (om tillämpligt)

Vilka delar vi personuppgifter med?

Föreningen har nedan sammanställt den rättsliga grunden för behandlingen av personuppgifter som sker inom föreningens verksamhet

 

Ändamål med behandling

Rättsliggrund

Hantering av medlemskap i föreningen

Avtal

Föreningsadministration

Avtal

Deltagande i föreningens verksamheter

Avtal

Sammanställning av statistik och uppföljning

Allmänt intresse

Utbildningar arrangerade av föreningen

Allmänt intresse vid statsbidragsfinansierad utbildning, annars samtycke

Kontakt med föreningen

Intresseavvägning

Besök på vår hemsida

Intresseavvägning

Publicering av material på hemsida och sociala medier

Intresseavvägning och ibland samtycke

 

Tillträdesförbud

Intresseavvägning

Ordningsstörningar och otillåten påverkan

Intresseavvägning

 

Hur länge sparar vi dina personuppgifter?

Föreningen kommer att genomföra en bedömning årsvis om ändamålet med
behandlingen av personuppgifterna kvarstår. Om inte ändamålen med
behandlingen av personuppgifterna kvarstår kommer uppgifterna att raderas.
 

Vilka rättigheter har du?

Du som registrerad i föreningen har flera rättigheter som du bör känna till.
Du har rätt att få ett registerutdrag avseende föreningens behandling av dina
personuppgifter. Föreningen ska vid begäran av registerutdrag förse dig med en
kopia av de personuppgifter som är under behandling. För eventuella ytterligare
kopior som du begär får föreningen ta ut en rimlig avgift utifrån administrativa
kostnader.
Du har i vissa fall även rätt till dataportabilitet av personuppgifterna.
Du har rätt att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga
eller missvisande och rätt att begränsa behandlingen av personuppgifterna tills de
blir ändrade.
Du har under vissa omständigheter rätt att bli raderad:
  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
    Om behandlingen grundar sig på den enskildes samtycke och du återkallar
    samtycket
  • Om behandlingen sker för direktmarknadsföring och du motsätter sig att
    uppgifterna behandlas
  • Om du motsätter sig personuppgiftsbehandling som sker inom ramen för
    myndighetsutövning eller efter en intresseavvägning och det inte finns
    berättigade skäl som väger tyngre än dina intressen
  • Om personuppgifterna har behandlats olagligt
  • Om radering krävs för att uppfylla en rättslig skyldighet
Du har också rätt att dra in ett samtycke, motsätta dig automatiskt beslutsfattande,
profilering och invända mot direktmarknadsföring.
Du kan när som helst utöva dina rättigheter genom att begära tillgång till och
rättelse eller radering av personuppgifter, begära begränsning av behandling eller
invända mot behandling. Kontakta styrelsen för att utöva dina rättigheter.
Vidare har du rätt att inge ett klagomål avseende föreningens behandling av
personuppgifter till Datainspektionen, besök www.datainspektionen.se.
Mer information om hur föreningen arbetar för att tillvarata dina rättigheter
återfinns i Instruktioner för att tillvarata enskildas rättigheter.
 

Om du vill veta mer

Har du frågor om föreningens personuppgiftsbehandling eller vill utöva dina
rättigheter kontaktar du styrelsen.

 

Instruktion för att tillvarata enskildas rättigheter

De personer vars personuppgifter behandlas, de registrerade, har ett antal
rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att
de registrerade ska få information om när och hur deras personuppgifter behandlas
och ha kontroll över sina egna uppgifter. Därför har de registrerade bland annat rätt
att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller
flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och
specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Under
respektive rättighet redogörs för hur föreningen arbetar för att tillvarata de
registrerades rättigheter samt för att underlätta de registrerades utövande av
rättigheterna.
  • Rätt till information vid insamlande av personuppgifter
  • Rätt till registerutdrag
  • Rätt till rättelse
  • Rätt till radering
  • Rätt till dataportabilitet
  • Rätt att invända mot behandling
  • Rätt att motsätta sig automatiserad behandling
  • Rätt att inge klagomål till tillsynsmyndighet
  • Rätt till skadestånd
Syfte
Syftet med dessa riktlinjer är att förtydliga hur föreningen arbetar för att
tillvarata de registrerades rättigheter avseende personlig integritet och
dataskydd.
 
