Datahantering på KKV GBG

2018 trädde General Data Protection Regulation (GDPR) i kraft i hela EU och KKV GBG lyder precis som andra organisationer under den, precis som vi tidigare har efterlevt Personuppgiftslagen (PUL) som den nya lagen ersätter. KKV GBG samlar in och behandlar information framförallt för att underlätta driften av föreningen och för att kommunicera med medlemmar. Vi behandlar även data vid ansökningar och rapporter till stiftelser, myndigheter och andra organisationer.

Målet för KKV GBG är att inte samla mer information om våra medlemmar än vad vi behöver för att kunna driva föreningen. Eftersom våra IT-resurser är begränsade så är vi hänvisade till att använda färdiga lösningar för datahantering vilket innebär att en del av vår data lagras och bearbetas på externa servrar.

Information som vi samlar och rutinmässigt behandlar

  • Namn
  • Födelsedag
  • Kön
  • Adress
  • Epost
  • Telefonnummer
  • Hemsida
  • Porträttfoto

Exempel på vad vi inte samlar in rutinmässigt

  • Personnummer
  • Folkbokföringsadress

Undantagsvis samlar vi in och bearbetar personnummer för t.ex. löneutbetalning eller när en medlem bedriver ett projekt där vi för att söka anslag behöver den uppgiften.

Informationsprocessen

När du söker medlemskap så fyller du i en ansökningsblankett med dina personuppgifter. Den blanketten läses in digitalt och skickas till styrelsen samt de verkstadsansvariga för bedömning. De kan skickas antingen direkt som bilaga till ett epost eller läggas upp på molnlagring – exempelvis Dropbox.

Om du får avslag på din ansökan så förs du inte in i några andra system, och din ansökan arkiveras. Anledningen till att vi behåller din ansökan är så att vi ska kunna göra en sammanställning av vilka som söker medlemskap på KKV GBG – vilka geografiska områden, ålder, osv – men inga identifierbara uppgifter behandlas vidare.

Om du blir godkänd så förs dina personuppgifter in i de system vi använder för att kommunicera och administera ditt medlemskap. I dagsläget använder vi följande system.

  • Fortnox: Alla personuppgifter. Används för fakturering.
  • Mailchimp: Epost och namn. Används för medlemsutskick.
  • Booked scheduler: Epost, namn, telefon, verkstadstillhörighet. Används för bokning av verkstäder.
  • Clickatell. Används för att göra massutskick via SMS inför evenemang eller driftstopp, och alla medlemmars namn och telefonnummer finns lagrade på deras server.
  • WordPress: Namn, epost, porträtt. Om du har en ansvarspost i föreningen visas du på hemsidan.
  • WordPress Trueform: Namn och epost. Används ifall du har förvaring på verkstan.
  • WordPress Ninjaforms: Namn, epost, adress och telefonnummer. Används för kursanmälningar, verksamhetsrapporter och övriga enkäter.
  • Nextcloud: Används för att dela dokument internt på kontoret samt till styrelsen, framförallt medlemsansökningar. Används även för styrelseprotokoll och andra arbetsdokument.

Vem har tillgång till din information

Vi har datorer på kontoret som används för att behandla personuppgifter – t.ex. kursanmälningar, medlemsansökningar, fakturering – och de backas upp regelbundet på en lokal disk. Endast anställda har direkt tillgång till den här informationen, och datorerna är lösenordsskyddade. Även styrelsen och medlemmar med förtroendeuppdrag har tillgång till de lokala datorerna – t.ex. för att göra ett medlemsutskick, se över förvaringslistorna eller kursanmälningar, osv.

Flera av våra system ligger i molnet, så teoretiskt sett har även de tjänsteleverantörer vi använder tillgång till informationen, men där det går så använder vi krypterad lagring. Kraven på access till de olika molnlagringarna är annars desamma som för de lokala systemen.

Informationens livslängd

När du avslutar medlemskap så tas du bort från Fornox, Booked Scheduler, Mailchimp samt från alla instanser på WordPress. Dina fakturor finns kvar i Fortnox, men du är inte längre registrerad som medlem och eventuella noteringar om ditt medlemskap – samt epost & telefonnummer – är raderade. Om vi har kvar din ursprungliga ansökan om medlemskap så finns den kvar i pappers och/eller digitalt format, sparad lokalt.

Om du har gått kurs hos oss, eller på annat sätt ingått ett ekonomiskt avtal, så finns du i våra faktureringssystem sålänge lagen kräver det.

Epost på KKV GBG

KKV GBG sparar i vanliga fall alla inkommande och utgående epost som skickas till domänen @kkvgbg.se. Vi använder det för att kunna behandla aktuella ärenden men även för att kunna följa upp tidigare beslut och diskussioner, bestridning av fakturor, osv. Eftersom vi inte har något ärendehanteringssystem och det årligen tillkommer styrelsemedlemmar, verkstadsansvariga och andra förtroendeposter så använder vi epost för att få kontinuitet i verksamheten.

Föreningen eftersträvar att hålla god eposthygien och gör inte massutskick där medlemmars epost är synliga. Eftersom även styrelse och verkstadsansvariga gör utskick så försöker vi internutbilda alla berörda i hur hanteringen ska gå till.

Utdrag, ändring och borttagning

Om du har ansökt om medlemskap, är befintlig eller tidigare medlem, och vill se vilka personuppgifter vi har om dig så hör av dig till kansliet. Om du vill att vi tar bort någon information som vi har om dig så gör vi det såklart om vi inte är lagbundna att behålla informationen (t.ex. för bokföring eller redovisning).

Agerande vid överträdelser, datorintrång, missbruk, osv.

Skulle personuppgifter om medlemmar på något sätt missbrukas eller misstänkas kunna missbrukas – t.ex. p.g.a. datorintrång – så kommer de berörda att informeras omgående. Om du tror att din data via KKV GBG har hamnat, eller riskerar att hamna i orätta händer, så hör av dig omgående till info@kkvgbg.se

GDPR-ansvarig: Mateusz Pożar | mateusz@kkvgbg.se