Riktlinjer för dataskydd och hantering av personuppgifter

Dataskydd och hantering av personuppgifter inom Solidaritetshuset Ekonomisk förening styrs av EU:s nya dataskyddsförordning, GDPR (General Data Protection Regulation), som träder i kraft 25 maj 2018. För att Solidaritetshuset Ekonomisk förening (nedan Solidaritetshuset) inte ska bryta mot förordningen har följande riktlinjer beträffande dokumentation, rutiner, information och säkerhet utarbetats.

Dataskyddsansvarig
Dataskyddsansvarig i föreningen, med uppgift att följa upp personuppgiftshanteringen är en anställd med informations- och samordningsansvar.

Hantering av medlemsregister
Vid registrering av medlem ska det tydligt framgå vilken information föreningen behöver, hur den används och sparas samt hur medlem kan radera information om medlem så önskar. Avslutat medlemskap: Efter föreningsstämma där utträde fastställs ska medlemmen ha raderats ur medlemsregistret.

Lista över medlemsföreningar är offentlig och publiceras på Solidaritetshusets hemsida. Medlemsföreningarna kan själva redigera presentation och kontaktuppgifter till sin förening.
Medlemsregistret med kontaktuppgifter ska vara åtkomligt för behörig personal och styrelse.

Information till medlemmar
Kontakt med och information till medlemmar och hyresgäster i Solidaritetshuset är nödvändig och sker bl.a via mailutskick och nyhetsbrev. Föreningarna väljer kontaktpersoner som får dessa utskick. Nyhetsbrevet är öppet för flera prenumerationer bland medlemmar, föreningsanställda, personal och hyresgäster, men skickas ej utan medgivande.

Hantering av medlemsskapsansökningar
Föreningar som ansöker om medlemskap ska inkomma med ansökningshandlingar med bilagor enligt anmodan. Styrelse och behörig personal kan ta del av handlingarna. Dokument som inte är nödvändiga för hantering av medlemskapet raderas efter årsstämman.

Hantering av ansökningar till tjänster
Inkomna handlingar ska hållas oåtkomliga för alla som inte ingår i den rekryteringsgrupp som är tillsatt för den specifika rekryteringen. Rekryteringsgruppen ansvarar för att efter tre (3) veckor efter varje rekryteringstillfälle radera alla ansökningar och dokumentation med koppling till personuppgifter.

Hantering av personalakter
Anställningsbevis och tidrapporter för anställda ska förvaras på ekonomens kontor. Efter avslutad anställning sparas dokumenten fysiskt och digitalt i tre (3) år för att sedan upp till sju (7) år enbart sparas digitalt. Detta som verifikationer i bokföringen som enligt bokföringslagen ska sparas i sju (7) år.
Övriga dokument, så som bland annat anteckningar från medarbetarsamtal, ska enbart personalansvarig ha tillgång till. Dessa dokument ska efter anställningen upphört raderas.

Hantering av lönesystemet och uppgifter till annan aktör
Personuppgifter i lönesystemet sparas minst sju (7) år i enlighet med bokföringslagen och ska hållas inlåst på kontoret. Efter sju (7) år sparas vissa uppgifter som personen ifråga själv kan efterfråga. Utlämnande av personaluppgift till annan aktör sker endast efter samtycke från personen ifråga.

Solidaritetshuset har skyldighet att till olika aktörer, så som bolagsverket, bank och revisorer, ge ut information om exempelvis firmatecknare och styrelsemedlemmar. Detta medför att Solidaritetshuset behöver lämna ut personuppgifter till annan aktör. Innan sådan information ges ut ska personen i fråga vars uppgifter lämnas blivit informerad om detta samt syftet med utlämnandet.

Personuppgifter i protokoll
I styrelseprotokoll listas närvarande med förnamn och efternamnsinitial. I den löpande texten skrivs endast förnamn.
Protokoll från styrelsemöten finns tillgängliga för medlemmar på lösenordsskyddad internweb under ett (1) år. Beslutsunderlag finns åtkomliga för styrelsemedlemmar i lösenordsskyddad dropbox.
Protokoll och andra dokument från föreningsverksamheten som kan inneha personuppgifter förvaras i ekonomens låsta kontor.

Integritetspolicy
Solidaritetshuset lämnar inte ut någon information om personal eller medlemmar/personal i dess medlemsföreningar till icke behörig person som inte är överenskommet med personen i fråga.

För att värna om rätten till skydd av personuppgifter och den personliga integriteten är vi noga med att informera personer som deltar i utåtriktade program, fotograferas eller på annat sätt deltar i informationsspridning och kommunikation om organisationen och dess verksamhet, på vilket sätt uppgifterna används och i vilket syfte.

Mailkonton
Ett gruppmailkonto finns för styrelsens interna arbete och som personalen ej omfattas av.
Vid avslutat styrelsemandat stänger dataskyddsansvarig tillgång till styrelses gruppmail.
När personal avslutar sin tjänst byter dataskyddsansvarig lösenord till mailkonton som personen i fråga har haft tillgång till.

Webbpublicering
Solidaritetshuset använder säkra anslutningar, HTTPS, på sina webbsidor som standard och vi ser till att webbplatserna inte läcker data om sina besökare när de via länkar går in på andra webbsidor, s.k. referrers.
Världsbibliotekets beståndskatalog är tillgänglig via webben. Uppgift om återlämnade böcker raderas som default i systemet, om inte låntagaren aktivt väljer att ha spara dem.

Mötesrumsbokningssystemet, MRBS
Det webbaserade bokningssystemet är tillgängligt via lösenordsskyddad internwebb. I systemet anges kontaktuppgifter till ansvarig bokare med förnamn, mail och mobilnummer. Personuppgifterna får raderas av ansvarig bokare två veckor efter aktiviteten, i annat fall raderas de av dataskyddsansvarig efter varje kvartal.

Information till föreningar och anställda
Information ges till nya medlemsföreningar och nyanställda angående dataskyddsförordningen, de regelverk och policy som följs inom organisationen kring hantering av personuppgifter. Informationen ska också finnas tillgänglig på internwebben.

Incidentrapporter
Rutiner i fall av incidenter rörande dataskydd och integritets- eller personuppgiftsskydd:
En Incidentrapport upprättas av dataskyddsansvarig innefattande
-Tid för incident + Tid för upptäckt av incident
-Berörda av incident
-Beskrivning av incident, orsak och konsekvenser
-Berörda uppgifters art och innehåll
-Åtgärder för att avhjälpa brister och för att undvika liknande incidenter
-Rapportering till berörda