Uppsala studentkårs dataskyddspolicy 1 Bakgrund och syfte Ett medlemskap i Uppsala studentkår innebär ett medlemskap i Sveriges äldsta studentkår. Kåren arbetar för att studenter vid Uppsala universitet ska ha en högkvalitativ studiegång samt en stad som bryr sig om dem. För att Uppsala studentkår ska kunna informera sina medlemar om erbjudanden, rabatter, kampanjer och sin verksamhet måste Uppsala studentkår behandla medlemmarnas personuppgifter. Beroende på vilka delar av kårens verksamhet som den enskilde medlemen deltar i kommer också olika typer av personuppgifter att behandlas. Uppsala studentkår tar medlemmarnas personliga integritet på allvar och syftet med denna datapolicy är att påvisa att de personuppgifter som behandlas av Uppsala studentkår används ändamålsenligt, samt att kåren skyddar medlemmarna mot obehörig åtkomst och användning av deras personuppgifter. Bestämmelserna i denna datapolicy gäller behandlingen av personuppgifter i både medlemsregister, och andra typer av register, databaser, ärende- och dokumenthanteringssystem, men också ostrukturerat material i form av till exempel text i ordbehandlingsprogram och på internet, bilder och e-post. Datapolicyn beskriver de personuppgifter som Uppsala studentkår behandlar, vilka som har rätt att ta del av medlemmarnas personuppgifter, samt vilka rättigheter enskilda medlemmar har vad gäller behandling av deras personuppgifter. 2 Definitioner Med personuppgift avses, enligt denna datapolicy, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är vid liv. Behandling av personuppgifter är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändning, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, eller radering. Personuppgiftsansvarig är den juridiska person (Uppsala studentkår) som bestämmer vilka uppgifter som ska behandlas och hur de ska användas. Dataskyddsombud är den fysiska person som, efter bestämmelser av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagenligt sätt. Personuppgiftsbiträde är alltid någon utanför den egna organisationen som på uppdrag av den personuppgiftsansvarige får behandla personuppgifter, dock endast i enlighet med instruktioner från denne. Ett skriftligt avtal som reglerar förhållandet mellan personuppgiftsbiträdet och den personuppgiftsansvarige måste finnas där säkerhetsåtgärderna vid behandlingen av personuppgifter regleras. Medlem är den som skrivit in sig i Uppsala studentkår.
3 Medlemmar och enskilda personers rättigheter Medlemmar har rätt att ta del av hur deras personuppgifter behandlas. Information om personuppgiftsbehandling ska lämnas i samband med att en person skriver in sig i Uppsala studentkår eller när den registrerade så begär. Medlemmar har rätt att få felaktiga uppgifter rättade. Samtidigt har medlemmar en skyldighet att se till att de uppgifter som Uppsala studentkår behandlar är korrekta och uppdaterade. Medlemmar har rätt att få sina uppgifter raderade när ett medlemskap avslutas och alla förpliktelser är uppfyllda, t.ex. i form av betalda skulder, giltiga kår- och nationskort eller andra förmåner. Rätten att bli glömd gäller inte om uppgifterna fortsatt behandlas i syfte att uppfylla annan rättslig förpliktelse så som redovisningsskyldighet, eller för uppgifter som är av särskilt intresse för Uppsala studentkår - t.ex. personuppgifter som förekommer i protokoll, befattningslängder eller pristagarregister. Personer har rätt att bli borttagna från bilder som Uppsala studentkår lägger ut på hemsidor, i fotoalbum eller i sociala medier. Om en medlem begär rättelse har den rätt att kräva begränsad användning av personuppgifter, under den tid det tar att utreda uppgifternas korrekthet. Medlemmar har rätt att invända mot behandling av uppgifter i de fall behandling sker för en uppgift som är av allmänt intresse eller intresseavvägning. Om en medlem invänder mot behandling som sker enligt dessa principer måste Uppsala studentkår visa att dess intresse väger tyngre än den enskildes intressen, eller att behandling sker för fastställande, utövande eller försvar av rättsliga anspråk. Medlem har rätt att lämna in klagomål till integritetsskyddsmyndigheten om denne anser att uppgifter behandlas i strid med dataskyddsförordningen.
