Generell policy och plan i enlighet med GDPR för Stiftelsen Rotarys Läkarbank (Rotary Doctors Sweden – förkortat RDS)
Generell policy och plan i enlighet med GDPR för Stiftelsen Rotarys Läkarbank (Rotary Doctors Sweden – förkortat RDS)
A. Områden och personer inom RDS som berörs
GDPR ska skydda personuppgifter och ge integritetsskydd. Det gäller främst inom fem olika områden av RDS verksamhet, registrering av gåvogivare, registrering av medicinsk personal, registrering av Rotarymedlemmar, registrering av styrelsemedlemmar och distriktsrepresentanter, vid användning av bilder, samt i några andra tillfällen. Se bifogad tabell.
För gåvogivare, medicinsk personal samt Rotarymedlemmar finnas speciella policyn som beskriver hur personuppgifterna används och på vilken laglig grund de sparas samt på vilket sätt integriteten skyddas. Dessa finns på Rotary Doctors hemsida, under Om oss och Personuppgiftshantering.
För vissa enstaka grupper av Rotarymedlemmar eller andra intresserade som till exempel efterfrågar föredrag, vill ge en speciell gåva, vill följa med på en speciell resa, etc. har vi inte utvecklat en särskild policy. Personuppgifter för dessa personer används endast för att kunna utföra den service som de efterfrågar och ska när det har slutförts inte längre sparas. Den lagliga grunden för detta kan vara avtal om det är en öronmärkt gåva eller berättigat intresse. För styrelseledamöter finns ingen specifik policy, men bestämmelser är inkluderade i denna plan.
B. Inbyggt dataskydd
Inbyggt dataskydd innebär att man tar hänsyn till integritetsskydd i de rutiner som finns för verksamheten, samt i databehandling och i IT system. RDS har därför satt upp följande punkter som ska följas när det gäller dataskydd:
- Tillhandahålla integritetspolicyn för olika grupper och informera de olika grupperna om var de kan hitta policy dokumenten.
- Inte samla in fler uppgifter än vad som behövs för ändamålet.
- Inte sprida personuppgifter till tredje part, förutom för de läkare/tandläkare som ska på uppdrag eller deltar på möten/utbildning samt för styrelsemedlemmar och distriktsrepresentanter.
- Ha ett begränsat antal personal som hanterar personuppgifter.
- Ha regelbundna rutiner för att ta bort information om personuppgifter när de inte längre har någon funktion för ändamålet och endast spara de uppgifter som har en laglig grund, så som bokföringslagen, lagligt ansvar för stiftelsen, etc. eller utgör ett berättigat historiskt intresse för RDS.
- Förvara informationen på ett säkert sätt både elektroniskt och på papper. Detta sker genom att använda inloggningsuppgifter till register, säkra servrar och att register på papper förvaras på ett säkert sätt. De IT-tjänster som vi använder har vidtagit de tekniska säkerhetsåtgärder som behövs för att skydda personuppgifter mot otillbörlig åtkomst, förändring och radering.
Vi kommer att försäkra oss om att alla som behandlar personuppgifter upprätthåller säkerheten av dessa genom interna rutiner och lämplig teknologi för att undvika att obehöriga får tillgång till personuppgifter. Stiftelsen kan dock inte garantera att obehörigas tillgång till personuppgifter inte kommer att ske.
C. Personuppgiftsincident:
En personuppgiftsincident är när oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifterna sker samt när ett obehörigt röjande av eller obehörig åtkomst till personuppgifterna äger rum. Om detta sker ska det anmälas av RDSs generalsekreteraren till Integritetskyddsmyndigheten inom 72 timmar om det är sannolikt att incidenten leder till risker för enskildas integritet samt den enskildes fri- och rättigheter.
D. Personuppgiftsbiträde:
RDS har avtal angående personuppgiftsbiträde med följande organisationer:
- Erikshjälpen angående att IT avdelningen har tillgång till alla IT system som används, samt att insamlingsavdelningen hanterar gåvobeställningar samt registrering av gåvor, ekonomiavdelningen hanterar utbetalning av lön och traktamenten samt information om detta till skattemyndigheterna.
- Bonigi NGO-PRO angående de personuppgifter som sparas i gåvoregister och register för sjukvårdspersonal.
