Handbok för hantering av personuppgifter

Innehållsförteckning

Syfte med handboken. 1

Frågor och svar om GDPR. 2

Det här är GDPR. 2

Behandling av personuppgifter 3

Efterlevnad. 5

Ansvarsfördelning inom PRO – så fungerar det enligt GDPR. 6

Riksorganisationens ansvar 6

Föreningarnas, samorganisationernas och distriktens ansvar 6

Rutin för klagomål på personuppgiftsbehandling. 9

Rutin vid personuppgiftsincidenter 9

Rutin för rätten till tillgång om uppgifter som behandlas. 10

Rutin för rätten att bli glömd. 11

Rutin för hantering av bild och film.. 12

Rutin för gallring och lagring. 13

Rutin för lösenordshantering och säkerhetsuppdateringar 14

Rutin för kommunikation. 15

Rutin för hantering av leverantörer 17

Personuppgiftsbiträdesavtal: Frågor och svar 18

Personuppgiftsbiträdesavtal: Uppdaterade bilagor 20

Personuppgiftsbiträdesavtal: Vägledning för att tolka bilagor 25

Syfte med handboken

Som anställd eller förtroendevald inom PRO omfattas du av dataskyddsförordningen (GDPR) och har ett ansvar för att skydda medlemmarnas personliga integritet och rättigheter.

Det övergripande ansvaret för hur personuppgifter hanteras inom PRO ligger dock hos Riksorganisationens styrelse. Det innebär att styrelsen ansvarar för att säkerställa att hela organisationen följer dataskyddsförordningen. En viktig del i detta är att Riksorganisationen tecknar interna avtal med varje distrikt, samorganisation och förening. Dessa avtal reglerar hur personuppgifter får behandlas och tydliggör vilket ansvar varje del av organisationen har. Eftersom avtalen är juridiska dokument är språket ofta tekniskt och svårtolkat. De är inte utformade för att fungera som ett praktiskt stöd i det vardagliga arbetet, utan som en formell grund för dataskyddsarbetet inom PRO.

Det är här handboken fyller sin funktion. Handboken förklarar på ett tydligt och tillgängligt sätt vad avtalen innebär i praktiken, och fungerar som en vägledning för dig som arbetar med personuppgifter. Du ska inte behöva läsa avtalet för att göra rätt! I handboken hittar du också de senaste versionerna av bilagorna till personuppgiftsbiträdesavtalet. Bilagorna kan vid behov uppdateras, vilket gör det möjligt att anpassa oss till förändrade lagkrav utan att hela avtalet behöver skrivas om.

Frågor och svar om GDPR

Det här är GDPR

Vad är syftet med GDPR?
25 maj 2018 ersattes Personuppgiftslagen (PUL) med EU-förordningen The general data protection regulation (EU) 2016/679 Länk till annan webbplats. eller dataskyddsförordningen Länk till annan webbplats. som den heter på svenska. Förordningen är lag i Sverige och har till syfte att stärka skyddet för den personliga integriteten i samband med behandling av personuppgifter.

Vilka är de grundläggande principerna enligt GDPR?
De grundläggande principerna är kärnan i dataskyddsförordningen och gäller för all personuppgiftsbehandling. Principerna innebär bland annat att PRO

• måste ha stöd i en av de lagliga grunder som anges i GDPR för att få behandla personuppgifter
• bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
• inte ska behandla fler personuppgifter än vad som behövs för ändamålen
• ska se till att personuppgifterna är riktiga
• ska radera personuppgifterna när de inte längre behövs
• ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
• ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det

Vilka rättigheter har man som registrerad?

Personer vars uppgifter behandlas av PRO – så kallade registrerade – har en rad rättigheter enligt GDPR. Rättigheterna är inte absoluta, utan det finns regler för när de gäller. De registrerades rättigheter är följande:

• Rätt till tillgång (Rätt att få veta vilka uppgifter ni samlat in, vad ni gör med dem, hur och om ni delar dem med mera).
• Rätt till rättelse (Rätt att få felaktiga uppgifter om sig själv rättade).
• Rätt till radering (rätten att bli bortglömd, få sina uppgifter permanent borttagna)
• Rätt till begränsning av behandling (Rätt att behandlingen slutar eller pausas).
• Rätt till dataportabilitet (Rätt att få sina uppgifter när den lagliga grunden är samtycke eller avtal).
• Rätt att invända (Rätt att invända mot hur ni behandlar personuppgifter när ni gör det med stöd av berättigat intresse).
• Rätt att återkalla samtycke (Rätt att återkalla ditt samtycke för framtida behandling av dina personuppgifter när som helst).
• Rätt att klaga till en tillsynsmyndighet (Rätt att lämna in ett formellt klagomål till tillsynsmyndigheten).

Behandling av personuppgifter

Vad är en personuppgiftsbehandling?

Personuppgiftsbehandling är allting man gör när man behandlar personuppgifter såsom att samla in, spara, dela, sortera, publicera, lagra, förmedla, radera och så vidare.

Vad är en personuppgift?

Med personuppgift menas all information som direkt eller indirekt kan knytas till en fysisk, levande person. Även information som kan kopplas till en fysisk person med hjälp av kompletterande uppgifter trots kryptering eller pseudonymisering är personuppgifter.

Några exempel på personuppgifter:

• Namn
• E-post som förnamn.efternamn@företag.se
• Adress
• Telefonnummer
• Personnummer
• Medlemsnummer
• Foton
• Ljud- och filminspelningar

Vad är inte en personuppgift?

Avgörande för att något ska vara en personuppgift är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Ett exempel är e-postadresser till en funktionsbrevlåda, till exempel inkorg@föreningen.se, som flera personer jobbar med att besvara frågor från. Ett annat exempel från Integritetsskyddsmyndigheten:

“Om en privatperson äger en bil är bilens registreringsnummer en personuppgift. Det är möjligt att utläsa att personen är bilägaren eftersom registreringsnumret kan kopplas till en fysisk person. Om bilen i stället ägs av ett företag är registreringsnumret inte en personuppgift, eftersom bilen inte kan kopplas till en fysisk person.”

Vad räknas som en känslig personuppgift?

Vissa personuppgifter klassas som särskilt känsliga och de har därför ett starkare skydd. Följande uppgifter är så kallade känsliga personuppgifter:

• Etniskt ursprung
• Politiska åsikter
• Religiös eller filosofisk övertygelse
• Medlemskap i en fackförening
• Hälsa
• En persons sexualliv eller sexuella läggning
• Genetiska uppgifter
• Biometriska uppgifter som används för att entydigt identifiera en person

Vilka extra skyddsvärda och känsliga uppgifter behandlar PRO?

1. Uppgifter om hälsa
2. identifikationsuppgifter av typen personnummer och samordningsnummer.
3. Information om privatekonomi, god man.
4. eventuella kostpreferenser och information om medlemmens intressen vid aktiviteter som kan utgöras av särskilt känsliga uppgifter.
   
