Kerstin Heiling
Extern dataskydds- och integritetspolicy för RME – Riksförbundet för ME-patienter
Xxxxxxx Xxxxxxx
Förbundsstyrelsens ordförande
Ny dataskyddsförordning, även kallad GDPR, gäller från den 25 maj 2018.
Den nya lagstiftningen stärker rättigheterna och ökar skyddet för medborgarna och ställer högre krav på företag, myndigheter och andra som hanterar personuppgifter.
Till dig som har något medlemskap i RME eller besöker våra webbplatser
• Blogg: xxxx://xxxxxxxxxx.xxxxxxxx.xxx/
• Facebookgrupper
▪ RME - Föräldrar till ME/CFS-sjuka barn
▪ RME Svårt sjuka
▪ RME Ung med ME/CFS
▪ RME-Anhöriga, gruppen för oss med ME-sjuka närstående
▪ Regionföreningars Facebookgrupper
• Discord
All information som gäller dig, som identifierad eller identifierbar, levande privatperson, omfattas av dataskyddsförordningen (GDPR). Exempel på personliga uppgifter som hanteras enligt GDPR är: namn, hemadress, dina intressen eller information om din hälsa.
Vissa känsliga uppgifter, till exempel uppgifter som gäller din hälsa, ras eller etniskt ursprung, politiska åsikter och sexuell läggning, har ett särskilt skydd. De får bara samlas in och användas under särskilda omständigheter, till exempel för att du har gett ditt uttryckliga samtycke eller den nationella lagen tillåter det.
I den nya lagen finns utökade rättigheter för dig som person:
GDPR gäller både om den som behandlar personuppgifter (den personuppgiftsansvarige) är etablerad i EU, eller om den personuppgiftsansvarige behandlar personuppgifter som rör personer i EU. Vi som behandlar dina personuppgifter måste ge dig tydlig information om hur uppgifterna används.
Det innebär att du har rätt till och ska få information om:
• I vilket syfte dina personuppgifter kommer användas.
• Vilka uppgifter vi samlar in.
• Hur länge dina uppgifter kommer att lagras.
• Om vi delar dina personuppgifter med någon.
• Om vi överför dina uppgifter utanför EU.
• Hur du använder din rätt att lämna klagomål till en tillsynsmyndighet som Datainspektionen.
• Hur du tar tillbaka ditt samtycke, om du har lämnat det.
• Hur du flytta dina personuppgifter. Under vissa förutsättningar har du möjlighet att hämta ut uppgifter som gäller dig för att kunna använda personuppgifterna någon annanstans, exempelvis en annan organisation
• Hur du får ut ett registerutdrag för att se vilka uppgifter vi har registrerat.
• Kontaktuppgifterna till den organisation som ansvarar för att behandla dina uppgifter, och deras dataskyddsombud om det finns ett sådant.
LÄS MER: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxx-xxx-xxx-xxxxxxxxxxxx/xxx- dataskyddsforordningen-innebar-for-dig-som-privatperson/
För medlemmar i RME
Du har också rätt att få information om den rättsliga grunden vi har för att behandla dina personuppgifter – detta gäller dig som har ett medlemskap hos RME
Vi måste ha en rättslig grund för att få behandla dina personuppgifter. En rättslig grund kan vara att personuppgifterna krävs för ett avtal, om uppgifterna är nödvändiga för att vi ska kunna utföra de tjänster du har beställt.
För dig som är medlem gäller två olika rättsliga grunder 1. ”Avtal” eftersom du har blivit medlem, och betalat oss medlemsavgiften. Medlemskapet är ett avtal eftersom vi som förbund utför tjänster åt dig samt att du som medlem har rättigheter inom förbund. Till exempel:
Om du är Huvudmedlem:
• Xxxxxx och informera dig om relevant forskning om ME och stödja dig som deltar i forskningsprojekt.
• Skicka dig RME-bladet (via e-post – eller vanligt brev).
• Skicka löpande medlemsinformation via e-post.
• Du får lämna in motioner till årsmöte och förbundsstämma.
• Du kan bli invald i styrelse inom förbundet.
• Du har rösträtt på regionförenings årsmöte.
• Du har rösträtt på förbundets årsstämma om du har utsetts till ombud för din regionförening.
Om du är Familjemedlem gäller också den rättsliga grunden om avtal. Då Familjemedlem och betraktas som huvudmedlem, men får ingen utskickad information.
Om du är Stödmedlem gäller också den rättsliga grunden om avtal eftersom vi ska skicka kallelse till årsmöten.
Den andra rättsliga grunden för medlemmar är ”Lagar” i detta fall bokföringslagen. Eftersom vi bokför din betalning av medlemsavgiften måste vi spara uppgifterna i 7 år – enligt Bokföringslagen.
För besökare på våra webbplatser
Rättslig grund för dig som besöker våra webbplatser och/eller fyller i ett formulär.
En annan rättslig grund är att du gett ditt samtycke till personuppgiftsbehandlingen. Det ställs dock höga krav för att ett samtycke ska vara giltigt, såsom att det ska ges frivilligt, informerat och genom en aktiv handling.