Rätt till information vid insamlande av personuppgifter
Information till de registrerade är en viktig del av integritetsskyddet.
Föreningen har en skyldighet att ge klar och tydlig information till de
registrerade (medlemmar, förtroendevalda, funktionärer, ledare etc.) vid
insamling av personuppgifter. I nedanstående tabell sammanställs den
information som föreningen är skyldiga att tillhandahålla vid insamlandet av
personuppgifter. Informationsskyldigheten skiljer sig beroende på om
insamlandet av personuppgifter sker från den registrerade eller från någon
annan.

 

När personuppgifter

samlas in från den

registrerade

När personuppgifter

samlas in från annan

Personuppgiftsansvarige

JA

JA

Dataskyddsombudet

JA

JA

Ändamålen

JA

JA

Rättslig grund

JA

JA

Kategorier av

personuppgifter

NEJ

JA

Intresse vid

intresseavvägning

JA

JA

Mottagarna

JA

JA

Tredjelandsöverföringar

JA

JA

Lagringstid

JA

JA

De registrerades rättigheter

JA

JA

Rätten att återkalla ett

samtycke

JA

JA

Rätten att inge klagomål till

DI

JA

JA

Uppg.skyldighet enligt avtal

eller lag

JA

NEJ

Automatiserat

beslutsfattande

JA

JA

Källa varifrån uppg. har

hämtats

NEJ

JA

Den information som ges till registrerade i samband med insamling återfinns i Integritetspolicyn.
 
Rätt till registerutdrag
Den registrerade har rätt att få ett registerutdrag avseende föreningens behandling av personuppgifter som gäller den registrerade. Föreningen ska på begäran av registerutdrag förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får föreningen ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Registerutdraget ska tillhandahållas utan onödigt dröjsmål och senast inom en månad.
 
I nedanstående tabell sammanställs den information som föreningen är skyldig att
tillhandahålla vid begäran om registerutdrag.

 

Den registrerades rätt till registerutdrag

Ändamålen

JA

Kategorier av personuppgifter

JA

Mottagarna

JA

Tredjelandsöverföringar

JA

Lagringstid

JA

De registrerades rättigheter

JA

Rätten att inge klagomål till DI

JA

Automatiserat beslutsfattande

JA

Källa varifrån uppg. har hämtats

JA

Alternativ för begäran av registerutdrag
Den registrerade kan antingen fylla i ett formulär för begäran av registerutdrag som skickas elektroniskt eller via e-post till föreningen. 
 
Rätt till rättelse
Den registrerade har rätt att begära att föreningen utan onödigt dröjsmål rättar felaktiga personuppgifter som rör honom eller henne. Med beaktande av ändamålet med  behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
  • Hur begär en registrerad rättelse i er verksamhet?
 
Rätt till radering ”rätten att bli bortglömd”
Under vissa omständigheter har den registrerade rätt att bli bortglömd. Föreningen är skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifterna har behandlats olagligt
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk
 
Skyldighet att informera andra personuppgiftsansvariga
Om föreningen har offentliggjort personuppgifter och enligt ovanstående förutsättningar är skyldig att radera personuppgifterna, ska föreningen med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta andra personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.
 
Undantag till rätten att bli bortglömd:
Rätten att bli bortglömd ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
  • För att utöva rätten till yttrande- och informationsfrihet.
  • För att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning.
  • För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet.
  • För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, i den utsträckning som rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
  • För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
  • Hur begär en registrerad att bli raderad i er verksamhet?
Rätt till dataportabilitet
Under vissa omständigheter har den registrerade rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format. Följande förutsättningar gäller för rätten till dataportabilitet:
  • Uppgifterna har tillhandahållits av den registrerade (eller genererats av den registrerades agerande),
  • Behandlingen sker med stöd av samtycke eller avtal
  • Behandlingen sker automatiserat
  • Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att erhålla personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt dataskyddsförordningen. 
 