   

Varför behandlar PRO personuppgifter? (Ändamål)

PRO behandlar personuppgifter för att möjliggöra intern styrning enligt våra stadgar och för verksamhetens löpande arbete. Specifikt för ändamål rörande:

1. medlemshantering och administration av medlemskap,
2. utförande av förtroendeuppdrag inom Distrikt, Samorganisation och Föreningar,
3. behandlingar genom system och applikationer för ovanstående ändamål (medlemsregister, e-post, ärendehantering, webbpublicering, med mera)
4. organisation av verksamhetens aktiviteter (möten, evenemang, webbinarier, seminarier)
5. kommunikation om föreningens och förbundets aktiviteter,
6. betalningshanering (stöd till riksorganisationen)
7. Insamling av personuppgifter och samtycke för lotteri Trippelskrapet

Vems personuppgifter behandlar PRO? (Kategorier av registrerade)

1. medlemmar,
2. förtroendevalda,
3. Ställföreträdare (såsom gode män eller förvaltare),
4. externa kontakter,
5. presumtiva medlemmar och gäster,
6. allmänheten.
   
   

Vilka uppgifter behandlar PRO? (Kategorier av Personuppgifter)

1. kontaktuppgifter (namn, adress, telefonnummer och e-postadress),
2. identifikationsuppgifter (namn, personnummer, medlemsnummer),
3. betalningsinformation (betalningshistorik, bankkontonummer och relaterat),
4. medlemskapshistorik (tidigare deltagande i aktiviteter, medlemsstatus och betalningsstatus),
5. relevanta preferenser och intressen (eventuella kostpreferenser, information om medlemmens intressen av aktiviteter och evenemang).

Vad gör PRO med uppgifterna? (Behandlingens natur och art)

• Behandlingens natur är att vi samlar in Personuppgifter som behandlas för att administrera medlemskap, organisera aktiviteter, kommunicera med medlemmar och hantera betalningar.
• Behandlingens art inkluderar insamling, registrering, lagring, uppdatering, överföring och radering av Personuppgifter för att fullgöra avtalet med medlemmarna och uppfylla rättsliga skyldigheter.

Behandlingar kan utgöras av följande åtgärder:

• Insamling av uppgifter via medlemsregistrering, anmälningar och betalningar.
• Lagring och uppdatering av uppgifter i medlemsregister.
• Användning av uppgifter för kommunikation om aktiviteter och evenemang.
• Överföring av personuppgifter mellan den lokala föreningen och PRO:s centrala system om det är nödvändigt för administration och rapportering.

Efterlevnad

Vem granskar och verkställer tillämpningen av dataskyddsreglerna i Sverige?

I Sverige ansvarar Integritetsmyndigheten (IMY) för granskning och verkställande av dataskyddsförordningen. Mer information om myndigheten finns att läsa på deras hemsida www.imy.se. Länk till annan webbplats.

Integritetsmyndigheten kan välja att inrikta tillsyn mot vissa områden och branscher, så även vår. De kan även genomföra tillsyn av PRO vid en personuppgiftsincident eller klagomål på vår behandling av personuppgifter.

Vad sker vid en tillsyn?

Integritetsmyndigheten genomför normalt tillsyn genom frågor (skrivbordstillsyn) via brev eller e-post om sådan har lämnats. När myndigheten fått svaren från organisationen skrivs en bedömning, ofta får organisationen möjlighet att yttra sig om bedömningen innan den och eventuella ingripande åtgärder fastställs.

Om en organisation bryter mot GDPR har myndigheten befogenhet att påföra olika ingripande åtgärder:

• Varning
• Reprimand
• Föreläggande, inklusive begränsning och förbud
• Administrativa sanktionsavgifter

IMY:s tillsynsbeslut kan överklagas, men det är en kostsam process.

Ansvarsfördelning inom PRO – så fungerar det enligt GDPR

Att hantera personuppgifter på rätt sätt är ett gemensamt ansvar inom PRO. I detta avsnitt förklarar vi hur ansvaret är fördelat enligt dataskyddsförordningen (GDPR), vilka roller som finns och vad som förväntas av olika delar av organisationen.

Dessa roller finns enligt GDPR:

• Personuppgiftsansvarig: Den som bestämmer varför och hur personuppgifter ska behandlas.
• Personuppgiftsbiträde (ofta kallat "biträde"): Den som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
• Underbiträde: En aktör som anlitas av biträdet och som i sin tur behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.

Riksorganisationens ansvar

Inom PRO är Riksorganisationen personuppgiftsansvarig för samtliga registrerade, med undantag för de som är anställda i föreningar, samorganisationer eller distrikt (mer om det nedan). Det innebär att det är Riksorganisationen som beslutar om vilka personuppgifter som får samlas in, hur de får användas och i vilket syfte. Riksorganisationens kansli fungerar som det operativa organet som på uppdrag av styrelsen bestämmer ändamålet för behandlingen.

Så informerar Riksorganisationen om GDPR:

• Utskick via e-post till anställda och förtroendevalda: När förtroendevald registrerar ett nytt uppdrag i medlemssystemet skickas ett automatiskt bekräftelsemejl med information till den förtroendevaldas e-postadress. Detta e-postmeddelande innehåller information om GDPR och länkar till Intranätet där allt material finns samlat. Samma sak gäller för anställda, men då skickas e-postmeddelandet i stället ut när den anställda tilldelas behörighet i medlemssystemet av systemförvaltare.
  
  
• Utskick vid uppdaterade rutiner: Vid större uppdateringar av material och rutiner för GDPR skickar Riksorganisationens kansli alltid ut information till föreningarnas, samorganisationernas och distriktens PRO-adresser.

Föreningarnas, samorganisationernas och distriktens ansvar

Föreningar, samorganisationer och distrikt fungerar som interna personuppgiftsbiträden. Det betyder att de hanterar personuppgifter enligt instruktioner från Riksorganisationen.

Sammanfattning av tio saker att tänka på när du behandlar personuppgifter som biträde:

1. Följa GDPR och annan relevant lagstiftning gällande behandling av personuppgifter: Ni följer GDPR genom att tillämpa rutinerna som redogörs för i denna handbok.
   
   
2. Utföra endast de behandlingar som organisation (personuppgiftsansvariga) gett instruktioner om: I Avsnittet ”Behandling av personuppgifter” i denna handbok här ovan kan ni läsa om vilka behandlingar som är tillåtna (som att registrera medlemskap och aktiviteter). Texten är hämtad från bilaga 1 i personuppgiftsbiträdesavtalet. Ni får alltså, som det omnämns i personuppgiftsbiträdesavtalet, inte behandla personuppgifter för ”egen räkning”.
   
   
3. Föra en förteckning över behandlingar (behandlingsregister): Vi på riksorganisationen ansvarar för att föra ett så kallat behandlingsregister för alla behandlingar i PRO:s centralt ägda system, såsom medlemssystemet och webbverktyget. Om ni behandlar personuppgifter i andra system och genom andra leverantörer än de PRO tillhandahåller måste ni själva föra förteckning över dessa behandlingar. Ni kan läsa mer om vad ett sådant register ska innehålla på IMY:s hemsida https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/personuppgiftsansvariga-och-personuppgiftsbitraden/fora-register-over-behandling/ Länk till annan webbplats.. Riksorganisationen tillhandahåller ingen mall.
   
