Integritetspolicy för personuppgiftshantering Innehållsförteckning 1 Inledning och syfte... 2 2 Tillämpning och revidering... 2 3 Organisation och ansvar... 2 4 Begrepp och förkortningar... 2 5 Personuppgiftsbehandling... 3 6 Dina rättigheter... 9
1 INLEDNING OCH SYFTE Syftet med denna policy är att säkerställa att Visit Värmland hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Denna policy är förankrad hos alla våra medarbetare. 2 TILLÄMPNING OCH REVIDERING Visit Värmlands styrelse ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas av styrelsen minst en gång per år och uppdateras vid behov. VD tillsammans med personuppgiftsansvarig är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk. Denna policy är tillämplig för företagets styrelseledamöter, VD, medarbetare, kunder samt uppdragstagare som berörs av vår verksamhet. 3 ORGANISATION OCH ANSVAR VD har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. VD får delegera ansvaret och implementationen till lämplig person på företaget. VD har delegerat implementering av denna policy till ekonomen tillika personuppgiftsansvarig. Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa. 4 BEGREPP OCH FÖRKORTNINGAR Begrepp Personuppgift Registrerad Betydelse En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register. Personuppgiftsbehandling En åtgärd eller kombination av åtgärder beträffande personuppgifter oberoende av om de utförs automatiserat eller ej såsom insamling, registrering, organisering och strukturering. 2
5 PERSONUPPGIFTSBEHANDLING Varje personuppgiftsbehandling ska ske enligt följande principer: o Laglighet o Ändamålsbegränsning o Uppgiftsminimering o Korrekthet o Lagringsminimering o Integritet och konfidentialitet För följande behandlingar mejlhantering internt resp. externt etc gäller särskilt följande; avslutade ärenden raderas, börja varje konversation i ny tråd. Oavslutade ärenden ska ha ett bestämt avslutsdatum inom 6 månader. Innehåll från mejl sparas i hemkatalog och raderas efter 2 år. Våra uppgiftsbehandlingar dokumenteras löpande i Visma Severa för kunder/potentiella kunder/medlemmar, Visma eekonomi kund- och leverantörsreskontra och Visma Lön personaluppgifter. Uppföljning och utvärdering av vår hantering av personuppgifter ska ske minst årligen. Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till personuppgiftsansvarig, som i dagsläget är föreningens ekonom. Personuppgiftsansvarig ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och avtal. Samtyckesavtal med samtliga kunder/medlemmar, personal och styrelse. I våra projekt har vi skyldighet att rapportera organisationsnummer, som en indikator, kopplat till deltagaren; namn, mejladress, organisationsnummer/personnummer. Informationen lagras i databas enligt EU s regel,12 år, efter avslutad projektperiod. Vid anmälan till nyhetsbrev, anmälan till Visit Värmlands aktiviteter, anmälan om prenumeration av tidskriften Magasin Värmland, samlar vi in samtycke för behandling av relevanta personuppgifter där den rättsliga grunden är samtycke. I TURID behandlar vi personuppgifter för marknadsföring av värmländska produkter. Informationen lagras i databasen i max 2 år, minst 6 månader enligt utgivningsbevis. På visitvarmland.org publiceras och dokumenteras föreningsinformation och projektaktiviteter. Föreningsinformation uppdateras regelbundet, gallras kontinuerligt och backup lagras 6 månader på server. Projektinformation lagras enligt EU s regler, max 12 år. 3
För inlämnat material ansvarar arrangören själv att text och bild är godkända med avtal och samtycken. I Mailchimp behandlas namn, epost och land för nyhetsbrevsprenumeranter. För medlemmar, kunder och B2B som t ex bussresearrangörer, tillämpas allmänt intresse som laglig grund och deras eventuella personuppgifter behandlas i utskick- och crmsystem. Bilder som behandlas på kameror och mobiltelefoner raderas kontinuerligt. Medlemmar och kunder kan närsomhelst ta del av sina personuppgifter som behandlas. Där det är tillämpligt kan man välja att bli borttagen. För att borttagen vänder du dig till Visit Värmland till info@visitvarmland.se Vilka personuppgifter samlar vi in om dig som kund och i vilket ändamål (varför)? För att kunna publicera produkter, evenemang och sevärdheter i TURID Insamlande och publicering av information kring produkt, plats och arrangör Laglig grund: Allmänt intresse. Denna insamling av dina personuppgifter krävs för att Lagringsperiod: Max 2 år, backup lagras 6 månader. Namn Kontaktperson/arrangör Telefon Mejladress Webbadress Organisationstillhörighet Uppgiftslämnares kontaktuppgifter Publicering och hantering av bilder i TURID Sparar Distribuerar Publicerar Laglig grund: Allmänt intresse. Denna insamling av dina personuppgifter krävs för att Lagringsperiod: Max 2 år, backup lagras 6 månader. 4
För att kunna publicera produkter, evenemang och sevärdheter i visitvarmland.se Insamlande och publicering av information kring produkt, plats och arrangör Laglig grund: Allmänt intresse. Denna insamling av dina personuppgifter krävs för att Lagringsperiod: Max 2 år, backup lagras 6 månader. Namn Kontaktperson/arrangör Telefon Mejladress Webbadress Organisationstillhörighet Uppgiftslämnares kontaktuppgifter Publicering och hantering av bilder i visitvarmland.se Sparar Distribuerar Publicerar Laglig grund: Allmänt intresse. Denna insamling av dina personuppgifter krävs för att Lagringsperiod: Max 2 år, backup lagras 6 månader. För att kunna publicera Publicering av nyheter, kommande information aktiviteter, genomförda aktiviteter och föreningsinformation mm i visitvarmland.org Namn Kontaktperson/arrangör Telefon Mejladress Webbadress Organisationstillhörighet Bilder Laglig grund: Allmänt intresse. Publicering av personuppgifter kan förekomma i samband med dokumentation av projektaktiviteter mm. Lagringsperiod: Viss information lagras enligt direktiv från gällande regelverk, t ex EU:s lagring av projektinformation 12 år. Övrig information gallras årligen. 5