- Get a Newsletter webbsidan angående personuppgifter som används vid utskick av månadsbrev.
E. Bilder på hemsidan och i sociala medier:
RDS ska stäva efter att ange fotograf på de bilder som läggs upp på hemsidan. Detta gäller ej Facebook och eventuellt framtida publicering på Instagram. För vissa gamla bilder kan inte fotograf identifieras, om dessa bilder ska användas ska Rotary Doctors anges som källa.
Om det går att identifiera personer på bilden ska dessa ha godkänt att bilden tas och att de kan användas i informations och insamlingssyfte. Detta godkännande kan göras muntligt, målsman ansvarar för barns godkännande. Fotografen har ansvaret för att detta göras. Rotary Doctors ska informera
läkar- och tandläkarvolontärer om detta. Community Nursing Services informerar personal samt inhyrda fotografer som tar bilder för Rotary Doctors räkning i Kenya. Inhyrd fotograf ska ta upp godkännande skriftligt och dessa godkännande sparas av Community Nursing Services i Kenya.
Tidigare tagna bilder ska finnas i ett bildarkiv och endast användas på sådant sätt att behandlingen av individerna på bilden eller fotografen inte ska vara oberättigad. Eftersom fotografen har sänt in bilder till RDS kan det antas att det är rimligt att han/hon förstått att bilderna kommer att används i RDS informationsverksamhet.
Det ovanstående gäller också för de bilder som berör RDS eller Rotaryklubbars aktiviteter i Sverige, som finns sedan tidigare, eller som tas fram i framtiden.
F. Cookies på vår hemsida:
När du besöker xxxxxxxxxxxxx.xx godkänner du att RDS använder sig av cookies. Det innebär att RDS lagrar information om hur ditt besök på dessa webbplatser ser ut. Nästa gång du besöker samma webbplats kan den läsa din cookie och visa sidorna enligt dina inställningar.
En cookie är en datafil som webbplatser kan tilldela datorer, surfplattor och smartphones. Denna fil lagrar information om ditt besök på webbplatsen och minns dig nästa gång du besöker webbplatserna. Självklart kan du radera de cookies som har lagrats på din enhet, detta görs genom den webbläsare du använder: Google Chrome, Mozilla Firefox , Internet Explorer, Safari, Microsoft Edge
I händelse av att RDSs webbplatser innehåller länkar till externa webbplatser eller tjänster som RDS inte kontrollerar är dessa länkar endast för informationssyfte. Eftersom RDS saknar kontroll över innehållet på dessa webbplatser eller dess material ansvarar vi inte heller för dess innehåll. Om du följer en länk till en extern webbplats uppmanas du att ta del av de principer för personuppgiftsbehandling och information om cookies som gäller för den aktuella sidan.
G. Din rätt till dina personuppgifter
• Du har rätt att ta del av vilka personuppgifter vi har om dig och hur vi hanterar dina uppgifter
• Du har rätt att få dina personuppgifter rättade om något inte stämmer
• Du har rätt att begära att dina personuppgifter raderas om det inte finns lagliga hinder för det som går före GDPR. Det kan dock betyda att du inte kan få den service eller bidra på det sätt som du vill.
• Du har rätt att invända mot personuppgiftsbehandling som utförs med stöd av en intresseavvägning. Om du invänder mot sådan behandling kommer vi enbart att fortsätta behandlingen om det finns berättigade skäl till behandlingen som väger tyngre än dina intressen.
• Du har rätt att inge eventuella klagomål angående behandling av dina personuppgifter till Integritetsskyddsmyndigheten.
Om du vill ta del av dina personuppgifter, få dem rättade, raderade, eller invända mot behandlingen ska du kontakta oss skriftligt och vi kommer att lämna ut information utan onödiga dröjsmål.