   
4. Veta hur man hanterar personuppgifter rätt och säkert: För att leva upp till detta krav är återkommande utbildning av nya förtroendevalda och eventuellt anställda nödvändigt. Som ni kan läsa i föregående avsnitt över Riksorganisationens ansvar så skickar riksorganisationen ut information när vi uppdaterar rutiner. Ni måste säkerställa att det kommer alla till dels. Ni kan även ta del av tips för intern kunskapsspridning längre ner.
   
   
5. Informera den personuppgiftsansvarige om ni misstänker en personuppgiftsincident utan dröjsmål och stödja den personuppgiftsansvarige i att utreda personuppgiftsincidenten: Se rutin för personuppgiftsincidenter i denna Handbok.
   
   
6. Bistå den personuppgiftsansvarige med säkerheten för personuppgifterna: Se bilaga 2 i personuppgiftsbiträdesavtalet.
   
   
7. Bistå vid konsekvensbedömning avseende dataskydd: Det finns ingen fast rutin för detta, men om behov uppstår och ert distrikt, er samorganisation eller förening är direkt involverad i den behandling som konsekvensbedömningen gäller, ska ni självklart bistå i arbetet.
   
   
8. Dela årliga revisioner eller information på den personuppgiftsansvariges begäran som visar att man följer sina åtaganden i Biträdesavtalet: Detta är inget vi efterfrågar i dagsläget, men som exempel kan vi i framtiden komma att genomföra stickprov för att säkerställa att vi uppfyller våra skyldigheter som personuppgiftsansvariga.
   
   
9. Informera den personuppgiftsansvarige (Riksorganisationens kansli) om biträdet märker att instruktionerna för behandling av personuppgifter inte är förenliga med GDPR.
   
   
10. Meddela den personuppgiftsansvarige om förfrågningar från de registrerade kommer till biträdet och hjälpa Riksorganisationens kansli att uppfylla sådana förfrågningar.
    
    

Styrelsen är ytterst ansvarig
Det är styrelsen i varje förening, samorganisation och distrikt som har ansvaret för att den egna enheten följer GDPR samt de instruktioner som anges i handboken och biträdesavtalet. På distriktsnivå kan IT-ansvariga och IT-utbildare ha en särskild roll i att säkerställa efterlevnad.

Tips för att sprida kunskap internt:

• Integrera GDPR i befintliga utbildningar, till exempel i samband med genomgångar av webbverktyg och medlemssystemet.
  
  
• Lägg till ett avsnitt om GDPR i ert introduktionsmaterial till nya förtroendevalda.

Ansvar för behandling av anställdas uppgifter
Riksorganisationen är inte personuppgiftsansvarig för anställda i föreningar, samorganisationer eller distrikt. I dessa fall är det respektive styrelse som är arbetsgivare och därmed personuppgiftsansvarig för alla behandlingar som rör de egna anställda. Det innebär att dessa behandlingar inte omfattas av personuppgiftsbiträdesavtalet eller denna handbok. Varje styrelse måste själv ta ansvar för att behandla personaluppgifter enligt GDPR, och se till att man även följer andra tillämpliga lagar – till exempel lagen om anställningsskydd (LAS).

Läs mer hos IMY: Information till anställda – IMY Länk till annan webbplats.

Rutin för klagomål på personuppgiftsbehandling

Vem som helst som anser att ni behandlar personuppgifter på ett felaktigt sätt kan lämna klagomål till Integritetsmyndigheten via deras e-tjänst.

För att ett ärende ska betraktas som ett klagomål krävs följande:

• Klagomålet rör en brist vid behandling av personuppgifter som omfattas av dataskyddsförordningen (GDPR) eller brottsdatalagen (BDL).
• Personen som klagar själv berörs av behandlingen
• Den som behandlat uppgifterna kan identifieras
• Den som klagar är identifierbar och kontaktbar vid eventuella frågor.

Rapportera till riksorganisationen

Om ni får meddelande från Integritetsmyndigheten om att en registrerad lämnat in klagomål på er behandling av personuppgifter ska ni skyndsamt skicka vidare ärendet till organisations kanslis e-postadress info@pro.se. Ring för säkerhets skull även medlemsservice under organisations kanslis öppettider.

Ärendet ska innehålla följande:

• Ämnesrad: ”Klagomål från Integritetsmyndigheten”.
• Innehåll: ditt namn, uppdrag och kontaktuppgifter samt meddelandet från Integritetsmyndigheten.

Rutin vid personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter, obehörigt röjande av eller obehörig åtkomst till personuppgifter. En personuppgiftsincident kan medföra risker för den registrerades rättigheter eller friheter.

Incidenten kan leda till fysisk, materiell eller immateriell skada till exempel genom

• diskriminering, identitetsstöld, identitetsbedrägeri
• skadat anseende
• finansiell förlust
• brott mot sekretess eller tystnadsplikt.

Exempel på personuppgiftsincidenter enligt Integritetsmyndigheten (IMY):

• En obehörig part får tillgång till personuppgifter, till exempel om någon skickar personuppgifter till en mottagare som inte ska ha dem.
• Datorer som innehåller personuppgifter förloras eller stjäls.
• Någon ändrar personuppgifter utan tillstånd.
• Personuppgifter är inte längre tillgängliga för den som behöver dem och det leder till negativa konsekvenser för de registrerade.

Rapportera till riksorganisationen

Anmäl skyndsamt personuppgiftsincidenten till organisationens e-postadress info@pro.se. Om kansliet gör bedömningen att incidenten behöver rapporteras till Integritetsmyndigheten (IMY) ska detta ske inom 72 timmar från att någon i PRO-organisationen misstänkte eller fick kännedom om en personuppgiftsincident. Det är därför av yttersta vikt att ärendet tillskrivs högsta prioritet och att den som rapporterar in ärendet är tillgänglig. Ring för säkerhets skull även medlemsservice under öppettider.

Anmälan om personuppgiftsincident till kansliet ska innehålla följande:

• Ämnesrad: “Personuppgiftsincident”.
• Innehåll: ditt namn, uppdrag och kontaktuppgifter, klockslag och datum när den upptäcktes, av vem den upptäcktes, en beskrivning av incidenten och vilka åtgärder som vidtagits för att stoppa personuppgiftsincidenten.
  
  

Rutin för rätten till tillgång om uppgifter som behandlas

När ni behandlar personuppgifter om individer har de rätt att få veta vilka uppgifter ni samlat in, vad ni gör med dem, hur och om ni delar dem med mera.

Det första ni ska göra är att svara om ni behandlar personuppgifter om personen som frågar eller inte. Om ni behandlar personuppgifter om personen (den registrerade) ska ni inom 30 kalenderdagar besvara frågan med ett så kallat registerutdrag.

Rapportera till riksorganisationen

Om en registrerad åberopar rätten till tillgång, det vill säga efterfrågar dokumentation över de personuppgifter ni behandlar i PRO:s gemensamma system, ska ni skicka vidare ärendet till organisations e-postadress info@pro.se.