Samtycke är den rättsliga grunden om du har anmält dig till något av våra informationsutskick, antigen via webbformulär på xxx.xxx.xx eller genom att du e-postat in dina uppgifter. I tabellen längre fram, ser du hur du använder dina rättigheter inom GDPR.
För våra deltagare i facebookgrupper
För facebookgrupper – gäller också den rättsliga grunden ”samtycke”. Du har valt att bli medlem i en grupp. Facebook har dock en särskild ställning när det gäller lagring av uppgifterna eftersom det är du själv som skriver på facebook. Det är också du själv som kan ta bort ditt konto och radera din information. Det kan inte vi på RME göra.
LÄS MER OM RÄTTSLIGA GRUNDER:
xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/xxxxx--xxxxxx/xxxxxxxxxxxxxxxxxxxxxx/xxxxxxxx-xxxxx/
Våra skyldigheter
RME har registrerat dina personliga uppgifter och är Personuppgiftsansvariga enligt GDPR. Det är förbundsstyrelsen i RME som är gemensamt ansvariga. Detta är våra huvudsakliga skyldigheter:
• Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser.
• Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.
Enligt GDPR har vi också skyldigheten att uppfylla dina rättigheter.
Därför vi har skapat en tabell nedan där du ser när vi hämtar in personliga uppgifter, hur vi använder dem och till vad. I tabellen ser du också vilken rättslig grund vi har och hur länge vi lagrar dem samt om vi delar dina uppgifter.
Beroende på om du är medlem eller har anmält dig till ett av våra informationsutskick så har vi olika personuppgifter sparade och behandlar dem på olika sätt.
Medlem | Tidigare medlem | Ej medlem, anmäld till informationsutskick, konferensutskick, forskningsutskick eller annat utskick via formulär. | |
Syftet med insamling. Vi samlar in dina personuppgifter för att | För att uppfylla vårt avtal om ditt medlemskap | När du slutar vara medlem hos oss finns du kvar på vår informationsutskickslista för att få del av allmän information från RME | Kunna skicka dig de informationsutskick du har begärt. |
Uppgifter vi samlar in | Förnamn, Efternamn, Adress, Postnummer, Ort, e-postadress Regionförening, Födelseår, Kommun, Län, Telefon, Kön (behöver ej uppges) | Förnamn, Efternamn, Adress, Postnummer, Ort, e-postadress | Namn, organisation, e-postadress Samt ev. frivillig information du har lämnat i formuläret. Kan vara: titel, län, mottagning. |
Rättslig grund | Avtal Bokföringslagen för medlemsavgifterna | Xxxxxxxx | Xxxxxxxx |
Lagringstid | Så länge du är medlem samt att medlemsuppgifter sparas i 7år efter ditt medlemskap har avslutats, eftersom vi bokför medlemsavgifterna och måste spara bokföringsuppgifter enligt Bokföringslagen i 7 år. | Som tidigare medlem kvarstår du automatiskt för informationsutskick. Du kan när som helst ta tillbaka ditt samtycke. I digitala utskick finns information hur du avanmäler dig i utskicket. För postala utskick kontakta oss. (Xxxx medlemsuppgifter sparas dock i 7år oavsett om du vill ha utskick eller ej. Pga Bokföringslagen, se spalt till vänster) | Tills samtycket upphör. Du kan när som helst ta tillbaka ditt samtycke. I digitala utskick finns information i utskicket. För postala utskick, kontakt oss. |
Radering och rensning av uppgifter | Efter lagringstid (se ovan) Eller om du slutar vara medlem och inte samtycker till att få informationsutskick. | Radering när samtycket upphör. Rensning sker 1 gång per år. Inaktuella e-postadresser och de e-postadresser som inte längre fungerar raderas. Radering av samtliga uppgifter på den registrerades begäran. | Radering när samtycket upphör. Rensning sker 1 gång per år. Inaktuella e-postadresser och de e-postadresser som inte längre fungerar raderas. Radering av samtliga uppgifter på den registrerades begäran. |
Delar vi uppgifterna till någon annan organisation eller företag, tex. för marknadsföringsändamål. | NEJ | NEJ | NEJ |
För vi uppgifterna utanför EU | NEJ | NEJ | NEJ |
Var lagrar vi uppgifterna. Följande tjänster agerar som personuppgiftsbiträden (Läs mer längre ned) | RME medlemssystem ArcMember Xxxxxx.xx Websupport – webmail Google Drive Office 365 (Endast om du har kontakt med oss via e-post) | RME medlemssystem ArcMember Xxxxxx.xx Websupport – webmail (Endast om du har kontakt med oss via e-post) | RME medlemssystem ArcMember Xxxxxx.xx Websupport – webmail (Endast om du har kontakt med oss via e-post) |
Hur du tar tillbaka ditt samtycke | Eftersom ditt medlemskap är ett avtal kan vi inte radera uppgifter så länge du är medlem. Dock kan du begära att inte få generella informationsutskick. | Klicka på länk i digitala utskick eller skicka epost till xxxxxxxxxxxxxx@xxx.xx eller ring 000-000 00 00 | Klicka på länk i digitala utskick eller skicka epost till xxxxxxxxxxxxxx@xxx.xx eller ring 000-000 00 00 |
Hur du begär registerutdrag | Skicka epost till eller ring 000-000 00 00 | Se ovan | Se ovan |
Hur du ändrar eller raderar information | Se ovan | Se ovan | Se ovan |
Om du vill flytta din information | Se ovan | Se ovan | Se ovan |
Om du vill få ett utdrag av den information vi har registrerat | Se ovan | Se ovan | Se ovan |
Personuppgiftsbiträden
Personuppgiftsbiträde är tex. ett företag som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Tex. RME är personuppgiftsansvariga, Binero där vi har vår
e-posttjänst är då Personuppgiftsbiträde, eftersom epostprogrammet sparar e-postadresser och ibland även namn och organisation.