Publicering och hantering av Sparar bilder i visitvarmland.org Publicerar Laglig grund: Allmänt intresse. Publicering av personuppgifter kan förekomma i samband med dokumentation av projektaktiviteter mm. Lagringsperiod: Viss information lagras enligt direktiv från gällande regelverk, t ex EU:s lagring av projektinformation 12 år. Övrig information gallras årligen. Distribution av bild och text för Sparar marknadsföring Distribuerar Skribent Laglig grund: Allmänt intresse. Distribuering av dina personuppgifter kan krävas för att Lagringsperiod: Enligt respektive kanals/leverantörs policy. Bildbank Sparar Distribuerar Publicerar Laglig grund: Allmänt intresse, Samtycke eller Avtal. Laglig grund är beroende på syftet och ändamål. Lagringsperiod: Beroende på syfte och ändamål. Genomgång av bildbank årligen. Skribent 6
Besöksstatistik och user experience Google Analytics Google Data Studio Facebookpixel Laglig grund: Samtycke. Ges i samband med att du använder sidan. Lagringsperiod: Lagringen upphör inte automatiskt. Befintliga poster som finns i google och facebooks verktyg I våra digitala tjänster, t.ex. besöks- och sökhistorik på webbplatsen, öppnings- och läsningsstatistik vid utskick och information som in-hämtas från externa informationstjänster (se nedan). Erbjudanden kommuniceras till dig i olika kanaler, såsom via brev, e-post, på webbplatsen och andra digitala kanaler, t.ex. på sociala medier. Vi använder informationen vi samlar in för att våra tjänster ska leverera mer användbart och anpassat innehåll t ex mer relevanta sökresultat. Förbättra kvaliteten på våra tjänster och utveckla nya. Genomföra analyser och mätningar för att förstå hur våra tjänster används och vilka målgrupper vi når. Kommunikation i sociala Publicering i sociala Namn kanaler kanaler Kontaktperson/arrangör Telefon Mejladress Webbadress Organisationstillhörighet Laglig grund: Allmänt intresse, Samtycke eller Avtal. Laglig grund är beroende på syftet och ändamål. Lagringsperiod: Lagringen upphör inte automatiskt. 7
Mottagare som vi delar information med Andra medlemmar Andra intressenter Samarbetspartners Genom ett separat samtycke för våra medlemmar delar vi personuppgifter, såsom identitetsuppgifter, t.ex. namn, kontaktuppgifter, t.ex. e-postadress, för kommunikation och lämnande av erbjudanden/produkter om deras varor och tjänster. Vi kan i förekommande fall överföra dina personuppgifter till andra mottagare, t.ex. myndigheter och utvalda företag, än de som angivits ovan om det är nödvändigt för vissa syften, men vi säljer inte våra kontaktuppgifter vidare till tredje part. Kommunikation och erbjudanden Vi samlar i vissa fall (B2B) in personuppgifter från andra företag/juridiska personer för erbjudanden om våra egna och våra samarbetspartners varor och tjänster. Exempel på uppgifter som vi hämtar är namn, företag och kontaktuppgifter i syfte att kommunicera relevant information med dig och lämna erbjudanden. Du kan närsomhelst meddela oss att du inte längre vill ta del av våra erbjudanden, eller själv avregistrera dig i utskick. Rättslig grund att behandla dina personuppgifter Det kan förekomma att samma personuppgift behandlas både med stöd av flera rättsliga grunder, såsom fullgörande av avtalet, baserat på en intresseavvägning eller specifikt samtycke från dig, eller med stöd av att uppgiften är nödvändig för att uppfylla andra rättsliga förpliktelser. Det innebär att även om du återkallar ditt samtycke och den behandling som grundas på samtycket upphör, kan personuppgiften ändå vara nödvändig att spara för andra ändamål där personuppgiften fortfarande behövs. Samma personuppgift kan lagras på flera olika ställen för olika ändamål. Detta innebär att vi kan komma att radera en uppgift ur ett system när den inte längre behövs där, samtidigt som uppgiften kan komma att fortsätta lagras i ett annat system om ändamålet finns kvar för just det systemet. 8
Personuppgiftsbiträde Vi använder oss av ett antal olika IT-tjänster och IT-system i vår verksamhet. I vissa av dessa lagras och hanteras personuppgifter. I dessa fall är leverantören vårt personuppgiftsbiträde och hanterar uppgifterna på vårt uppdrag och enligt våra instruktioner. 6 DINA RÄTTIGHETER Återkallelse av samtycke Du kan återkalla ditt samtycke genom att kontakta info@visitvarmland.se. I de fall personuppgiften behandlas med annan rättslig grund kan personuppgiften finnas kvar hos oss på grund av andra ändamål. Rätt att få information om vilka personuppgifter vi har sparade om dig Du har rätt att få tillgång till de personuppgifter som vi har om dig. Rätt till kontroll över dina personuppgifter Du har rätt att begära att uppgifterna om dig ska raderas, kompletteras eller rättas. Du har också rätt att begära att behandlingen av dina personuppgifter begränsas till vissa ändamål och till exempel inte används för direktreklam eller s.k. profilering. 9