Ärendet ska innehålla följande:

• Ämnesrad: ”Personuppgiftsutlämning”
• Innehåll: ditt namn, uppdrag och kontaktuppgifter och den registrerades medlemsnummer alternativt personnummer

Rutin för rätten att bli glömd

Rätten att få uppgifter raderade, eller rätten att bli bortglömd som det också kallas, innebär att alla som finns registrerade i våra system har rätt att vända sig till PRO och be om att få sina uppgifter raderade. När ni får in en begäran ska ni återkomma till den som åberopar sin rätt att bli bortglömd utan onödigt dröjsmål och senast inom en månad efter att ha ni har fått in begäran. Huruvida man faktiskt har rätt att bli bortglömd är beroende av flera faktorer, till exempel gäller inte den rättigheten personuppgifter som är nödvändiga för medlemskapet, ni är skyldiga att hantera på grund av andra lagar eller tvingande regelverk. Exempelvis kan inte en person som har ett aktivt medlemskap i PRO begära att bli bortglömd, även för tidigare medlemmar är ni skyldiga att spara vissa uppgifter.

När gäller rätten att bli glömd?

• När personuppgifterna inte längre är nödvändiga för den behandling de samlats in för, det vill säga när ni borde ha gallrat uppgifterna i alla fall.
• Återkallat samtycke; Alla tillfällen där medlem (eller annan registrerad) har lämnat samtycke för behandlingen ska personuppgifterna raderas vid begäran. Och framtida behandling enligt samtycket upphöra förstås (men det gäller inte retroaktivt).
• Om den registrerade invänder mot behandlingen av personuppgifter som sker med stöd av intresseavvägning (när den lagliga grunden är berättigat intresse för PRO:s del)
• När behandlingen är olaglig, eller när radering krävs av annan lagstiftning.

Rapportera till organisationen

Om en registrerad vill bli bortglömd i PRO:s gemensamma system ska ni skicka vidare ärendet till e-postadress info@pro.se.

Ärendet ska innehålla följande:

• Ämnesrad: ”Rätten att bli bortglömd” alternativt ”Personuppgiftsutlämning”
• Innehåll: ditt namn, uppdrag och kontaktuppgifter och den registrerades medlemsnummer alternativt personnummer

Rutin för hantering av bild och film

Utgångpunkten är att alla bilder och filmer där personer förekommer är personuppgifter. Det går nämligen inte att på förhand avgöra vad som är en identifikationsmarkör. Bara för att någon till exempel fotograferas bakifrån betyder det inte att personen är oidentifierbar. Personen kan ha en tatuering, frisyr, hållning eller liknande som vissa lätt känner igen.

Viktigt att tänka på vid publicering av bilder i digitala
kanaler

Vi arbetar på att ta fram riktlinjer för fotografering och filmupptagning för organisationen. Tills vidare ska ni alltid följa de grundläggande kraven för publicering av bilder i digitala kanaler. Här nedan har vi sammanfattat kraven utifrån premissen att ni fotograferar eller filmar under ett möte eller aktivitet.

Före aktiviteten
Om ni arrangerar en aktivitet eller bjuder in till möte där ni skickar ut inbjudan ska det framgå att ni kan komma att fotografera eller filma samt i vilka kanaler bild och film kan komma att publiceras. Ni ska också informera om vem man kan vända sig till om man inte vill vara med på bild eller film.

Under aktiviteten

Informera muntligt och sätt upp affischer med information om att ni kan komma att fotografera eller filma samt i vilka kanaler dessa filmer och bilder kan komma att publiceras samt vem man ska vända sig till om man inte vill vara med på bild eller film. Att informera via affischer är framför allt en fördel om ni anordnar öppna aktiviteter som inte kräver föranmälan eller aktiviteter där ni inte kan informera alla på en och samma gång.

Bestäm er för hur ni rent praktiskt ska gå till väga om personer inte vill vara med på bild eller film. Kanske kan de få ett diskret klistermärke eller annan markör som gör att det blir enkelt för den som fotograferar eller filmar att anpassa sig i stället för att personer som inte vill vara med på bild eller film måste avlägsna sig från olika sammanhang.

Rutin för gallring och lagring

Grundprinciper för gallring

En av grundprinciperna enligt GDPR är att man ska gallra personuppgifter när de inte längre behövs. Exempel på när du inte längre behöver en personuppgift är när du vidarebefordrat ett medlemsärende via e-post och fått återkoppling eller registrerat en medlem i medlemssystemet. Tänk på att också tömma din papperskorg med jämna mellanrum för att verkligen ha slängt personuppgifterna i ett mejl.

Vissa personuppgifter ska sparas enligt svensk lag (exempelvis bokföringslagen och lagen om anställningsskydd). Uppgifter som inte behövs för ändamålet ska dock alltid gallras. Om du exempelvis behöver spara deltagarlistor enligt bokföringslagen ska allt förutom namn gallras.

Grundprinciper för lagring

Lagra aldrig personuppgifter i e-post

Integritetsskyddsmyndigheten (IMY) är mycket tydlig med att man inte ska använda e-post som lagringsplats eftersom det är en oskyddad kanal som ständigt utsätts för bedrägeriförsök. Det kan dessutom vara svårt att hitta uppgifter om en enskild eller säkerställa att uppgifterna blir borttagna när de inte längre behövs. Tänk på att också tömma papperskorgen i e-posten med jämna mellanrum, till exempel den första dagen i månaden.

Exportera medlemsuppgifter till annan plats för specifika ändamål

Ni kan exportera medlemsuppgifter och skriva ut medlemslistor för specifika ändamål – som att pricka av deltagare under möten, dela ut post och så vidare. Kom ihåg att inte skriva ut eller exportera fler uppgifter än vad ni behöver för ändamålet samt att makulera listan när den inte längre behövs. Fråga emellertid er varför ni behöver skriva ut listan. Kan ni utföra uppgiften utan att skriva ut eller exportera till annan plats? Är det möjligtvis bristande kunskap om hur ni använder rapporterna i medlemssystemet som ligger till grund för att ni exporterar eller skriver ut?

Lagra medlemslistor på annan plats än i medlemssystemet

Att exportera personuppgifter från medlemssystemet för lagring på annan plats är enbart tillåtet om ni behöver spara uppgifterna enligt svensk lag (såsom bokföringslagen). Det är till exempel inte motiverat eller ändamålsenligt enligt GDPR att exportera medlemsuppgifter i form av en extern medlemslista i Excel eller pärm för att det underlättar hanteringen eller kan vara “bra att ha”.

Fysisk lagring
De platser där uppgifter lagras, som kontor, byrålådor men också serverrum, ska vara fysiskt skyddade. Det betyder att dessa platser ska vara låsta eller på annat sätt skyddade från obehörig åtkomst. När du går hem för dagen ska du plocka undan listor eller andra dokument som innehåller personuppgifter, principen om rent skrivbord.

Rutin för lösenordshantering och säkerhetsuppdateringar

Uppdatera alltid din enhet när det föreslås

Alla datorer, IT-system och applikationer som används för att behandla Personuppgifter behöver uppdateras regelbundet för att skydda mot nya säkerhetshot. Vänta inte med uppdateringar av operativsystem och dylikt utan gör dem direkt för att skydda dig och uppgifter om PRO:s medlemmar.

