Integritetspolicy

Parter och ansvar för behandlingen av dina personuppgifter

Hansaklubben, Org nr 846502-5958 (nedan kallad föreningen) är personuppgiftsansvarig för behandlingen av personuppgifter som sker inom ramen för föreningens verksamhet. Hansaklubben är en opolitisk ideell förening som har till uppgift att i Malmö tillhandahålla sina medlemmar lokaler för konferens- och utbildningsändamål samt möjligheter till samvaro i traditionellt klubbliv.

Varför behandlar vi dina personuppgifter?

För att föreningen ska kunna bedriva sin verksamhet behandlas personuppgifter för olika ändamål kopplade till verksamheten. Föreningen behandlar personuppgifter för att administrera löpande föreningsaktiviteter, kommunicera med medlemmarna (kallelser till aktiviteter, information, m.m.) samt hantera medlemsrelaterade ekonomiska transaktioner (medlemsavgifter och anmälningsavgifter m.m.).

Föreningen är personuppgiftsansvarig för behandlingen av de personuppgifter som sker vid:

Hantering av medlemskap i föreningen
Föreningsadministration
Deltagande i föreningens verksamheter
Sammanställning av statistik och uppföljning
Kontakt med medlem
Besök på vår hemsida
Publicering av material på hemsida och sociala medier
Tillträdesförbud (om tillämpligt)
Ordningsstörningar och otillåten påverkan (om tillämpligt)

Vilka delar vi personuppgifter med?

Föreningen har nedan sammanställt den rättsliga grunden för behandlingen av personuppgifter som sker inom föreningens verksamhet

Ändamål med behandling	Rättsliggrund
Hantering av medlemskap i föreningen	Avtal
Föreningsadministration	Avtal
Deltagande i föreningens verksamheter	Avtal
Sammanställning av statistik och uppföljning	Allmänt intresse
Utbildningar arrangerade av föreningen	Allmänt intresse vid statsbidragsfinansierad utbildning, annars samtycke
Kontakt med föreningen	Intresseavvägning
Besök på vår hemsida	Intresseavvägning
Publicering av material på hemsida och sociala medier	Intresseavvägning och ibland samtycke
Tillträdesförbud	Intresseavvägning
Ordningsstörningar och otillåten påverkan	Intresseavvägning

Hur länge sparar vi dina personuppgifter?

Föreningen kommer att genomföra en bedömning årsvis om ändamålet med

behandlingen av personuppgifterna kvarstår. Om inte ändamålen med

behandlingen av personuppgifterna kvarstår kommer uppgifterna att raderas.

Vilka rättigheter har du?

Du som registrerad i föreningen har flera rättigheter som du bör känna till.

Du har rätt att få ett registerutdrag avseende föreningens behandling av dina

personuppgifter. Föreningen ska vid begäran av registerutdrag förse dig med en

kopia av de personuppgifter som är under behandling. För eventuella ytterligare

kopior som du begär får föreningen ta ut en rimlig avgift utifrån administrativa

kostnader.

Du har i vissa fall även rätt till dataportabilitet av personuppgifterna.

Du har rätt att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga

eller missvisande och rätt att begränsa behandlingen av personuppgifterna tills de

blir ändrade.

Du har under vissa omständigheter rätt att bli raderad:

Om uppgifterna inte längre behövs för de ändamål som de samlades in för
Om behandlingen grundar sig på den enskildes samtycke och du återkallar
samtycket
Om behandlingen sker för direktmarknadsföring och du motsätter sig att
uppgifterna behandlas
Om du motsätter sig personuppgiftsbehandling som sker inom ramen för
myndighetsutövning eller efter en intresseavvägning och det inte finns
berättigade skäl som väger tyngre än dina intressen
Om personuppgifterna har behandlats olagligt
Om radering krävs för att uppfylla en rättslig skyldighet

Du har också rätt att dra in ett samtycke, motsätta dig automatiskt beslutsfattande,

profilering och invända mot direktmarknadsföring.

Du kan när som helst utöva dina rättigheter genom att begära tillgång till och

rättelse eller radering av personuppgifter, begära begränsning av behandling eller

invända mot behandling. Kontakta styrelsen för att utöva dina rättigheter.