Rätten till dataportabilitet gäller inte vid behandling som stödjer sig på allmänt intresse och myndighetsutövning.
 
I de fall det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan. 
 
Rätt att invända mot behandling
Den registrerade har rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning. Om den registrerade har invänt mot sådan behandling, ska en ny prövning göras utifrån den registrerades situation.
 
Behandlingen måste upphöra om inte föreningen kan våk. Exempel på tvingande berättigade skäl är att behandlingen är isa på tvingande berättigade skäl eller behandlingen sker för rättsliga ansprgynnsam för samhället i stort, ex. forskning för att förutse spridning av sjukdomar.
 
Om en registrerad invänder mot behandling som avser direkt marknadsföring måste behandlingen upphöra.
  • Hur ska en registrerad invända mot behandling i er verksamhet?
Rätt att motsätta sig automatiserad behandling
Den registrerade har rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling, inklusive profilering, vilka får rättslig eller liknande effekt.
 
Automatiserade beslut är endast tillåtna om det är nödvändigt för fullgörande av avtal med den registrerade, vid stöd i lagstiftning eller om föreningen har ett uttryckligt samtycke.
 
  • Hur ska en registrerad motsätta sig automatiserad behandling i er verksamhet?
 
Rätt att inge klagomål till tillsynsmyndighet
Den som anser att någon behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Datainspektionen. Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till den som fört fram klagomålet. Datainspektionen måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om den klagande inte får besked inom den tiden, kan klaganden vända sig till domstol för att begära besked.
 
Rätt till skadestånd
En person som har lidit skada på grund av att vederbörandes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen. 
 
Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.
 
Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol. 
 
Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. Den personuppgiftsansvarige och personuppgiftsbiträdet får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.
 
Föreningens skyldighet att underlätta den registrerades utövande av rättigheterna
Föreningen har en skyldighet att underlätta utövandet av rättigheterna. För att underlätta de registrerades utövande av rättigheterna kan föreningen ha utsett en kontaktperson avseende dataskydd.
 
  • Var vänder sig den registrerad avseende dataskydd i er verksamhet?
 

Åtgärdsplan för personuppgiftsincidenter

Bakgrund och syfte
Föreningen ska se till att de följer dataskyddsförordningen och arbeta proaktivt med att undvika personuppgiftsincidenter. Föreningen har därför tagit fram denna åtgärdsplan för hantering av personuppgiftsincidenter.
Åtgärdsplanen syftar till att klargöra hur föreningen identifierar och hanterar personuppgiftsincidenter. Vidare klargör åtgärdsplanen hur föreningen bör skapa medvetenhet kring de risker som följer av personuppgiftsincidenter.
 
Vad är en personuppgiftsincident?
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors fri- och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel: 
  • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt.
En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har
  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer.
Det spelar ingen roll om händelsen har skett oavsiktligt eller med avsikt. I båda fallen kan det vara personuppgiftsincidenter.
Exempel på personuppgiftsincidenter
  • Någon obehörig part har fått tillgång till personuppgifter, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
  • Datorer som innehåller personuppgifter har förlorats eller stulits.
  • Någon har ändrat personuppgifter utan tillstånd.
  • Personuppgifter är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.
 
Anmäla personuppgiftsincident till Datainspektionen
Föreningen har en skyldighet att utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om en incident, anmäla personuppgiftsincidenten till Datainspektionen. Anmälan sker via Datainspektionens e-tjänst för att rapportera personuppgiftsincidenter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska föreningen motivera förseningen.
 
Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.
 
