FÖRENINGEN FRAMTIDSTÅGETS DATASKYDDSPOLICY
Antagen 2018-05-24
Uppdaterad 2018-09-28, 2020-12-22 och 2021-03-29
1. Intro
1.1. Vad är GDPR?
GDPR är en dataskyddsförordning (General Data Protection Regulation) som börjar gälla den 25 maj 2018. GDPR ska stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda enskildas personuppgifter.
GDPR innebär att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta för att främja den fria konkurrensen och göra det enklare för företag att expandera och verka i flera EU-länder.
Dataskyddsförordningen ersätter personuppgiftslagen (PUL), som idag reglerar hur företag får samla in och använda personuppgifter i Sverige. Hela texten till Dataskyddsförordningen finns på Datainspektionens webbplats:
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/
Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register.
Den personuppgiftsbehandling som är nödvändig för myndighetens brottsbekämpande verksamhet regleras i ett särskilt direktiv från EU och i nationell rätt. Dataskyddsförordningen gäller därför inte för personuppgiftsbehandling som myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I det ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Dataskyddsförordningen gäller inte heller personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten, till exempel verksamhet som rör nationell säkerhet. Sådan personuppgiftsbehandling regleras istället av nationella bestämmelser.
1.2. Viktiga definitioner
De nedanstående definitioner tas ifrån GDPR texten:
Personuppgifter
Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Känsliga personuppgifter (särskilda kategorier av uppgifter)
Personuppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Behandling av personuppgifter
En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Pseudonymisering
Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad fysisk person utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Register
En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Personuppgiftsansvarig
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Personuppgiftsbiträde
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Samtycke av den registrerade
Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
1.3. Samtycke
Enligt Dataskyddsförordningen är samtycke frivilligt och informerat. För att gälla måste samtycke vara ett uppenbart medgivande från den registrerades sida om att hen godkänner behandlingen av sina personuppgifter. Det kan godkännas antingen skriftligt, elektroniskt eller muntligt. Frivilligt samtycke betyder att den registrerade har en klar och tydlig möjlighet att tacka nej till samtycket. Om inte samtycket är frivilligt, så är det ogiltigt.
Enligt Dataskyddsförordningen måste samtycket vara tydligt specificerat. Den registrerade alltså måste klart och tydligt informeras om vad behandlingen omfattar och i vilket syfte föreningen ska använda personuppgifterna. Om fler syften givas måste varje enskilt syfte specificeras. Den registrerade måste dessutom informeras om vilka andra parter som får tillgång till personuppgifterna. Dessutom måste det finnas med när samtycket slutar att gälla och hur den registrerade går till väga för att dra tillbaka det.
En organisation måste identifiera sig för den registrerade innan hen samtycker. Det betyder att lämna till den registrerade organisationens namn, adress, telefonnummer, organisationsnummer och e-postadress.
1.4. Föreningen Framtidstågets struktur, som påverkar hur Dataskyddsförordningen tillämpas
Föreningen Framtidstågets verksamhet består av två delar – socialt arbete (behandlingsarbete samt jour- och familjehemsplaceringar) och internationella projekt. Det finns en viss grad av sammankoppling mellan ovan nämnda delarna dock i majoriteten av fall täcks varje del av olika specifika lagar och riktlinjer.
Vilka typer av personuppgifter behandlar vi och hur samlar vi in dem beror på vilken del av verksamhet dem hör till. Vissa uppgifter gäller dock hela föreningen. Mer information om det i kapitel 3.
2. Dina rättigheter
I enlighet med gällande lagstiftning har du ett antal rättigheter som innebär att du kan få information om och kontroll över dina egna personuppgifter. Här listar vi dina rättigheter och i slutet av dokumentet hittar du kontaktuppgifter till Föreningen Framtidståget som du kan använda om du vill göra dina rättigheter gällande. Du har normalt rätt att utnyttja dina rättigheter kostnadsfritt. Om begäran är uppenbart ogrundad eller orimlig får vi dock antingen ta ut en rimlig avgift eller välja att inte tillmötesgå begäran.
Vi kommer att besvara en begäran från dig utan onödigt dröjsmål och normalt inom en månad. Om ytterligare tid skulle krävas eller om vi av någon anledning inte kan tillmötesgå din begäran kommer vi att informera dig om detta. Vi kan även komma att begära ytterligare information från dig om det krävs för att vi ska kunna bekräfta din identitet och säkerställa att det är du och inte någon annan som försöker få tillgång till eller kontroll över dina personuppgifter.