Vidare har du rätt att inge ett klagomål avseende föreningens behandling av

personuppgifter till Datainspektionen, besök www.datainspektionen.se.

Mer information om hur föreningen arbetar för att tillvarata dina rättigheter

återfinns i Instruktioner för att tillvarata enskildas rättigheter.

Om du vill veta mer

Har du frågor om föreningens personuppgiftsbehandling eller vill utöva dina

rättigheter kontaktar du styrelsen.

Instruktion för att tillvarata enskildas rättigheter

De personer vars personuppgifter behandlas, de registrerade, har ett antal

rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att

de registrerade ska få information om när och hur deras personuppgifter behandlas

och ha kontroll över sina egna uppgifter. Därför har de registrerade bland annat rätt

att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller

flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och

specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Under

respektive rättighet redogörs för hur föreningen arbetar för att tillvarata de

registrerades rättigheter samt för att underlätta de registrerades utövande av

rättigheterna.

Rätt till information vid insamlande av personuppgifter
Rätt till registerutdrag
Rätt till rättelse
Rätt till radering
Rätt till dataportabilitet
Rätt att invända mot behandling
Rätt att motsätta sig automatiserad behandling
Rätt att inge klagomål till tillsynsmyndighet
Rätt till skadestånd

Syfte

Syftet med dessa riktlinjer är att förtydliga hur föreningen arbetar för att

tillvarata de registrerades rättigheter avseende personlig integritet och

dataskydd.

Rätt till information vid insamlande av personuppgifter

Information till de registrerade är en viktig del av integritetsskyddet.

Föreningen har en skyldighet att ge klar och tydlig information till de

registrerade (medlemmar, förtroendevalda, funktionärer, ledare etc.) vid

insamling av personuppgifter. I nedanstående tabell sammanställs den

information som föreningen är skyldiga att tillhandahålla vid insamlandet av

personuppgifter. Informationsskyldigheten skiljer sig beroende på om

insamlandet av personuppgifter sker från den registrerade eller från någon

annan.

	När personuppgifter samlas in från den registrerade	När personuppgifter samlas in från annan
Personuppgiftsansvarige	JA	JA
Dataskyddsombudet	JA	JA
Ändamålen	JA	JA
Rättslig grund	JA	JA
Kategorier av personuppgifter	NEJ	JA
Intresse vid intresseavvägning	JA	JA
Mottagarna	JA	JA
Tredjelandsöverföringar	JA	JA
Lagringstid	JA	JA
De registrerades rättigheter	JA	JA
Rätten att återkalla ett samtycke	JA	JA
Rätten att inge klagomål till DI	JA	JA
Uppg.skyldighet enligt avtal eller lag	JA	NEJ
Automatiserat beslutsfattande	JA	JA
Källa varifrån uppg. har hämtats	NEJ	JA

Den information som ges till registrerade i samband med insamling återfinns i Integritetspolicyn.

Rätt till registerutdrag

Den registrerade har rätt att få ett registerutdrag avseende föreningens behandling av personuppgifter som gäller den registrerade. Föreningen ska på begäran av registerutdrag förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får föreningen ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Registerutdraget ska tillhandahållas utan onödigt dröjsmål och senast inom en månad.

I nedanstående tabell sammanställs den information som föreningen är skyldig att

tillhandahålla vid begäran om registerutdrag.

	Den registrerades rätt till registerutdrag
Ändamålen	JA
Kategorier av personuppgifter	JA
Mottagarna	JA
Tredjelandsöverföringar	JA
Lagringstid	JA
De registrerades rättigheter	JA
Rätten att inge klagomål till DI	JA
Automatiserat beslutsfattande	JA
Källa varifrån uppg. har hämtats	JA

Alternativ för begäran av registerutdrag

Den registrerade kan antingen fylla i ett formulär för begäran av registerutdrag som skickas elektroniskt eller via e-post till föreningen.