Undantag till anmälningsskyldighet
Anmälningsskyldigheten gäller inte om det är osannolikt att personuppgifts-incidenten medför en risk för fysiska personers rättigheter och friheter. Det är föreningen som, enligt ansvarsprincipen, måste påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter.
 
Konsekvenser
En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.
 
Innehåll i anmälan av personuppgiftsincident
All information som ska finnas i en anmälan avseende personuppgiftsincidenter återfinns i Datainspektionen e-tjänst för att rapportera personuppgiftsincidenter.
 
Vem ska göra anmälan
Föreningen är i egenskap av personuppgiftsansvarig ansvarig för att upprätta anmälan. Inom föreningen är det styrelsen som ansvarar för att föreningen efterlever kraven under dataskyddsförordningen. Föreningen ska varje verksamhetsår utse en person som är ansvarig för att upprätta en anmälan vid en eventuell personuppgiftsincident.
 
Undvik sanktionsavgifter
Om föreningen inte rapporterar en personuppgiftsincident kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att föreningen måste betala sanktionsavgifter.
 
Informera de registrerade
Om personuppgiftsincidenten är allvarlig ska föreningen utan onödigt dröjsmål även informera de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter.
Föreningen ska bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar.
  • Hur allvarliga kan konsekvenserna bli?
  • Hur sannolikt är det att enskilda personer drabbas?
Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre.
När risken är hög ska föreningen genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att föreningen ska kunna hjälpa individerna att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident.
 
Information till de registrerade
Föreningens information till de registrerade ska uppfylla Datainspektionens minimikrav:
  • Tydlig och klar beskrivning av orsaken till personuppgiftsincidenten.
  • Namn och kontaktuppgifter till föreningens kontaktperson i ärendet eller till en annan kontakt som är insatt i frågan och kan svara på frågor.
  • Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
  • Beskrivning vad föreningen har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.
  • I förkommande fall: Beskriv vad föreningen har gjort för att mildra eventuella negativa effekter.
 
Dokumentation
Föreningen ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av föreningens anmälningsskyldighet samt ytterligare skyldigheter som följer av anmälan om personuppgiftsincident.
 
Undvika personuppgiftsincidenter
Föreningen ska arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Detta innebär bland annat att föreningen ska:
  • Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
  • Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
  • Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen.
 
 

Åtgärdsplan för personuppgiftsincidenter

Bakgrund och syfte
Föreningen ska se till att de följer dataskyddsförordningen och arbeta proaktivt med att undvika personuppgiftsincidenter. Föreningen har därför tagit fram denna åtgärdsplan för hantering av personuppgiftsincidenter.
Åtgärdsplanen syftar till att klargöra hur föreningen identifierar och hanterar personuppgiftsincidenter. Vidare klargör åtgärdsplanen hur föreningen bör skapa medvetenhet kring de risker som följer av personuppgiftsincidenter.
 
Vad är en personuppgiftsincident?
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors fri- och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel: 
  • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt.
En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har
  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer.
Det spelar ingen roll om händelsen har skett oavsiktligt eller med avsikt. I båda fallen kan det vara personuppgiftsincidenter.
 
Exempel på personuppgiftsincidenter
  • Någon obehörig part har fått tillgång till personuppgifter, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
  • Datorer som innehåller personuppgifter har förlorats eller stulits.
  • Någon har ändrat personuppgifter utan tillstånd.
  • Personuppgifter är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.
 
Anmäla personuppgiftsincident till Datainspektionen
Föreningen har en skyldighet att utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om en incident, anmäla personuppgiftsincidenten till Datainspektionen. Anmälan sker via Datainspektionens e-tjänst för att rapportera personuppgiftsincidenter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska föreningen motivera förseningen.
 
Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.
 
Undantag till anmälningsskyldighet
Anmälningsskyldigheten gäller inte om det är osannolikt att personuppgifts-incidenten medför en risk för fysiska personers rättigheter och friheter. Det är föreningen som, enligt ansvarsprincipen, måste påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter.
 
Konsekvenser
En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.
 