Använd starka lösenord
Alla som har tillgång till Personuppgifter, måste använda starka lösenord för att komma åt systemen där Personuppgifterna lagras. Det betyder att de ska använda lösenord som är svåra att gissa och byta dem regelbundet. När en förening, samorganisation, distrikt behöver återställa lösenord till sitt Microsoftkonto sker det genom att kontakta Medlemsservice som genererar ett starkt automatiskt lösenord.

Byt lösenord när någon avslutar sitt uppdrag eller tjänst

Gemensam PRO-adress

Om en person som har haft tillgång till ert gemensamma Microsoftkonto slutar måste ni byta lösenord. För att byta lösenord måste någon med behörighet att lägga in uppdrag (ordförande, vice ordförande, kassör, anställd) höra av sig till medlemsservice och begära återställning av lösenord.

Personlig PRO-adress

När en förtroendevald eller anställd som har fått en e-post med PRO-domän (@pro) avslutar sitt uppdrag ska förening, samorganisation eller distrikt höra av sig till medlemsservice för att avaktivera kontot. Det är inte tillåtet att dela på personliga lösenord (eller personliga användarkonton) med andra.

Rutin för kommunikation

Ärendehantering via e-post och sms
Användning av privata e-postadresser och mobiltelefoner utgör en av de största säkerhetsriskerna för PRO som organisation, särskilt med tanke på den kraftiga ökningen av bedrägerier riktade mot äldre. För att skydda både organisationen och dess medlemmar är det därför avgörande att följa riktlinjerna för säker kommunikation via e-post och sms här nedan.

E-post för samorganisation och distrikt
Förtroendevalda inom samorganisationer och distrikt ska använda den gemensamma PRO-adressen eller en personlig PRO-adress, som kan tilldelas vid behov.

E-post för föreningar
På föreningsnivå har man möjligheten att få en personlig PRO-adress tagits bort på grund av ändrade avtalsvillkor och begränsade administrativa resurser. För föreningarnas kommunikation med medlemmar gäller att enbart föreningens officiella info-adress ska användas, om inte en personlig PRO-adress redan finns sedan tidigare. Detta säkerställer en trygg och enhetlig hantering av e-post inom hela organisationen.

Massutskick via e-post eller sms till medlemmar
Använd verktyget som finns i medlemssystemet för utskick av e-post och sms. Rapporten tar hänsyn till de som inte vill bli kontaktade samt att ni minimerar risken att utskicket flaggas som skräppost av mottagarnas e-postklient. Om ni av någon anledning måste använda Outlook till att skicka e-post till utvalda medlemmar ska ni alltid använda funktionen “hemlig kopia”. På så sätt blir mottagarlistan dold för mottagarna.

Dela personuppgifter via e-post
Om förtroendevalda behöver tillgång till medlemslistan ska ni ge behörighet till medlemssystemet. Bara de personer som verkligen behöver använda Personuppgifter för sitt uppdrag ska kunna se eller ändra dem. Ni får inte under några omständigheter dela medlemslistor via e-post internt eftersom det inte är en säker kanal. Det innebär även att man kringgår behörighetssystemet som finns inbyggt i medlemssystemet.

Känsliga personuppgifter i e-post
PRO har ingen generell laglig rätt att behandla känsliga personuppgifter men vi kan inte styra över innehållet i ärenden som skickas till oss via e-post. Grundregeln är därför att e-post med känsliga personuppgifter ska raderas direkt när ärendet hanterats. Det är exempelvis vanligt att medlemmar uppger sjukdomshistorik som förklaring till varför de väljer att avsluta sitt medlemskap. Se därför till att informera era medlemmar om att inte ange känsliga personuppgifter i kommunikationen med er förening, samorganisation eller distrikt. Ni kan förslagsvis informera om detta i ert automatiska e-postsvar, i signaturen och på er kontaktsida.

Kontaktuppgifter

Ge enbart ut kontaktuppgifter till förtroendevalda som står på hemsidan
Står inte kontaktuppgifterna som personen söker på distriktets, samorganisationens eller föreningens hemsida ska ni inte ge ut dessa kontaktuppgifter. På hemsidan måste man manuellt skriva in de kontaktuppgifter man vill ska vara synliga. På så vis säkerställer vi att enbart de som vill ha sina uppgifter synliga kontaktas.

Begränsa användningen av privata telefonnummer till förtroendevalda
Att använda privat telefonnummer och mobil som förtroendevald är väldigt problematiskt ur ett GDPR-perspektiv eftersom ni kan få in personuppgifter via SMS. Ni har dessutom inte ingått ett så kallat personuppgiftavtal med leverantören. Eftersom Riksorganisationen inte har möjlighet att köpa in telefonnummer och mobiler till alla föreningar och samorganisationer har vi dock gett er möjligheten att publicera ett privat telefonnummer på hemsidan under “Kontakta föreningen”. Vi kan helt enkelt inte bedriva vår verksamhet annars.

Vi avråder er från att publicera fler privata telefonnummer på er hemsida. Om ni har ett mycket stort behov av att publicera fler privata telefonnummer rekommenderar vi att ni gör ett urval och dokumenterar ert resonemang för att tillmötesgå lagkraven om ändamålsenlighet och uppgiftsminimering. Ni behöver även säkerställa att personen som publicerar sitt telefonnummer förstår innebörden ur ett dataskyddsperspektiv. Informera alltid personen om följande:

• Uppmana aldrig medlemmar att höra av sig via SMS
• Radera SMS direkt när ärendet har hanterats

Samla in kontaktuppgifter till medlemmar på korrekt sätt

• E-post: Om medlemmar kontaktar er via e-post har ni laglig rätt att lägga in deras e-post i medlemssystemet.
• Telefon: Samla in telefonnummer direkt från medlemmen vid registrering. Om telefonnummer till befintlig medlem saknas, samla in det vid ett fysiskt möte eller via direktkontakt.

Använd inte gratistjänster som Eniro, Hitta.se eller Ratsit för att hitta medlemmars telefonnummer. Dessa tjänster har inte samma krav på uppdatering och korrekthet som betaltjänster kopplade till Statens personregister (SPAR). Många mobilabonnemang är registrerade på en annan person, vilket kan leda till felaktiga uppgifter.

Rutin för hantering av leverantörer

Underleverantörer

Som en del av ert uppdrag som personuppgiftsbiträde är ni skyldiga att upprätta och hålla uppdaterad en lista över samtliga underleverantörer (så kallade underbiträden) som ni anlitar för att behandla personuppgifter å PROs vägnar. Eftersom riksorganisationen är personuppgiftsansvarig enligt dataskyddsförordningen har vi ett ansvar för att säkerställa att alla som behandlar personuppgifter för vår räkning gör det i enlighet med tillämpliga regler. Det innebär att vi måste ha full insyn i vilka aktörer som har tillgång till personuppgifter, även indirekt via våra biträden.

