Integritetspolicy samt rutin kring hantering av personuppgifter inom SFOHH
Personuppgifter som behandlas av SFOHH
Personuppgifter är information som direkt eller indirekt kan härledas till en fysisk person. De uppgifter som samlas in till SFOHH medlemsregister är namn, personnummer, e-postadress, postadress, arbetsplats, mobiltelefonnummer samt utbildningsnivå (ST-läkare eller färdig specialist).
I samband med möten i föreningens regi kan ytterligare information efterfrågas såsom arbetsplats, fakturaadress samt uppgifter kopplade till mötet eller tillhörande måltider. Vid ansökan om stipendier och priser som delas ut av föreningen kan även information kring kontonummer efterfrågas inför utbetalning av ersättning. På hemsidan förekommer namn på medlemmar med förtroendeuppdrag, ibland även e-postadress. Bild på styrelsemedlemmar är synligt.
Föreningens tidskrift är tillgänglig både i pappers- samt elektronisk form via hemsidan, vari namn och ibland bild på författaren förekommer.
Lösenordskyddat finns även ”web-föreläsningar” där videomaterial med namn och bild på föreläsare förekommer. Vid mail kopplat till ”@sfohh.se” kan namn på personer förekomma.
Bakgrund till varför SFOHH behandlar personuppgifter
§12 stadgarna reglerar SFOHHs uppgift som förening. Sammanfattningsvis skall ÖNHspecialitetens utveckling främjas, vetenskapliga möten anordnas och medlemmarnas sociala och ekonomiska intressen tas tillvara. Även att en god anda skall upprätthållas inom föreningen.
SFOHH använder personuppgifter i syfte att kunna bedriva denna stadgereglerande verksamhet. De uppgifter som hanteras eller sparas i medlemsregistret krävs för att exempelvis genom ekonomiska transaktioner ta in medlemsavgift, kommunicera med samt informera medlemmarna i viktiga frågor samt sprida kunskap och vetenskap relaterad till vår specialitet.
Laglig grund till behandling av personuppgifter
Genom att ansöka om medlemskap i föreningen godkänns indirekt att de personuppgifter som lämnas ut, behandlas och lagras i SFOHH medlemsregister sker utifrån föreningens stadgereglerade verksamhet. Den lagliga grunden är således i första hand det avtal och indirekta samtycke som lämnas när medlemskap ingås genom ansökan samt betalning av medlemsavgift. Föreningens verksamhet kan ej bedrivas utan tillgång till dessa nödvändiga personuppgifter. Det finns även en rättslig förpliktelse som laglig grund utifrån hantering av
medlemsavgift baserat på skatte- och bokföringslagar.
I samband med möten eller utbildningar som arrangeras via SFOHH baseras personuppgiftshanteringen på samma lagliga grund som ovan utifrån att dessa aktiviteter är en viktig del av föreningens stadgereglerade verksamhet. Vid möten bör även samtycke kring hanteringen av personuppgifter inhämtas i samband med anmälan och bygger då på upprättat avtal.
Att inneha ett förtroendeuppdrag inom SFOHH bygger även på en laglig grund genom avtal och indirekt samtycke som lämnas genom att man godtar uppdraget inom föreningen. Att ingå i styrelsen för SFOHH innebär att personuppgifter behöver göras synliga i syfte att medlemmarna och externa aktörer kan kommunicera mot styrelsen, vilket ligger i linje med föreningens uppdrag. Utöver styrelsen finns även andra viktiga förtroendeuppdrag inom föreningen vilka bygger på samma lagliga princip som ovan. När bild förekommer på
hemsidan lämnas muntligt samtycke till hanteringen och sker därmed enligt överenskommet avtal.
En mindre del av SFOHH verksamhet sparas utifrån ett historiskt intresse som laglig grund. Det kan gälla namn på medlemmar som erhållit priser, stipendier eller andra hedersutmärkelser. Det kan även röra sig namn på personer med förtroendeuppdrag inom eller utanför styrelsen. På kort sikt finns personuppgift i form av namn tillgänglig på föreningens hemsida, ibland även i föreningens tidskrift. På längre sikt arkiveras en del av
denna information i det så kallade TAM-arkivet.
Ansvar
Ytterst är det hela SFOHH styrelse som är ansvarig för personuppgiftshanteringen, medlemsregistret samt att dataskyddsförordningen (GDPR) efterlevs (kontaktperson GDPR är SFOHH ordförande). Inom SFOHH styrelse har kassören uppdraget som medlemsregisteransvarig. Föreningen har en medlemsadministratör och administrativt stöd. För ST-läkare finns även inom Otolitens styrelsen en medlemsansvarig.
Dataskyddsombud saknas då känsliga personuppgifter ej hanteras inom föreningen.
Personuppgiftsbiträdesavtal är upprättat mellan SFOHH och Föreningshuset samt tryckeriet av föreningens tidskrift (Svensk ÖNH-tidskrift).
Hantering, lagring, tillgång till samt utlämnande av data från medlemsregistret
Medlemsregister lagras hos Föreningshuset. Data förvaras säkert och tillgång till registret sker endast via inloggning via lösenord. Inom SFOHH har föreningens ordförande och kassör tillgång till data, utöver detta föreningens kontaktperson för registret.