De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Här ingår även Google mail och Microsoft Outlook som också används som epostprogram.
För att hantera medlemslistor och adresslistor, används temporära utdrag i Microsoft Office och
/eller Google Drive för att kunna skicka ut medlemsinformation. Dessa listor tas alltid bort efter utskicken eftersom vi alltid behöver en ny uppdaterad lista från vårt interna medlems/adress- register.
LÄS MER HOS DATAINSPEKTIONEN OM: personuppgiftsbiträden
Därför måste vi få in så kallade personuppgiftbiträdesavtal (på engelska ”Personal Data
Processor Agreement” DPA) från de tjänster vi använder. Tursamt nog så har de flesta största aktörerna redan skapat generella avtal som alla kan ladda ned och spara. Information om personuppgiftbiträdesavtal för de tjänster vi använder och där personuppgifter kan förekomma finns via länkarna nedan. Vill du ha ytterligare information kontakta oss.
• RME medlemssystem – Internt register – som drivs och sköts av RME Förbundet. Fås vid begäran. Skicka e-post till xxxxxxxxxxxxxx@xxx.xx
• Xxxxxx.xx xxxxx://xxx.xxxxxx.xx/xxxxx
• Webmail hos Websupport om du kontaktar oss via e-post xxxxx://xxx.xxxxxxxxxx.xx/xx-xxxxxxxxxx/xxxxxxxxxxxxxxxx/
• Google drive xxxxx://xxx.xxxxxx.xxx/xxxx/xx/xxxxx/xxxxxxxx/xxxx/
• Microsoft Office 365 Temporära excelfiler, word och mail xxxxx://xxxxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxxxxxxx Samt: Särskild information-personuppgiftsbiträdesavtal
Om cookies på webbplatserna
Användning och hantering av cookies ingår ännu inte i GDPR men diskussioner pågår inom EU. Därför har vi med detta avsnitt i vår integritetspolicy.
På våra webbplatser använder vi Google Analytics som webbanalysverktyg. De cookies som Google Analytics använder lagrar information om:
• Tidpunkt då du besökte webbplatsen första gången
• Tidpunkt då du besökte webbplatsen senast
• Tidpunkt då ditt nuvarande besök påbörjades
• Antal gånger som du besökt webbplatsen
• Ett unikt ID för din webbläsare
• Hur du hittade till webbplatsen (trafikkällor)
Vårt dataskydd och rutiner vid eventuella dataincidenter
Vi har kontrollerat och valt våra leverantörer ovan med utgångspunkt att de har säkerhetsfunktioner vid inloggning till sina system också har skydd för de personuppgifter som lagras. Se personuppgiftsavtal ovan.
Vid eventuell dataincident – då antingen vi själva upptäcker eller någon av våra underleverantörer informerar oss om problem – kommer den personuppgiftsansvariga, dvs styrelsen genom Xxxx Xxxxxxxx att skicka ut information till berörda personer vars uppgifter kan ha läckt ut samt anmäla incidenten till dataskyddsinspektionen.
Uppdateringar till denna policy
Vi kan komma att uppdatera denna policy och kommer då publicera den på denna webbsida. Senaste uppdateringen, se sidhuvud.
Hur du kan kontakta oss – Personuppgiftsansvariga
Om du har några frågor angående denna policy eller hur vi använder din information, eller dina rättigheter så kan du kontakta oss.
KONTAKTUPPGIFTER | RME – Riksförbundet för ME-patienter |
Frågor om dina lagrade personuppgifter | Skicka epost till xxxxxxxxxxxxxx@xxx.xx eller ring förbundstelefonen: 000-000 00 00 |
Ansvariga för GDPR | |
Ansvarig för GDPR information och frågor | |
Förbundet RME | RME – Riksförbundet för ME-patienter Xxxxxxxxxxxxxx 00 X 000 00 XxxxxxxxxX- post: xxxx@xxx.xx Telefon: 000-000 00 00 |
Organisationsnummer | 857210-0579 |