Rätt till rättelse

Den registrerade har rätt att begära att föreningen utan onödigt dröjsmål rättar felaktiga personuppgifter som rör honom eller henne. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Hur begär en registrerad rättelse i er verksamhet?

Rätt till radering ”rätten att bli bortglömd”

Under vissa omständigheter har den registrerade rätt att bli bortglömd. Föreningen är skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

Om uppgifterna inte längre behövs för de ändamål som de samlades in för
Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
Om personuppgifterna har behandlats olagligt
Om radering krävs för att uppfylla en rättslig skyldighet
Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk

Skyldighet att informera andra personuppgiftsansvariga

Om föreningen har offentliggjort personuppgifter och enligt ovanstående förutsättningar är skyldig att radera personuppgifterna, ska föreningen med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta andra personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

Undantag till rätten att bli bortglömd:

Rätten att bli bortglömd ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

För att utöva rätten till yttrande- och informationsfrihet.
För att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning.
För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet.
För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, i den utsträckning som rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Hur begär en registrerad att bli raderad i er verksamhet?

Rätt till dataportabilitet

Under vissa omständigheter har den registrerade rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format. Följande förutsättningar gäller för rätten till dataportabilitet:

Uppgifterna har tillhandahållits av den registrerade (eller genererats av den registrerades agerande),
Behandlingen sker med stöd av samtycke eller avtal
Behandlingen sker automatiserat
Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att erhålla personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt dataskyddsförordningen.

Rätten till dataportabilitet gäller inte vid behandling som stödjer sig på allmänt intresse och myndighetsutövning.

I de fall det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

Rätt att invända mot behandling

Den registrerade har rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning. Om den registrerade har invänt mot sådan behandling, ska en ny prövning göras utifrån den registrerades situation.

Behandlingen måste upphöra om inte föreningen kan våk. Exempel på tvingande berättigade skäl är att behandlingen är isa på tvingande berättigade skäl eller behandlingen sker för rättsliga ansprgynnsam för samhället i stort, ex. forskning för att förutse spridning av sjukdomar.

Om en registrerad invänder mot behandling som avser direkt marknadsföring måste behandlingen upphöra.

Hur ska en registrerad invända mot behandling i er verksamhet?

Rätt att motsätta sig automatiserad behandling

Den registrerade har rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling, inklusive profilering, vilka får rättslig eller liknande effekt.

Automatiserade beslut är endast tillåtna om det är nödvändigt för fullgörande av avtal med den registrerade, vid stöd i lagstiftning eller om föreningen har ett uttryckligt samtycke.

Hur ska en registrerad motsätta sig automatiserad behandling i er verksamhet?

Rätt att inge klagomål till tillsynsmyndighet

Den som anser att någon behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Datainspektionen. Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till den som fört fram klagomålet. Datainspektionen måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om den klagande inte får besked inom den tiden, kan klaganden vända sig till domstol för att begära besked.

Rätt till skadestånd

En person som har lidit skada på grund av att vederbörandes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.

Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.

Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.

Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. Den personuppgiftsansvarige och personuppgiftsbiträdet får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Föreningens skyldighet att underlätta den registrerades utövande av rättigheterna

Föreningen har en skyldighet att underlätta utövandet av rättigheterna. För att underlätta de registrerades utövande av rättigheterna kan föreningen ha utsett en kontaktperson avseende dataskydd.

Var vänder sig den registrerad avseende dataskydd i er verksamhet?

Åtgärdsplan för personuppgiftsincidenter

Bakgrund och syfte

Föreningen ska se till att de följer dataskyddsförordningen och arbeta proaktivt med att undvika personuppgiftsincidenter. Föreningen har därför tagit fram denna åtgärdsplan för hantering av personuppgiftsincidenter.

Åtgärdsplanen syftar till att klargöra hur föreningen identifierar och hanterar personuppgiftsincidenter. Vidare klargör åtgärdsplanen hur föreningen bör skapa medvetenhet kring de risker som följer av personuppgiftsincidenter.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors fri- och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
finansiell förlust
brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

blivit förstörda
gått förlorade på annat sätt
kommit i orätta händer.

Det spelar ingen roll om händelsen har skett oavsiktligt eller med avsikt. I båda fallen kan det vara personuppgiftsincidenter.