Ni hittar formuläret här: http://www.pro.se/gdpr/underbitrade Länk till annan webbplats. (kommer snart)

Checklista för att anlita leverantörer

Att välja en leverantör är lite som att anlita en hantverkare. Vi vill att jobbet ska bli gjort ordentligt och vi vill slippa obehagliga överraskningar efteråt. Vi förväntar oss att allt fungerar, att inget går sönder och att ingen lämnar dörren öppen när de går så vi riskerar inbrott.

När ni anlitar en leverantör, till exempel för att hantera fakturor, print eller medlemsutskick, behöver ni ta reda på om de kommer behandla personuppgifter. Det kräver lagen och det är något vi själva tjänar på. Men det behöver inte vara krångligt.

Till er hjälp har ni två checklistor som ni kan skicka till leverantören för självskattning som ni hittar på www.pro.se/intranatet Länk till annan webbplats..

Överföring av personuppgifter till tredjeland

Normalt sett ska interna Biträden inte anlita leverantörer (underbiträden) som innebär att personuppgifter överförs till länder utan för EU/EES (så kallade tredjeland). Exempel på tjänster där personuppgifter behandlas i tredjeland är USA (Dropbox, Google, AWS, Meta), Indien (supporttjänster), Kina (TikTok).

Tillåtna tjänster från leverantörer i tredjeland:

• Kansliet tillhandahåller tjänster från Microsoft som är tillåtna att använda.
• Facebook är tillåten som en plattform för medlemsinformation.

Personuppgiftsbiträdesavtal: Frågor och svar

Varför behöver distrikt, samorganisationer och föreningar skriva under personuppgiftsbiträdesavtal?

Ett Biträdesavtal (”PuB-avtal”) inom vår koncernliknande struktur behövs för att tydligt reglera hur vi behandlar personuppgifter inom PRO. Detta behov har identifierats genom en ansvarsutredning, där man har analyserat hur personuppgifter flödar och vilka som är ansvariga för olika delar av hanteringen. Utredningen visade att biträdesavtal krävs för att:

• Säkerställa att vi följer GDPR och svensk lag.
• Klargöra ansvarsfördelningen internt.
• Skydda individers rättigheter och integritet.
• Minska juridiska risker och skapa tydlighet i hur personuppgifter ska hanteras på ett säkert och lagligt sätt.

Varför ska ordförande och kassör skriva under avtalet?
Enligt PRO:s stadgar krävs att två personer skriver under avtal. Det är praxis att ordföranden är en av dem, eftersom man företräder sin förening, samorganisation eller distrikt och har det övergripande ansvaret.

Den andra underskriften görs av kassören, framför allt av praktiska skäl. Kassören har vanligtvis tillgång till BankID. Eftersom PRO i första hand vill hantera avtal digitalt, är det en tydlig fördel att kassören deltar i signeringen – det förenklar och effektiviserar hela processen.

Det är samtidigt viktigt att understryka att den som skriver under inte blir personligt ansvarig för innehållet i avtalet. Enligt GDPR är det aldrig en enskild individ som är personuppgiftsansvarig eller personuppgiftsbiträde – ansvaret ligger alltid på riksorganisationen, föreningen, samorganisationen eller distriktet som juridisk person.

Vad innebär det att ingå avtal?

Syftet med avtalet är att Riksorganisationen – i egenskap av personuppgiftsansvarig inom PRO – behöver säkerställa att distrikt, samorganisationer och föreningar får kunskap om och därmed arbetar för att uppfylla de krav dataskyddsförordningen ställer på organisationen.

Avtalet är en formalisering av den ansvarsfördelning som redan gäller enligt lagen. Ni har redan rollen som personuppgiftsbiträden och omfattas därför av vissa skyldigheter. Att skriva under avtalet innebär alltså inget nytt åtagande, utan tydliggör istället hur ni ska agera i er roll som personuppgiftsbiträden.

Hur förhåller sig handboken till personuppgiftsbiträdesavtalet?
Hämtat från avsnittet “Syfte med handboken” i Handbok för hantering av personuppgifter:

Det övergripande ansvaret för hur personuppgifter hanteras inom PRO ligger hos Riksorganisationens styrelse. Det innebär att styrelsen ansvarar för att säkerställa att hela organisationen – från distrikt till föreningar – följer dataskyddsförordningen. En viktig del i detta är att riksorganisationen tecknar interna avtal med varje distrikt, samorganisation och förening. Dessa avtal reglerar hur personuppgifter får behandlas och tydliggör vilket ansvar varje del av organisationen har. Eftersom avtalen är juridiska dokument är språket ofta tekniskt och svårtolkat. De är inte utformade för att fungera som ett praktiskt stöd i det vardagliga arbetet, utan som en formell grund för dataskyddsarbetet inom PRO.

Det är här handboken fyller sin funktion. Handboken förklarar på ett tydligt och tillgängligt sätt vad avtalet innebär i praktiken, och fungerar som en vägledning för dig som arbetar med personuppgifter. I handboken hittar du också de senaste versionerna av bilagorna till personuppgiftsbiträdesavtalet. Bilagorna kan vid behov uppdateras, vilket gör det möjligt att anpassa oss till förändrade lagkrav utan att hela avtalet behöver skrivas om.

Vad händer om vi inte kan leva upp till det som står i avtalet?
Riksorganisationen förväntar sig inte att alla ska kunna uppfylla kraven omedelbart. Implementeringen sker stegvis och i takt med att organisationen är redo. Det viktiga är att vi har ett avtal på plats och tillsammans arbetar mot att uppfylla kraven. Genom att ingå avtal visar vi en gemensam vilja att utveckla vårt dataskyddsarbete i enlighet med lagkraven som vi, oavsett materiella resurser och faktiska förutsättningar, måste förhålla oss till. Vi visar även att vi tar frågan på allvar och vill värna om våra medlemmars lagstadgade rättigheter. Som ett första steg kan ni fokusera på att implementera det som står i Handboken.

Innebär avtalet en skärpning?
I den tidigare GDPR-policyn framgår att varje förening, samorganisation och distrikt har ett eget ansvar för sin personuppgiftsbehandling. Den nya ordningen innebär därför en viss lättnad, eftersom ett personuppgiftsbiträde inte har lika långtgående ansvar som en personuppgiftsansvarig. Det är därför rimligt att se förändringen som en förenkling snarare än en skärpning av kraven.

Samtidigt kan det upplevas som att ansvaret plötsligt blivit mer omfattande. Eftersom Riksorganisationen tidigare inte varit personuppgiftsansvarig, har man kanske inte fullt ut insett vilket ansvar som faktiskt vilar på de olika delarna av organisationen. Riksorganisationen har heller inte haft något formellt ansvar för utbildning eller informationsspridning inom detta område. Därför kan det nu kännas som att allt händer samtidigt och i högt tempo.

Det är i det sammanhanget viktigt att påminna sig om att kraven på efterlevnad faktiskt varit ännu högre tidigare – innan avtalet trätt i kraft.

Personuppgiftsbiträdesavtal: Uppdaterade bilagor

Alla distrikt, samorganisationer och föreningar inom PRO ska teckna ett internt biträdesavtal med Riksorganisationen, och det är dessa organisationer som avses med “biträdet”. I avtalet finns tre bilagor som kan komma att uppdateras över tid. Här hittar ni de aktuella versionerna av bilagorna och vad som gäller.