H. Hur du kontaktar oss
För ytterligare information om personuppgiftshanteringen eller om du har frågor är du välkommen att kontakta oss på något av följande sätt:
Rotary Doctors Sweden, Xxxxxxxxxxxxxx 0, 000 00 Xxxxxxxxxxx E-mail: xxxx@xxxxxxxxxxxxx.xx
Rotary Doctors Sweden – hantering av personuppgifter
Kategori | Typ av personuppgift | Ändamål | Var? I vilka system? | Vem har tillgång? Lämnas info ut till specifik org? | Laglig grund? Ändamål för att spara. Hur länge? | Info om GDPR |
Sjukvårdspersonal som volontärer, tillsammans med SLB | Namn, adress, tel, e-post, personnummer, arbetsplats, uppdrag, bevis läkarexamen, specialist, bankkonto- nummer, referenser | Kontakt i samband med uppdrag, utskick info, beställning av biljetter, ansökan om licens etc. i landet, info till mottagande sjukhus utskick av traktamente | Bonigi NGO-PRO, Elektroniskt arkiv, dvs mappar på datorn. Info på hemsidan. Facebook. | Xxxxxxxx, Xxxxx, Xxxx, Xxxxxxx, Xxxxx, ekonomi. Lämnas till Tranås resebyrå, internationell samarbetsorg, myndighet i resp land, IVO, styrelsen | Samtycke Hela registret uppdateras med samtycke vart tredje år. Dokument vilka bevisar kompetens sparas i tre år efter uppdrag. | Speciell policy finns upplagd på Rotary Doctors hemsida. Alla som registreras får policies. |
Anhöriga till volontärer | Namn, adress, tel, e-post | Om något händer då volontären är på uppdrag | Mappar på datorn | Xxxxxxxx, Xxxxx, Xxxx, | Berättigat intresse Xxxxxxx efter uppdrag. | Volontärer informerar |
Referenspersoner | Namn, tel, x.xxxx | För att ta referenser på folk som ansöker om att få åka ut på uppdrag eller trainee | Mappar på datorn, ev Bonigi NGO-PRO | Birgitta, Xxxxx, referenstagande person i styrelsen, | Berättigat intresse Tas bort när medicinsk personal tas bort | Volontärer informerar |
Internationella kontakter | Xxxx, adress, tel, e-post | Info om kommande läkare, kommunikation om uppdrag, MoU.s mm, | Pärmar, Mappar på datorn, hemsidan, Nyhetsbrev, Facebook | Karin, Xxxxxxxx, styrelse, | Berättigat intresse Sparas för historiska skäl. | I denna övergripande policy och plan. |
kontakt ang. verksamheten | ||||||
Styrelseledamöter | Namn, adress, tel, e-post, personnummer | Utskick av material inför möten, nyhetsbrev, rapporter, kommunikation i styrelseärenden, | Elektronisk info, dvs mappar på datorn, hemsida, nyhetsbrev, Facebook | Birgitta, Karin, ekonomi, Lämnas till revisor, Svensk Insamlingskontroll, Länsstyrelsen och Bolagsverket. Finns på hemsidan och i Årsredovisningen, vilken delas med olika myndigheter och allmänheten. | Berättigat intresse Namn på styrelseledamöter sparas för historiska skäl. | Information vid inval I denna övergripande policy och plan. |
Gåvogivare (om de inte är anonyma) | Namn, adress, e- post | Registrering, tackbrev, ev. beställningar, svara på frågor till gåvogivarna, bokföring, | Xxxxxx XXX-XXX, | Xxxxx, Xxxxxxxx, Xxxxxx, Xxxxx, Xxxxxxx | Xxxxx Berättigat intresse Sparas i insamlingssystemet i 3 år. Sparas i bokföringen enligt bokföringslagen | Speciell policy finns upplagd på Rotary Doctors hemsida. |
A: Rotarymedlemmar Personer i Rotary distrikts medlemsregister: Styrelsemedlemmar i Rotaryklubbar samt de som är registrerade som kontaktpersoner för RDS. Guvernörer, inkommande och | Namn, adresser, e-post | Information om verksamheten. | Kansliet kan fråga distriktsrepresentanter om personuppgifter för speciella utskick som görs av RDS. Kan sparas i Exceldokument i ett år i mappar hos RDS. | Xxxxx, Xxxxxxxx, | Berättigat intresse, Rotarymedlemmar har rätt till information om Rotarys organisationer i Sverige | Speciell policy finns upplagd på Rotary Doctors hemsida. |
assisterande guvernörer samt distriktsrepresentanter. | Finns även i register på Get a newsletter. | Alla som får månadsbrevet kan avsluta sitt abonnemang direkt. Då sorteras de ut av RDS. | ||||