Innehåll i anmälan av personuppgiftsincident
All information som ska finnas i en anmälan avseende personuppgiftsincidenter återfinns i Datainspektionen e-tjänst för att rapportera personuppgiftsincidenter.
 
Vem ska göra anmälan
Föreningen är i egenskap av personuppgiftsansvarig ansvarig för att upprätta anmälan. Inom föreningen är det styrelsen som ansvarar för att föreningen efterlever kraven under dataskyddsförordningen. Föreningen ska varje verksamhetsår utse en person som är ansvarig för att upprätta en anmälan vid en eventuell personuppgiftsincident.
 
Undvik sanktionsavgifter
Om föreningen inte rapporterar en personuppgiftsincident kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att föreningen måste betala sanktionsavgifter.
 
Informera de registrerade
Om personuppgiftsincidenten är allvarlig ska föreningen utan onödigt dröjsmål även informera de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter.
Föreningen ska bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar.
  • Hur allvarliga kan konsekvenserna bli?
  • Hur sannolikt är det att enskilda personer drabbas?
Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre.
När risken är hög ska föreningen genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att föreningen ska kunna hjälpa individerna att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident.
 
Information till de registrerade
  • Föreningens information till de registrerade ska uppfylla Datainspektionens minimikrav:
  • Tydlig och klar beskrivning av orsaken till personuppgiftsincidenten.
  • Namn och kontaktuppgifter till föreningens kontaktperson i ärendet eller till en annan kontakt som är insatt i frågan och kan svara på frågor.
  • Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
  • Beskrivning vad föreningen har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.
  • I förkommande fall: Beskriv vad föreningen har gjort för att mildra eventuella negativa effekter.
 
Dokumentation
Föreningen ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av föreningens anmälningsskyldighet samt ytterligare skyldigheter som följer av anmälan om personuppgiftsincident.
 
Undvika personuppgiftsincidenter
Föreningen ska arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Detta innebär bland annat att föreningen ska:
  • Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
  • Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
  • Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen.
 
 
 
 
 

Registerförteckning

Föreningen är skyldig att föra ett register över behandling av personuppgifter där föreningen är personuppgiftsansvarig eller personuppgiftsbiträde.
 
Register över behandlingar där föreningen är personuppgiftsansvarig
Föreningens kontaktuppgifter:
Namn Hansaklubben
Adress Norra Vallgatan 66
Postadress 211 22 MALMÖ
Orgnr 846502-5958

 

Föreningsadministration

Ändamål med behandling

Roller/behörigheter, grupper, utmärkelser, avgifter, Kommunikation, aktiviteter, kontaktuppgifter.

Kategorier av personuppgifter

Namn, födelsedata/personnummer, kontaktuppgifter, kön, telefonnummer, matallergier, foton, uppgifter om anställningar och andra meriter.

Mottagare

Inom ramen för föreningsadministrativa ändamål skickas inte personuppgifterna till andra mottagare än till krögaren.

Tredjelandsöverföring m.m.

Ingen tredjelandsöverföring.

Lagringstid

Personuppgifterna ska gallras 24 månader efter avslutat medlemskap, om personuppgifterna ej är nödvändiga för rättslig förpliktelse eller allmänt intresse, eller annan laglig grund där ändamål för behandling kvarstår.

 

Statistik och uppföljning

Personuppgiftsansvarig

Föreningen.

Ändamål med behandling

Ex. sammanställning av statistik, uppföljning av projekt.

Kategorier av personuppgifter

Kön, postnummer, ålder

.

Mottagare

För föreningens interna ändamål.

Tredjelandsöverföring m.m.

Ingen tredjelandsöverföring.

Lagringstid

En bedömning ska göras utifrån varje enskild statistiksammanställning och uppföljning. Föreningen ansvarar för gallring av personuppgifterna när ändamålet med behandlingen inte längre kvarstår. 

 

Publicering av material på sociala medier och föreningens hemsida

Ändamål med behandling

Uppvisande och marknadsföring av föreningens verksamhet.