Bilaga 1: Instruktion avseende biträdets behandling av personuppgifter

Utöver vad som redan framgår av detta avtal ska Biträdet även följa nedanstående instruktioner.

Ändamål – varför använder vi Personuppgifterna?
Dessa Personuppgifter Behandlas för att möjliggöra intern styrning enligt våra stadgar och för verksamhetens löpande arbete. Specifikt för ändamål rörande:

• medlemshantering och administration av medlemskap,
• utförande av förtroendeuppdrag inom Distrikt, Samorganisation och Föreningar,
• behandlingar genom system och applikationer för ovanstående ändamål (medlemsregister, e-post, ärendehantering, webbpublicering, med mera)
• organisation av verksamhetens aktiviteter (möten, evenemang, webbinarier, seminarier)
• kommunikation om föreningens och förbundets aktiviteter,
• betalningshanering (stöd till riksorganisationen)
• Insamling av personuppgifter och samtycke för lotteri Trippelskrapet

Kategorier av registrerade – vem handlar det om?

• medlemmar,
• förtroendevalda,
• ställföreträdare,
• externa kontakter,
• presumtiva medlemmar och gäster,
• Allmänheten.
  
  

Kategorier av Personuppgifter – vilka uppgifter handlar det om?

• kontaktuppgifter (namn, adress, telefonnummer och e-postadress),
• identifikationsuppgifter (namn, personnummer, medlemsnummer),
• betalningsinformation (betalningshistorik, bankkontonummer och relaterat),
• medlemskapshistorik (tidigare deltagande i aktiviteter, medlemsstatus och betalningsstatus),
• relevanta preferenser och intressen (eventuella kostpreferenser, information om medlemmens intressen av aktiviteter och evenemang).

Extra skyddsvärda och känsliga uppgifter som behandlas

• Uppgifter om hälsa1
• identifikationsuppgifter av typen personnummer och samordningsnummer 2.
• Information om privatekonomi, god man
• eventuella kostpreferenser och information om medlemmens intressen vid aktiviteter som kan utgöras av särskilt känsliga uppgifter.

Behandlingens natur och art – vad gör vi med uppgifterna?
Behandlingens natur är att vi samlar in Personuppgifter som behandlas för att administrera medlemskap, organisera aktiviteter, kommunicera med medlemmar och hantera betalningar.

Behandlingens art inkluderar insamling, registrering, lagring, uppdatering, överföring och radering av Personuppgifter för att fullgöra avtalet med medlemmarna och uppfylla rättsliga skyldigheter.

Behandlingar kan utgöras av följande åtgärder:

• Insamling av uppgifter via medlemsregistrering, anmälningar och betalningar.
• Lagring och uppdatering av uppgifter i medlemsregister.
• Användning av uppgifter för kommunikation om aktiviteter och evenemang.
• Överföring av personuppgifter mellan den lokala föreningen och PRO:s centrala system om det är nödvändigt för administration och rapportering.

Behandlingens varaktighet – hur länge sparar vi dem?
Personuppgifter får behandlas under den tid som är nödvändig för att uppfylla de syften som anges ovan och enligt gällande lagstiftning. Personuppgifter ska raderas eller anonymiseras när de inte längre är nödvändiga för de ändamål som de samlades in för. För närmare instruktioner se Handboken.

Bilaga 2: Tekniska och organisatoriska och säkerhetsåtgärder

Här förklarar vi de säkerhetsåtgärder som Biträdet måste följa för att skydda Personuppgifter. Senaste uppdaterade versionen av detta dokument hittar du i Handboken. De nedan angivna säkerhetskraven anges som komplement till de säkerhetsåtgärder PRO Kansli genomför för att se till att Personuppgifter hålls säkra och inte hamnar i fel händer. Som Biträde ska nedanstående genomföras.

Starka lösenord och säker åtkomst
Alla som har tillgång till Personuppgifter, måste använda starka lösenord för att komma åt systemen där Personuppgifterna lagras. Det betyder att de ska använda lösenord som är svåra att gissa och byta dem regelbundet. Endast personer som behöver arbeta med uppgifterna ska ha åtkomst till dem. Det är inte tillåtet att dela på personliga lösenord (eller personliga avändarkonton).

Begränsad åtkomst till uppgifterna
Bara de personer som verkligen behöver använda Personuppgifter för sitt uppdrag ska kunna se eller ändra dem. Vi får endast ha åtkomst till de uppgifter vi behöver för att göra vårt jobb eller uppdrag.

Använd de gemensamma PRO-systemen för säkerhetskopior och återställning
Alla Personuppgifter som lagras i de gemensamma systemen ska säkerhetskopieras regelbundet av PRO. Därför ska dessa system användas i största möjliga utsträckning. Om något går fel, som en datorkrasch eller annan olycka, går det då att få tillbaka uppgifterna så att inget går förlorat.

Kryptering av uppgifter
Särskilt skyddsvärda eller stora mängder Personuppgifter ska krypteras, vilket innebär att de görs oläsliga för alla som inte har rätt nyckel för att läsa dem. Detta gäller både när uppgifterna lagras och när de skickas vidare. I de gemensamma system som PRO centralt tillhandahåller säkerställs detta genom Kansliet. Sker upphandling lokalt ligger också ansvaret för att säkra skyddet av personuppgifterna lokalt.

Fysisk säkerhet
De platser där uppgifter lagras, som kontor, byrålådor men också serverrum, ska vara fysiskt skyddade. Det betyder att dessa platser ska vara låsta eller på annat sätt skyddade från obehörig åtkomst. När du går hem för dagen ska du plocka undan listor eller andra dokument som innehåller personuppgifter, principen om rent skrivbord.

Loggning av aktiviteter
Alla aktiviteter som görs med Personuppgifter ska loggas, så att det går att se vem som har använt uppgifterna, när och varför. Detta gör det lättare att upptäcka om något inte har gjorts rätt. I de gemensamma system som PRO centralt tillhandahåller säkerställs detta genom Kansliet. Sker upphandling lokalt ligger också ansvaret för att loggning sker och följs upp lokalt.

Uppdatera alltid dina enheter när det föreslås
Alla datorer, IT-system och applikationer som används för att behandla Personuppgifter ska vara inställda på ett sätt som gör att de är så säkra som möjligt, och behöver därför uppdateras regelbundet för att skydda mot nya säkerhetshot. Vänta inte med uppdateringar utan gör dem direkt för att skydda dig och uppgifter om PRO:s medlemmar!

Informera och utbilda om säkerhet
Biträdet ska följa säkerhetsinstruktionerna i Handboken och regelbundet informera eller utbilda om detta så att kunskaperna hålls uppdaterade.

Uppgiftsminimering och datakvalitet
Biträdet ska bara samla in de Personuppgifter som verkligen behövs för att utföra sitt arbete och hålla dessa uppdaterade. Om Personuppgifter är gamla eller felaktiga, ska de rättas till eller tas bort.

Begränsad lagring av Personuppgifter
Personuppgifter ska inte lagras längre än vad som är nödvändigt. När uppgifterna inte längre behövs, ska de tas bort eller göras oanvändbara. I vissa fall finns lagar som gör att vi ska spara uppgifter, kontrollera alltid i Handboken vad som gäller.