2.1. Rätt till information och tillgång till dina personuppgifter
Du har rätt att begära bekräftelse på om vi behandlar personuppgifter om dig och om så är fallet kommer vi att informera dig om hur dina personuppgifter behandlas. Du har även rätt att få en kopia av de uppgifterna som vi behandlar (genom ett registerutdrag). Om du begär ytterligare kopior har vi rätt att ta ut en rimlig avgift för detta.
2.2. Rätt till rättelse
Det är viktigt för oss att de personuppgifter som vi har om dig är korrekta. Om uppgifterna är felaktiga har du rätt att vända dig till oss och be om att få uppgifterna rättade. Du har även rätt att begära att uppgifter läggs till om något saknas, om tillägget är relevant med hänsyn till ändamålet med behandlingen. Vi kommer att underrätta dem, till vilka vi har lämnat ut dina uppgifter, att rättelse har skett. Vi kommer även att på din begäran informera dig om till vem/vilka information om rättelse har lämnats ut.
2.3. Rätt att bli raderad
Du har rätt att vända dig till oss för att begära att dina personuppgifter raderas:
Om uppgifterna inte längre behövs för de ändamål som de samlades in för;
Om behandlingen grundar sig enbart på ditt samtycke och du återkallar samtycket;
Om behandlingen sker för direktmarknadsföring och du motsätter dig att uppgifterna behandlas;
Om du motsätter dig personuppgiftsbehandling som sker efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än ditt intresse;
Om behandlingen av dina uppgifter inte har följt gällande rätt; eller
Om radering krävs för att uppfylla en rättslig skyldighet.
I vissa fall kan vi dock inte tillmötesgå en begäran om radering t.ex. om vi är enligt lag skyldiga att spara uppgifterna. Om radering sker kommer vi att underrätta dem, till vilka vi har lämnat ut dina uppgifter att radering har skett. Vi kommer även att på din begäran informera dig om till vem/vilka information om radering har lämnats ut.
2.4. Rätt att göra invändningar
Du har alltid rätt att när som helst invända mot att dina uppgifter används för direktmarknadsföring. Det gör du genom att kontakta oss på Föreningen Framtidståget. Om du gör en sådan invändning kommer vi inte längre behandla uppgifterna för det ändamålet;
Du har även rätt att invända mot att vi behandlar dina uppgifter med stöd av en intresseavvägning. Om vi inte kan visa att det finns tvingande berättigade skäl för behandlingen som väger tyngre än dina skäl ska behandlingen upphöra.
2.5. Rätt till begränsning av behandling
Du har rätt att höra av dig till oss och begära att behandlingen av dina personuppgifter begränsas och att uppgifterna då enbart ska lagras av oss i följande situationer:
Under den tid det tar för oss att kontrollera om personuppgifterna är korrekta, om du bestrider personuppgifternas korrekthet;
Om behandlingen är olaglig och du motsätter dig att uppgifterna raderas och istället vill att vi begränsar användningen av dessa;
Om du, trots att vi inte behöver uppgifterna längre, vill att vi behåller dem för att du ska kunna använda dessa för att fastställa, göra gällande eller försvara rättsliga anspråk; eller
I väntan på kontroll av vems berättigade skäl, dina eller våra, som väger tyngst om du har gjort en invändning mot behandlingen.
I vissa fall kan vi dock inte tillmötesgå en begäran om begränsning t.ex. om uppgifterna behövs för att vi ska kunna försvara våra rättigheter eller skydda någon annan persons rättigheter. Om begränsning sker kommer vi att underrätta dem, till vilka vi har lämnat ut dina uppgifter, att begränsning har skett. Vi kommer även att på din begäran informera dig om till vem/vilka information om begränsning har lämnats ut.
2.6. Rätt till dataportabilitet
Du har rätt att begära att få ut dina personuppgifter i ett maskinläsbart format och har rätt använda sådana personuppgifter på annat håll. Denna rättighet gäller för sådana personuppgifter som du har lämnat till oss och som behandlas med stöd av ditt samtycke eller om behandlingen grundar sig på avtal med oss.
3. Behandling av personuppgifter i Föreningen Framtidståget
I princip alla företag är enligt förordningen skyldiga att ha en förteckning som beskriver de olika sätt som man hanterar personuppgifter på. Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.