ST-läkare inom SFOHH innehar samtidigt medlemskap inom undersektionen ”Otoliten”. Eftersom det finns ett behov av riktad information och aktiviteter för ST-läkare, fortsatt i enlighet med de stadgar som gäller för SFOHH, har Otolitens ordförande samt medlemsansvariga även tillgång till registret.
Vid byte av styrelse inom SFOHH eller Otoliten där ovan poster byts ut, åligger det ordförande i SFOHH att informera Föreningshuset för att uppdatera tillgång till registret.SFOHH medlemstidning (Svensk ÖNH tidskrift) skickas ut per post fyra gånger per. Tryckeriet erhåller inför varje nummer namn och postadresser från medlemsregister via en säker överföring av data. Hanteringen säkerställs via ett personuppgiftsbiträdesavtal, personuppgifter sparas ej.
Inga uppgifter lämnas ut från medlemsregistret oavsett syfte. Det gäller därmed exempelvis även andra medlemmar som vill ha kontakt med en kollega eller i annat fall en extern organisation som efterfrågar information. Om personuppgifter framöver skall lämnas ut behöver medlemmarna först lämna samtycke till detta, vilket saknas idag.
Samkörning av medlemsregistret kan komma ske mot befolkningsregistret eller motsvarande i syfte att finna medlemmar som gått bort alternativt säkerställa rätt postadress.
Överföring av personuppgifter till tredje land kan, inom eller utom EU, i enstaka fall ske genom att namn på styrelsemedlem eller kontaktperson kopplat till möte/kongress synliggörs via föreningens e-postkonto ”@sfohh.se”. Mottagare är universitet eller andra specialitetsföreningar/organisationer till vilken föreningens verksamhet har en koppling eller åtagande. I övrigt överförs ej några personuppgifter.
Hantering av personuppgifter bygger på en tydlig ändamålsbegränsning där föreningens stadgereglerade verksamhet skapar gällande gränsdragning. Personuppgifter kommer därmed inte att utsättas för automatiskt beslutsfattande. De används heller inte till profilering. Marknadsföring av till föreningen icke relaterad verksamhet skall ej förekomma.
Personuppgifter skall inte sparas längre än vad som är nödvändigt och endast så länge som behandlingen kräver, undantaget om inte annat har överenskommits.
Vilka utskick av e-post får ske till medlemmarna?
Att via e-post informera medlemmarna kring föreningsrelaterade aktiviteter är en enkel och miljömedveten lösning. Utskick kan gälla viktig information och påminnelser kring möten eller utbildningar inom ÖNH (av SFOHH arrangerade möten alternativt de kongresser eller utbildningar som av styrelsen anses vara av högt värde för specialiteten). Det kan även gälla viktig information kring föreningen eller specialiteten, exempelvis kallelse till ordinarie eller extra föreningsmöten. Ärenden som inte gäller ovan anledningar får beslutas av styrelsen utifrån om de kan ha stöd av föreningens stadgar i sitt syfte att nå ut via medlemsregistret.
Rutin vid arrangering av större möten eller kongresser inom föreningens verksamhet
Vid större möten eller kongresser bör samtycke tas in i samband med anmälan där det framgår hur hanteringen av personuppgifter sker, inklusive hur länge dessa sparas samt medlemmens rättigheter. Samkörning mot SFOHH medlemsregister kan ske i de fall när detta krävs, exempelvis när reducerad deltagaravgift efterfrågas för medlemmar.
Information som samlas in vid mötesdeltagande skall inte sparas längre än nödvändigt, en rimlig maximal tidsperiod för detta är två år.
Medlems rättigheter gällande personuppgifter
Genom att kontakta SFOHH via kontaktperson för medlemsregistret på info@orlforum.se kan följande uppdrag utföras:
- SFOHH skall på en medlems begäran av registerutdrag tillhandahålla kopia på sparade personuppgifter. Felaktiga uppgifter skall på begäran korrigeras.
- Man kan som medlem när som helst gå ur föreningen varpå ens personuppgifter skall raderas i medlemsregistret så fort så är möjligt.
- Man har som medlem rätt att neka utskick via e-post, vid dessa tillfällen skall registeransvarig kontaktas och e-postadress raderas ur registret varpå utskicken uteblir.
- Personuppgifter på hemsidan skall tas bort på begäran.
Man har som medlem rätt att inge klagomål avseende SFOHH behandling av personuppgifter till Datainspektionen (besök www.datainspektionen.se).
Incidentspolicy
I första hand syftar föreningens rutiner att skapa en hög säkerhet kring hanteringen av personuppgifter. En personuppgiftsincident är en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas, samt en möjlig risk för medlemmarnas friheter och rättigheter (exempelvis att någon obehörig tar del eller riskerar ta del av föreningens personuppgifter). En personuppgiftsincident skall anmälas till datainspektionen inom 72 timmar.
Dokumentation samt register över behandling
Denna integritetspolicy utgör rutin för hantering av personuppgifter inom SFOHH. Den skall finnas tillgänglig i elektroniskt format på föreningens hemsida (ej lösenordskyddad), uppdaterad och tillgänglig för datainspektionen. På hemsidan finns kontaktuppgifter till styrelsen i egenskap av personuppgiftsansvariga.
Frågor
Vid frågor kontakta SFOHH styrelse och i första hand medlemsansvarige på medlem@sfohh.se. Kontaktuppgifter finns tillgängliga på föreningens hemsida.
2018-10-14
Per von Hofsten, Ordförande SFOHH