Ansvar för säkerhet
Biträdet är ansvarigt för att följa alla dessa säkerhetskrav och vara beredda att visa att de har gjort det om det behövs.

BILAGA 3: Överenskomna underbiträden

Alla Underbiträden listas i ett särskilt dokument som du hittar via Handboken.

Följande uppgifter ska framgå:

• Företagets namn:
• Företagets organisationsnummer:
• Adress (inklusive adress till huvudkontoret om annan än angiven):
• Kontaktpersonens namn, befattning och kontaktuppgifter (e-postadress):
• Beskrivning av behandlingen, ändamålet med underbiträdets behandling (inklusive en tydlig ansvarsfördelning om flera underleverantörer har godkänts):
• Land/länder där personuppgifterna behandlas (EU/EES är en region, skriv vilket land):
• Kategorier av personuppgifter som behandlas:
• Hur länge personuppgifterna behandlas (antal dagar):

Personuppgiftsbiträdesavtal: Vägledning för att tolka bilagor

I ett personuppgiftsbiträdesavtal måste vissa saker finnas. Finns en standard inom dataskyddsförordningen. Det som står i bilaga 1 och 2 har inkorporerats i handboken så att det ska vara lättöverskådligt.

Bilaga 1: Instruktioner till Biträdet om behandling av Personuppgifter

Varför vi använder personuppgifter (Ändamål)
Här beskriver vi syftet, det vill säga varför vi behöver samla in och använda personuppgifter för att kunna sköta vårt uppdrag. Det kan handla om att hålla medlemsregister, hantera anställningar, skicka ut information eller se till att rätt person får rätt service.

Vem handlar det om? (Kategorier av registrerade)
Det kan vara medlemmar, kunder, anställda eller andra personer som har en koppling till vår verksamhet, våra grupper av registrerade.

Vilka uppgifter handlar det om? (Kategorier av personuppgifter)
Här ska vi lista de grupper av personuppgifter vi hanterar, som namn, personnummer, adress, telefonnummer och e-post. I vissa fall kan det också handla om betalningsuppgifter eller annan information som behövs för att vi ska kunna fullgöra vårt uppdrag.

Extra skyddsvärda och känsliga uppgifter som behandlas
I vissa fall kan vi behöva hantera uppgifter som kräver extra skydd, till exempel om hälsa, religion eller andra personliga förhållanden. Sådana uppgifter ska hanteras med särskilda säkerhetsåtgärder och är bara tillgängliga för de som absolut behöver dem.

Vad gör vi med uppgifterna? (Behandlingens art)
Vi samlar in, sparar, använder och ibland skickar vidare personuppgifter. Det kan till exempel vara för att registrera en medlem, skicka fakturor eller sköta anställningar. Vi använder uppgifterna bara för det ändamål vi har angett.

Hur länge sparar vi dem? (Behandlingens varaktighet)
Vi sparar personuppgifterna så länge vi behöver dem för att uppfylla vårt uppdrag eller enligt lagkrav. När vi inte längre behöver dem eller har lagkrav för att behålla dem, ser vi till att de tas bort eller anonymiseras på ett säkert sätt.

Bilaga 2: Instruktioner om tekniska och organisatoriska åtgärder

Denna bilaga handlar om säkerheten för personuppgifter som behandlas inom PRO. Syftet är att genom krav, ge enkel och tydlig information om hur vi skyddar personuppgifter och säkerställer att ingen obehörig kan komma åt dem.

Vad är säkerhet?
Säkerhet handlar om att skydda personuppgifter så att de inte blir stulna, förvanskade, förlorade eller används på fel sätt och hålls tillgängliga för oss i förväntad utsträckning. Detta gör vi genom att använda olika tekniska och organisatoriska åtgärder för att hålla informationen säker och skydda de personer som lämnar sina uppgifter till oss.

Vad gör vi för att skydda personuppgifter?
Vi följer riktlinjer baserade på internationella standarder för säkerhet, såsom ISO 27001, men vi gör det på ett sätt som är lätt att förstå och följa för alla, även om man inte har någon teknisk bakgrund.

Vilka säkerhetsåtgärder kan vi använda för att skydda personuppgifter?
Lösenord och skyddade system: Vi använder starka lösenord och skyddade system för att förhindra att obehöriga kommer åt personuppgifter. Dessa lösenord måste vara svåra att gissa och bytas ut med jämna mellanrum.

• Begränsad åtkomst: Endast de som behöver tillgång till personuppgifterna för att utföra sitt arbete får det. Det innebär att om du inte arbetar med personuppgifterna, kommer du inte att kunna komma åt dem.
• Säkerhetskopiering: Vi säkerhetskopierar all information regelbundet så att vi inte förlorar den om något skulle gå fel, som till exempel vid ett virusangrepp eller strömavbrott.
• Kryptering: All känslig information som skickas mellan oss och andra system skyddas med kryptering. Detta innebär att om någon försöker komma åt informationen, kommer den inte att kunna förstå den utan rätt nyckel.
• Skriva ut och förvara papper: När vi skriver ut personuppgifter på papper, förvarar vi dem på ett säkert sätt, så att ingen obehörig kan läsa dem. Vi förstör dem också på ett säkert sätt och slänger inte känsliga handlingar var som helst.
  
  

Vad gör vi om något går fel?
Om det skulle hända att någon får obehörig åtkomst till personuppgifter eller om vi förlorar uppgifter, har vi en plan för hur vi ska hantera det. Vi rapporterar snabbt till de ansvariga som bedömer om de som kan vara påverkade behöver informeras och vidtar åtgärder för att förhindra att det händer igen.

Vad kan du göra för att hjälpa till?

• Var försiktig med lösenord: Dela aldrig ditt lösenord med någon och håll det hemligt.
• Rapportera misstänkt aktivitet: Om du märker något konstigt, som att någon verkar ha fått åtkomst till information som de inte borde ha, ska du omedelbart informera Kansliet.
• Förvara uppgifter säkert: Om du hanterar personuppgifter på papper, se till att de är säkert förvarade när de inte används och när du ska kasta dem, så att de förstörs om de är särskilt känsliga. När du går hem för dagen ska du plocka undan listor eller andra dokument som innehåller personuppgifter, principen om rent skrivbord.
  
  

Varför är detta viktigt?
Vi skyddar personuppgifter för att undvika att människor blir utsatta för identitetsstöld eller missbruk av sina uppgifter. Genom att följa dessa enkla säkerhetsåtgärder gör vi vårt bästa för att skydda alla som litar på oss med sina personuppgifter. PRO finns för att stötta medlemmarnas och att få förtroendet att hantera deras personuppgifter är avgörande för vår verksamhet.

Bilaga 3 – Överenskomna underbiträden

Bilagan om överenskomna underbiträden är ett viktigt dokument för att säkerställa att alla som hjälper till att hantera personuppgifter gör det på ett säkert och korrekt sätt. Den beskriver de företag eller organisationer som får hantera personuppgifter på uppdrag av PRO genom personuppgiftsbiträdet