För att vi ska få behandla personuppgifter krävs att det finns rättslig grund. Det innebär att vår behandling av personuppgifter ska ske utifrån de grunder som fastställts i Dataskyddsförordningen.
De rättsliga grunder som vår personuppgiftsbehandling normalt genomförs utifrån är följande:
Samtycke, vilket innebär att den vars personuppgifter vi behandlar har valt att godkänna att vi behandlar uppgifterna genom att ge sitt samtycke;
Avtal, vilket betyder att behandlingen är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås;
Rättslig skyldighet som åvilar den personuppgiftsansvarige, till exempel rapportering av löner och skatter, patientjournal inom hälso- och sjukvård och omsorg;
Allmänt intresse, och även viktigt allmänt intresse, vilket innebär arbete på uppdrag av socialtjänsten inom hälso- och sjukvård och social omsorg;
Intresseavvägning, ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
När det gäller arbetet på uppdrag av socialtjänsten, förutom Dataskyddsförordningen (GDPR) omfattas och regleras personuppgiftsbehandling i Föreningen Framtidståget av Patientdatalagen (2008:355), Brottsdatalagen (SOU 2017:29), Lagen om behandling av personuppgifter inom socialtjänsten (SoLPUL 2001:454, med ändringarna 2018:440 som börjar gälla 2018-05-25) samt förordning (SolPUF 2001:637 med ändringarna som börjar gälla 2018-05-25).
Förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter:
enligt svenska bokföringslagen, organisationens bokföring måste förvaras i minst sju år, det betyder att alla personuppgifterna som är kopplade till Föreningen Framtidstågets bokföring (dvs. löneutbetalningar, kvittenser) får raderas minst sju år efter att de var utförda;
enligt Patientdatalagen (2008:355) en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år;
när det gäller deltagande i internationella ideella projekt och obligatorisk rapportering till myndigheter och andra organisationer, kan tidsfristerna för radering varieras, men all nödvändig dokumentation måste förvaras minst tills projektrapport är godkänt och validerad;
när det gäller frivillig (med den registrerades samtycke) utlämning av personuppgifter (t.ex. att ha kontakt på en webbplats), bör de raderas från offentliga platser eller andra frivilliga register inom en månad efter anställningen avslutat eller ifal personen återkallar sitt samtycke, om den registrerades samtycke tillät behålla personuppgifter (till exempel bilder i sociala medier) under längre tid.
Tekniska och organisatoriska säkerhetsåtgärder:
På organisationens nivå arbetar Föreningen Framtidståget utifrån ett Ledningssystem för systematiskt kvalitetsarbete enligt SOSFS 2011:9 (Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete). Ledningssystemet omfattar rutiner, instruktioner, information och aktuell lagstiftning. Dataskyddspolicyn med bilagor kompletterar ledningssystemet. Alla anställda samt dem som arbetar med personuppgifter omfattas av sekretessavtal och tystnadsplikt.
Nyanställda inom verksamheten får kännedom om Föreningen Framtidstågets rutiner under introduktionen. Rutinerna levandehålls sedan genom temadiskussioner under de årliga planeringsdagarna.
Dokumentationen hanteras och förvaras i elektroniska system som kräver kod för behörig. Avtal med personuppgiftsbiträde finns på plats. Dokumentation får förvaras utanför EU/EES (till exempel, i molnbaserade tjänster) bara i följande fall:
När det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer adekvat skyddsnivå.
När en tjänst har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
I särskilda situationer och enstaka fall, om mottagande organisation eller myndighet garanterar adekvat skyddsnivå (till exempel, ambassader, internationella organisationer och bidragsgivare).
Pappersdokumentation med personuppgifter förvaras i låsbara rum. Pappersdokumentation med känsliga personuppgifter, som är nödvändig att förvara enligt grunder för laglig behandling, förvaras i ett låsbart och brandsäkert skåp i ett låsbart rum. Varje nyckel utgavs till ansvarig person som arbetar med uppgifterna, mot signatur.
Förteckningen över behandlingen av personuppgifter förs av Föreningen Framtidståget och på begäran kan föreningen göra ett utdrag ur register.
4. Datasäkerhet
4.1. Det här gör vi
Föreningen Framtidståget arbetar utifrån ett Ledningssystem för systematiskt kvalitetsarbete enligt SOSFS 2011:9 (Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete). Ledningssystemet omfattar rutiner, instruktioner, information och aktuell lagstiftning. Alla anställda omfattas av sekretessavtal och tystnadsplikt.