4 Uppgifter som Uppsala studentkår samlar in och behandlar Person som vill bli medlem i Uppsala studentkår godkänner i och med medlemskapet att Uppsala studentkår kommer behandla den enskilde medlemmens personuppgifter. Uppsala studentkår ska vid inskrivning tillhandahålla information om vilka personuppgifter som kommer behandlas och i vilket syfte. a. Personuppgifter som enskild medlem lämnar till Uppsala studentkår Uppsala studentkår behandlar de uppgifter som medlemmen uppger i samband med tecknande av medlemskap och som behövs för Uppsala studentkårs administration. Dessa personuppgifter är namn, adress, mejladress, telefonnummer, personnummer, förtroendeposter samt andra uppgifter som krävs för att administrera medlemskapet. Uppgifterna används för kontakt med, utskick till och fakturering av medlemmarna. Uppgifter för köp eller transaktioner som sker på Uppsala studentkår behandlas också av redovisningsskäl. Detta inkluderar betalningsinformation som nummer på kredit- eller betalkort och andra kortuppgifter, samt information om fakturering. Den här informationen delas enbart till den tredje part som genomför själva transaktionen och används bara i enlighet med bestämmelser i lag. Rätten till begränsad behandling av personuppgifter gäller i händelse där en medlem anser att uppgifterna är felaktiga och har begärt rättelse. När begränsningen upphör ska den enskilde informeras om detta. När en person blir förtroendevald, söker anställning eller skriver upp sig för att arbeta inom verksamheten kommer kontaktuppgifter och eventuell löneinformation att samlas in och behandlas. b. Insamling av personuppgifter Uppsala studentkår samlar in uppgifter om vilka som är registrerade på kurser vid Uppsala universitet som krävs för tecknande av medlemskap, samt uppgifter om medlemskap i andra nationer eller studentkårer vid Uppsala universitet. Information samlas in när någon besöker eller använder webbplatser och applikationer som tillhör Uppsala studentkårs sidor (cookies). En cookie är en textfil som skickas från vår webbserver och som sparas av användarens webbläsare. Det finns två sorters cookies, vanliga cookies och sessionscookies. Sessionscookies försvinner när användaren stänger sin webbläsare och sparas inte, medan vanliga cookies sparas på användarens dator under en längre tid. Cookies används till exempel på uppsalastundent.com för att kunna säkerställa att en person loggat in på webbplatsen och för att slippa logga in på varje ny sida som öppnas.
c. Delning av personuppgifter Genom samarbetet i Uppsala studenters medlemshantering: organisation och samordning (USMOS) delar Uppsala studentkår information om medlemskap med övriga studentkårer vid Uppsala universitet, de tretton (13) studentnationerna i Uppsala, samt Kuratorskonventet. Syftet är att samla enskilda medlemmars skulder, underlätta betalning samt att all medlemskap ska vara registrerad på samma medlemskort. Uppgifterna samlas i ett register som gemensamt ägs av studentnationerna och Uppsala studentkår. Tredjepartsföretag som hjälper Uppsala studentkår att tillhandahålla våra tjänster, som tryck och distribution av kår- och nationskort, medlemstidningar och brev, tar del av information om medlemmar. Hanteringen av dessa personuppgifter regleras i specifika avtal med respektive part. Uppsala studentkår lämnar inte ut uppgifter till enskilda personer annat än till den som själv äger uppgiften, om inte uppgiften anses vara av allmänt intresse, eller i enlighet med denna dataskyddspolicy efter beslut av Uppsala studentkårs ordförande. d. Lagring av personuppgifter Data lagras så länge det är nödvändigt för att tillhandahålla medlemsförmåner och övriga tjänster till våra medlemmar, och personuppgifterna bevaras så länge medlemskapet är aktivt. Efter det bevaras endast uppgifter som är av intresse utifrån ett organisationshistoriskt perspektiv eller sådant som Uppsala studentkår måste bevara i enlighet med annan lagstiftning. Det är Uppsala studentkår själv i egenskap av personuppgiftsansvarig som bestämmer vilka uppgifter som ska sparas. e. Borttagning av personuppgifter När en persons medlemskap i Uppsala studentkår upphör kommer uppgifterna i medlemsregistret att tas bort, förutsatt att inga utestående medlemsavgifter eller andra skyldigheter gentemot Uppsala studentkår kvarstår. Enskilda medlemmar har rätt att få ut information över vilka sorters uppgifter Uppsala studentkår har i sina register. Medlemmar har också rätt att begära rättelse av felaktiga uppgifter, samt att få informationen borttagen det senare gäller dock endast i samband med att medlemskapet i Uppsala studentkår upphört.
5 Säkerhet Med denna datapolicy förbinder sig Uppsala studentkår att ha utarbetade rutiner som säkerställer att personuppgifter behandlas på ett sådant sätt att inga obehöriga får tillgång till personuppgifterna. Vidare ska Uppsala studentkår utbilda sina förtroendevalda i personuppgiftshantering när de tillträder sina poster, samt utbilda all sin personal en gång per termin. Vidare ska Uppsala studentkår verka för att systematiskt informera om hur informationssäkerhet säkerställs; analysera och säkerhetsklassa personuppgifter och system för att minimera säkerhetsrisker, samt förebygga händelser som kan leda till negativa konsekvenser. Uppsala studentkår är i egenskap av personuppgiftsansvarig den som bestämmer hur personuppgifter ska behandlas och av vem. Uppsala studentkår har ansvar för att utarbeta rutiner och instruktioner för hur personuppgifter får användas, samt säkerställa att enbart behöriga har åtkomst till behandlingen av personuppgifter. Uppsala studentkår ska ha utarbetade rutiner för insamling och radering av personuppgifter så att de inte förvaras längre än nödvändigt. Uppsala studentkår ska dessutom utse ett personuppgiftsombud som ska se till att personuppgifter behandlas på ett korrekt och lagenligt sätt. I händelse av personuppgiftsincidenter har Uppsala studentkår skyldighet att inrapportera det till integritetsskyddsmyndigheten inom 72 timmar. Om det är så att en eller flera medlemmar riskerar att skadas av id-stöld, bedrägeri, eller finansiella stölder är Uppsala studentkår skyldig att informera de registrerade så att de kan vidta nödvändiga åtgärder. 6 Ändringar av datapolicyn Denna datapolicy har antagits av Uppsala studentkårs styrelse och kan ändras av styrelsen med enkel majoritet. Uppsala studentkår är skyldig att informera att ändringar har gjorts i denna policy.