Exempel på personuppgiftsincidenter

Någon obehörig part har fått tillgång till personuppgifter, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
Datorer som innehåller personuppgifter har förlorats eller stulits.
Någon har ändrat personuppgifter utan tillstånd.
Personuppgifter är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.

Anmäla personuppgiftsincident till Datainspektionen

Föreningen har en skyldighet att utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om en incident, anmäla personuppgiftsincidenten till Datainspektionen. Anmälan sker via Datainspektionens e-tjänst för att rapportera personuppgiftsincidenter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska föreningen motivera förseningen.

Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.

Undantag till anmälningsskyldighet

Anmälningsskyldigheten gäller inte om det är osannolikt att personuppgifts-incidenten medför en risk för fysiska personers rättigheter och friheter. Det är föreningen som, enligt ansvarsprincipen, måste påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter.

Konsekvenser

En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.

Innehåll i anmälan av personuppgiftsincident

All information som ska finnas i en anmälan avseende personuppgiftsincidenter återfinns i Datainspektionen e-tjänst för att rapportera personuppgiftsincidenter.

Vem ska göra anmälan

Föreningen är i egenskap av personuppgiftsansvarig ansvarig för att upprätta anmälan. Inom föreningen är det styrelsen som ansvarar för att föreningen efterlever kraven under dataskyddsförordningen. Föreningen ska varje verksamhetsår utse en person som är ansvarig för att upprätta en anmälan vid en eventuell personuppgiftsincident.

Undvik sanktionsavgifter

Om föreningen inte rapporterar en personuppgiftsincident kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att föreningen måste betala sanktionsavgifter.

Informera de registrerade

Om personuppgiftsincidenten är allvarlig ska föreningen utan onödigt dröjsmål även informera de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter.

Föreningen ska bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar.

Hur allvarliga kan konsekvenserna bli?
Hur sannolikt är det att enskilda personer drabbas?

Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre.

När risken är hög ska föreningen genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att föreningen ska kunna hjälpa individerna att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident.

Information till de registrerade

Föreningens information till de registrerade ska uppfylla Datainspektionens minimikrav:

Tydlig och klar beskrivning av orsaken till personuppgiftsincidenten.
Namn och kontaktuppgifter till föreningens kontaktperson i ärendet eller till en annan kontakt som är insatt i frågan och kan svara på frågor.
Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
Beskrivning vad föreningen har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.
I förkommande fall: Beskriv vad föreningen har gjort för att mildra eventuella negativa effekter.

Dokumentation

Föreningen ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av föreningens anmälningsskyldighet samt ytterligare skyldigheter som följer av anmälan om personuppgiftsincident.

Undvika personuppgiftsincidenter

Föreningen ska arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Detta innebär bland annat att föreningen ska:

Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen.

Åtgärdsplan för personuppgiftsincidenter

Bakgrund och syfte

Föreningen ska se till att de följer dataskyddsförordningen och arbeta proaktivt med att undvika personuppgiftsincidenter. Föreningen har därför tagit fram denna åtgärdsplan för hantering av personuppgiftsincidenter.

Åtgärdsplanen syftar till att klargöra hur föreningen identifierar och hanterar personuppgiftsincidenter. Vidare klargör åtgärdsplanen hur föreningen bör skapa medvetenhet kring de risker som följer av personuppgiftsincidenter.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors fri- och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
finansiell förlust
brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

blivit förstörda
gått förlorade på annat sätt
kommit i orätta händer.

Det spelar ingen roll om händelsen har skett oavsiktligt eller med avsikt. I båda fallen kan det vara personuppgiftsincidenter.

Exempel på personuppgiftsincidenter

Någon obehörig part har fått tillgång till personuppgifter, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
Datorer som innehåller personuppgifter har förlorats eller stulits.
Någon har ändrat personuppgifter utan tillstånd.
Personuppgifter är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.

Anmäla personuppgiftsincident till Datainspektionen

Föreningen har en skyldighet att utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om en incident, anmäla personuppgiftsincidenten till Datainspektionen. Anmälan sker via Datainspektionens e-tjänst för att rapportera personuppgiftsincidenter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska föreningen motivera förseningen.

Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.

Undantag till anmälningsskyldighet

Anmälningsskyldigheten gäller inte om det är osannolikt att personuppgifts-incidenten medför en risk för fysiska personers rättigheter och friheter. Det är föreningen som, enligt ansvarsprincipen, måste påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter.

Konsekvenser

En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.

Innehåll i anmälan av personuppgiftsincident

All information som ska finnas i en anmälan avseende personuppgiftsincidenter återfinns i Datainspektionen e-tjänst för att rapportera personuppgiftsincidenter.

Vem ska göra anmälan

Föreningen är i egenskap av personuppgiftsansvarig ansvarig för att upprätta anmälan. Inom föreningen är det styrelsen som ansvarar för att föreningen efterlever kraven under dataskyddsförordningen. Föreningen ska varje verksamhetsår utse en person som är ansvarig för att upprätta en anmälan vid en eventuell personuppgiftsincident.

Undvik sanktionsavgifter

Om föreningen inte rapporterar en personuppgiftsincident kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att föreningen måste betala sanktionsavgifter.

Informera de registrerade

Om personuppgiftsincidenten är allvarlig ska föreningen utan onödigt dröjsmål även informera de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter.

Föreningen ska bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar.

Hur allvarliga kan konsekvenserna bli?
Hur sannolikt är det att enskilda personer drabbas?

Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre.

När risken är hög ska föreningen genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att föreningen ska kunna hjälpa individerna att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident.

Information till de registrerade

Föreningens information till de registrerade ska uppfylla Datainspektionens minimikrav:
Tydlig och klar beskrivning av orsaken till personuppgiftsincidenten.
Namn och kontaktuppgifter till föreningens kontaktperson i ärendet eller till en annan kontakt som är insatt i frågan och kan svara på frågor.
Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
Beskrivning vad föreningen har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.
I förkommande fall: Beskriv vad föreningen har gjort för att mildra eventuella negativa effekter.

Dokumentation

Föreningen ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av föreningens anmälningsskyldighet samt ytterligare skyldigheter som följer av anmälan om personuppgiftsincident.

Undvika personuppgiftsincidenter

Föreningen ska arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Detta innebär bland annat att föreningen ska:

Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen.

Registerförteckning

Föreningen är skyldig att föra ett register över behandling av personuppgifter där föreningen är personuppgiftsansvarig eller personuppgiftsbiträde.

Register över behandlingar där föreningen är personuppgiftsansvarig

Föreningens kontaktuppgifter:

Namn Hansaklubben

Adress Norra Vallgatan 66

Postadress 211 22 MALMÖ

Orgnr 846502-5958

	Föreningsadministration
Ändamål med behandling	Roller/behörigheter, grupper, utmärkelser, avgifter, Kommunikation, aktiviteter, kontaktuppgifter.
Kategorier av personuppgifter	Namn, födelsedata/personnummer, kontaktuppgifter, kön, telefonnummer, matallergier, foton, uppgifter om anställningar och andra meriter.
Mottagare	Inom ramen för föreningsadministrativa ändamål skickas inte personuppgifterna till andra mottagare än till krögaren.
Tredjelandsöverföring m.m.	Ingen tredjelandsöverföring.
Lagringstid	Personuppgifterna ska gallras 24 månader efter avslutat medlemskap, om personuppgifterna ej är nödvändiga för rättslig förpliktelse eller allmänt intresse, eller annan laglig grund där ändamål för behandling kvarstår.

	Statistik och uppföljning
Personuppgiftsansvarig	Föreningen.
Ändamål med behandling	Ex. sammanställning av statistik, uppföljning av projekt.
Kategorier av personuppgifter	Kön, postnummer, ålder .
Mottagare	För föreningens interna ändamål.
Tredjelandsöverföring m.m.	Ingen tredjelandsöverföring.
Lagringstid	En bedömning ska göras utifrån varje enskild statistiksammanställning och uppföljning. Föreningen ansvarar för gallring av personuppgifterna när ändamålet med behandlingen inte längre kvarstår.