Kategorier av personuppgifter

Namn, bilder, föreningsaktiviteter , uppgifter om anställningar och andra meriter.

Mottagare

Uppgifterna överförs inte till andra mottagare utöver publicering på hemsida och/eller sociala medier.

Tredjelandsöverföring m.m.

Ingen aktiv tredjelandsöverföring sker. Individer i tredje land kan tillgodogöra sig information som publicerats på hemsida och/eller sociala medier i den digitala världen.

Lagringstid

Föreningen är ansvarig för gallring av person-uppgifter och ska årligen bedöma om ändamålet för behandling av personuppgifter kvarstår.

Säkerhetsåtgärder

Föreningen har en särskild instruktion för hantering av personuppgifter i ostrukturerat material.

 

Behandling av personuppgifter i e-post

Ändamål med behandling

Föreningen kan komma att behandla person-uppgifter i e-post för föreningsadministration, hantering av medlemskap i föreningen, deltagande i föreningens verksamheter, administrering av utbildningar arrangerade av föreningen och kontakt med medlem.

Kategorier av personuppgifter

Namn, personnummer, kontaktuppgifter.

Mottagare

Som utgångspunkt inga mottagare som är tredje part i förhållande till den registrerade och ev. person-uppgiftsbiträden. Föreningen tillhandahåller inte aktivt personuppgifter till externa mottagare via e-post.

Tredjelandsöverföring m.m.

Ingen tredjelandsöverföring sker som utgångspunkt. Föreningen är ansvarig för att vidta utökade säkerhetsåtgärder vid eventuella tredjelands-överföringar eller vid mejlkorrespondens med personer som vistas i tredje land.

Lagringstid

Personuppgifter i e-post ska raderas snarast möjligt. Om föreningen har ändamål och laglig grund att behandla personuppgifter som inkommit via e-post ska uppgifterna som utgångspunkt snarast möjligt överföras till det system där de hör hemma, till exempel ett licenshanteringssystem. Därefter ska e-postmeddelandet raderas.

Säkerhetsåtgärder

Föreningen har en särskild instruktion för hantering av personuppgifter i ostrukturerat material.

Säkerhetsåtgärder

Föreningen är skyldig att, i den mån det är möjligt, redogöra för vidtagna tekniska och organisatoriska säkerhetsåtgärder i registerförteckningen. Föreningen är skyldig att vidta åtgärder som bidrar till en säkerhetsnivå som är lämplig med beaktande av föreningens tekniska möjligheter, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga personuppgifterna är.
Föreningens tekniska- och organisatoriska säkerhetsåtgärder återfinns i integritetspolicyn, åtgärdsplanen för personuppgiftsincidenter och instruktioner för att tillvarata enskildas rättigheter, instruktioner för behandling av ostrukturerat material och instruktioner av upprättandet av personuppgiftsbiträdesavtal. Alla policys, planer och instruktioner är en sammantagen redogörelse för hur föreningen arbetar både tekniskt och organisatoriskt med dataskydd.
Tekniska säkerhetsåtgärder i system
Vid användning av externa system är föreningen ansvarig för att behandlingen av personuppgifter efterlever kraven i dataskyddsförordningen.
Commerz AB ansvarar för att de funktioner som föreningen nyttjar i det föreningsadministrativa systemet samt att hemsidan efterlever kraven i dataskyddsförordningen. 

Personuppgiftsbiträden

Om föreningen är personuppgiftsbiträde ska föreningen upprätta ett register över den behandling som föreningen utför för den personuppgiftsansvariges räkning.
Följande uppgifter ska finnas med i registret:
  • Personuppgiftsbiträdets kontaktuppgifter (dvs föreningens) och till den personuppgiftsansvariga samt eventuellt dataskyddsombud
  • Kategorier av behandling som utförts för varje personuppgiftsansvarigs räkning
  • Eventuella tredjelandsöverföring
  • Säkerhetsåtgärder