Det finns ett separat kvalitetsledningssystem för jour- och familjehem, som omfattar den delen av verksamhet.
Dokumentationen hanteras och förvaras i elektroniska system som kräver kod för behörig, avtal med personuppgiftsbiträde finns på plats. Personuppgiftsbiträde ansvarar för att upprätthålla tillräckliga organisatoriska och säkerhetslösningar, rapportera personuppgiftsincidenter i tid, upprätta registerförteckningar samt utse Dataskyddsombud i de fall det krävs enligt GDPR.
Personuppgiftsbiträde har begränsat ansvar för skadestånd om ej följt de skyldigheter som följer av Dataskyddsförordningen (GDPR), och/eller ej följt avtal eller instruktioner från personuppgiftsansvarig.
Dokumentation får förvaras utanför EU/EES (till exempel, i molnbaserade tjänster) bara i följande fall:
När det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer adekvat skyddsnivå.
När en tjänst har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
I särskilda situationer och enstaka fall, om mottagande organisation eller myndighet garanterar adekvat skyddsnivå (till exempel, ambassader, internationella organisationer och bidragsgivare).
Pappersdokumentation med personuppgifter förvaras i ett låsbart rum. Pappersdokumentation med känsliga personuppgifter, som är nödvändig att förvara enligt grunder för laglig behandling, förvaras i ett låsbart och brandsäkert skåp i ett låsbart rum, varje nyckel utgavs till den ansvarige anställde mot signatur.
Personuppgiftsincidenter anmälas till Datainspektionen inom 72 timmar vid vetskap, den registrerade informeras om det föreligger hög risk för enskildas rättigheter och friheter, till exempel:
att den enskilde förlorar kontrollen över sina uppgifter;
att den registrerades rättigheterna inskränks;
att den registrerade utsätts för diskriminering, identitetsstöld eller bedrägeri;
att den registrerade råkar ut för finansiell förlust, skadlig ryktesspridning, brott mot sekretess eller tystnadsplikt.
4.2. Det här du kan göra
Det finns flera saker du kan göra för att öka din datasäkerhet:
Alltid låsa din dator när du lämnar den så att ingen annan kan komma åt din information.
Inte ha för enkla lösenord eller ha lösenord nedskrivna på sätt som gör att andra kan komma åt dem.
Använda olika lösenord för olika tjänster, och låta aldrig någon annan få veta vad du har för lösenord.
Aldrig skicka känsliga personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.
Undvika skicka eller förvara andra integritetskänsliga uppgifter som exempelvis lönebesked via e-post.
Föra över personuppgifter till andra system och radera mejlet. Om du är en anställd och sjukanmäler dig, radera mejlet så snart information registreras i lönesystemet; förvara aldrig läkarintyg i inkorgen.
Bestämma hur länge du behöver spara e-post och radera mejlet efter den tiden. Spara aldrig mejl med personuppgifter ”för att det kan vara bra att ha”.
5. Kontakt och frågor
Om du har frågor eller vill utöva dina rättigheter t.ex. återkalla ditt samtycke
Kontakta Föreningen Framtidståget via e-post info@framtidstaget.se eller telefon: +46 (0)8-681 05 84.
Om du inte vill ha vår direktmarknadsföring
Du har alltid rätt tacka nej till vår direktmarknadsföring eller mejlutskick som görs per e-post. Ring då till oss eller klicka på avprenumerera i e-postmeddelandet.
Klagomål
Om du anser att dina personuppgifter behandlas i strid med gällande rätt kan du lämna in ett klagomål direkt till oss eller till Datainspektionen.
Personuppgiftsansvarig
Föreningen Framtidståget är ansvarig för den behandling av personuppgifter som du lämnar åt oss. Som personuppgiftsansvarig bestämmer vi ändamålet och medlen för behandlingen.
Föreningen Framtidståget, Instrumentvägen, 20, 2 tr. 12653 Hägersten
Ändring av dataskyddspolicyn
Föreningen Framtidståget kan komma att ändra denna dataskyddspolicy. Vi kommer att meddela ändring på www.framtidstaget.se samt i nyhetsbrev. Där kommer vi även att hålla samtliga versioner av policyn tillgängliga för dig.