	Publicering av material på sociala medier och föreningens hemsida
Ändamål med behandling	Uppvisande och marknadsföring av föreningens verksamhet.
Kategorier av personuppgifter	Namn, bilder, föreningsaktiviteter , uppgifter om anställningar och andra meriter.
Mottagare	Uppgifterna överförs inte till andra mottagare utöver publicering på hemsida och/eller sociala medier.
Tredjelandsöverföring m.m.	Ingen aktiv tredjelandsöverföring sker. Individer i tredje land kan tillgodogöra sig information som publicerats på hemsida och/eller sociala medier i den digitala världen.
Lagringstid	Föreningen är ansvarig för gallring av person-uppgifter och ska årligen bedöma om ändamålet för behandling av personuppgifter kvarstår.
Säkerhetsåtgärder	Föreningen har en särskild instruktion för hantering av personuppgifter i ostrukturerat material.

	Behandling av personuppgifter i e-post
Ändamål med behandling	Föreningen kan komma att behandla person-uppgifter i e-post för föreningsadministration, hantering av medlemskap i föreningen, deltagande i föreningens verksamheter, administrering av utbildningar arrangerade av föreningen och kontakt med medlem.
Kategorier av personuppgifter	Namn, personnummer, kontaktuppgifter.
Mottagare	Som utgångspunkt inga mottagare som är tredje part i förhållande till den registrerade och ev. person-uppgiftsbiträden. Föreningen tillhandahåller inte aktivt personuppgifter till externa mottagare via e-post.
Tredjelandsöverföring m.m.	Ingen tredjelandsöverföring sker som utgångspunkt. Föreningen är ansvarig för att vidta utökade säkerhetsåtgärder vid eventuella tredjelands-överföringar eller vid mejlkorrespondens med personer som vistas i tredje land.
Lagringstid	Personuppgifter i e-post ska raderas snarast möjligt. Om föreningen har ändamål och laglig grund att behandla personuppgifter som inkommit via e-post ska uppgifterna som utgångspunkt snarast möjligt överföras till det system där de hör hemma, till exempel ett licenshanteringssystem. Därefter ska e-postmeddelandet raderas.
Säkerhetsåtgärder	Föreningen har en särskild instruktion för hantering av personuppgifter i ostrukturerat material.

Säkerhetsåtgärder

Föreningen är skyldig att, i den mån det är möjligt, redogöra för vidtagna tekniska och organisatoriska säkerhetsåtgärder i registerförteckningen. Föreningen är skyldig att vidta åtgärder som bidrar till en säkerhetsnivå som är lämplig med beaktande av föreningens tekniska möjligheter, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga personuppgifterna är.

Föreningens tekniska- och organisatoriska säkerhetsåtgärder återfinns i integritetspolicyn, åtgärdsplanen för personuppgiftsincidenter och instruktioner för att tillvarata enskildas rättigheter, instruktioner för behandling av ostrukturerat material och instruktioner av upprättandet av personuppgiftsbiträdesavtal. Alla policys, planer och instruktioner är en sammantagen redogörelse för hur föreningen arbetar både tekniskt och organisatoriskt med dataskydd.

Tekniska säkerhetsåtgärder i system

Vid användning av externa system är föreningen ansvarig för att behandlingen av personuppgifter efterlever kraven i dataskyddsförordningen.

Commerz AB ansvarar för att de funktioner som föreningen nyttjar i det föreningsadministrativa systemet samt att hemsidan efterlever kraven i dataskyddsförordningen.

Personuppgiftsbiträden

Om föreningen är personuppgiftsbiträde ska föreningen upprätta ett register över den behandling som föreningen utför för den personuppgiftsansvariges räkning.

Följande uppgifter ska finnas med i registret:

Personuppgiftsbiträdets kontaktuppgifter (dvs föreningens) och till den personuppgiftsansvariga samt eventuellt dataskyddsombud
Kategorier av behandling som utförts för varje personuppgiftsansvarigs räkning
Eventuella tredjelandsöverföring
Säkerhetsåtgärder