B. Rotarymedlemmar och andra intresserade som anmält detta intresse direkt till RDS eller någon av dess representanter. | Namn, adresser, e-post | Information om verksamheten. | Elektronisk info, Excell dokument i mappar. Finns även i register på Get a newsletter. | Xxxxx, Xxxxxxxx, | Samtycke Sorteras ut när person anmäler att de inte längre är intresserade. Alla som får månadsbrevet kan avsluta sitt abonnemang direkt. Då sorteras de ut av RDS. | Samtycke har efterfrågats vad gäller dessa personer. |
C. Rotarymedlemmar och andra intresserade som har kontakt med RDS för speciella projekt, för resor, för andra aktiviteter. | Namn, adresser, e-post | Följa upp speciella öronmärkta gåvor, önskemål om klubbföredrag, resor eller andra speciella aktiviteter. | I dokument, excel listor och e-mail adresser | Xxxxx och Xxxxxxxx, | Avtal när det gäller öronmärkta gåvor, berättigat intresse för andra aktiviteter | I denna övergripande policy och plan. Information i kommunikation med dessa personer. |
Personer som använder webbsidan för synpunkter och klagomål (om det inte är anonyma) | Namn, e-post | För att följa upp synpunkter och klagomål och kunna rapportera tillbaka till persons som använt klagomålssidan. | Informationen kommer från webbsidan via ett mail, lagras i en speciell mapp. | Xxxxx, vid vissa fall styrelsen | Samtycke, när personer skickar in information har de samtyckt till att personuppgifter hanteras på det sätt som anges. Sparas endast så länge som ärendet gäller. | Information direkt på webbsidan. |
Personer på bilder | Bilder på personer som kan kännas igen, namn, | Artiklar och info i nyhetsbrev, hemsida, på | Mappar på datorn, hemsidan, nyhetsbrev, Facebook | Karin, Xxxxxxxx, | Berättigat intresse | I denna övergripande policy och plan. |
Anställda | Namn, adress, tel, e-post, personnummer, avtal | Ansvar som arbetsgivare | Pärmar, mappar på datorn | Xxxxx | Xxxxx | Information direkt till berörda. |
BILAGA
CHECKLISTA VID PERSONUPPGIFTSINCIDENTER
ANTAGEN I STYRELSEN 220506
1. Personuppgiftsincident
Personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
2. Anmälan inom 72 h
En sådan händelse ska enligt huvudregeln anmälas till Datainspektionen av den personuppgiftsansvariga. Anmälan får inte ske senare än 72 timmar efter det att man har fått vetskap om personuppgiftsincidenten.
Anmälan ska innehålla följande:
• Beskrivning av incidentens art, kategorier av och ungefärligt antal registrerade som berörs samt kategorier av och ungefärligt antal personuppgiftsposter som berörs.
• Namn till kontaktperson på Stiftelsen som har hand om personuppgiftsarbetet.
• Beskrivning av sannolika konsekvenser av personuppgiftsincidenten
• Beskriva åtgärder som Stiftelsen vidtagit eller föreslår för att åtgärda personuppgiftsincidenten och ev åtgärder för att mildra den negativa effekten av incidenten.
2.1 När behöver anmälan inte ske?
Anmälan behöver inte göras om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter.
3. Dokumentation
Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter vilket inbegriper omständigheterna kring händelsen, dess effekter och vad man har gjort för att undvika detta i framtiden.
3.1 Informera den registrerade
Stiftelsen är som huvudregel skyldig att informera de registrerade om incidenten leder till hög risk för fysiska personers rättigheter och friheter.
Informationen ska ges utan onödigt dröjsmål och innehålla samma information som den information som ska vara med i anmälan undantaget det som framgår av den översta punkten.
3.2 När behöver information till registrerade inte ges?
Information behöver inte ges om Stiftelsen genomfört skyddsåtgärder och de tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten. T.ex. att uppgifterna var krypterade eller om Stiftelsen har vidtagit ytterligare åtgärder som säkerställer att någon hög risk för de registrerades personliga rättigheter och friheter inte längre föreligger.