Integritetsskyddspolicy


Definitioner

Personuppgiftsansvarig (PuA) Personuppgiftsansvarig är den organisation, som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.
Organisation Shelterbox Sverige ideell förening, organisationsnummer 802477-0987
Dataskyddslagen Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning
Register över system Register över alla system eller sammanhang där personuppgifter behandlas av Organisationen.

1. Dataskyddsprinciper

Organisationen har åtagit sig att behandla data i enlighet med sina skyldigheter enligt Dataskyddslagen.

Dataskyddslagen kräver att personuppgifter ska:

  • behandlas lagenligt, rättvist och på ett öppet sätt i förhållande till individer;
  • samlas in för specificerade, uttryckliga och legitima ändamål och inte vidarebehandlas på ett sätt som är oförenligt med dessa ändamål; ytterligare behandling för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska inte anses vara oförenlig med de ursprungliga syftena;
  • adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas;
  • korrekta och vid behov uppdaterade; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga, med hänsyn till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål;
  • förvaras i en form som tillåter identifiering av registrerade inte längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter kan lagras under längre perioder i den mån personuppgifterna kommer att behandlas enbart för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål med förbehåll för genomförandet av lämpliga tekniska och organisatoriska åtgärder som krävs av dataskyddsmyndigheten för att skydda individers rättigheter och friheter; och
  • behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska eller organisatoriska åtgärder.

2. Allmänna bestämmelser

  • Denna policy gäller för alla personuppgifter som behandlas av organisationen.
  • Personuppgiftsansvarig ska ta ansvar för organisationens fortlöpande efterlevnad av denna policy.
  • Denna policy ska ses över minst en gång per år.

3. Laglig, rättvis och transparent behandling

  • För att säkerställa att dess behandling av uppgifter är lagenlig, rättvis och transparent ska organisationen föra ett systemregister.
  • Systemregistret ska ses över minst en gång per år.
  • Individer har rätt att få tillgång till sina personuppgifter och alla sådana förfrågningar som görs till organisationen ska behandlas i tid.

4. Lagliga ändamål

  • All data som behandlas av organisationen måste göras på en av följande lagliga grunder: samtycke, kontrakt, rättslig skyldighet, vitala intressen, offentliga uppgifter eller legitima intressen
  • Organisationen ska notera lämplig laglig grund i systemregistret.
  • Om samtycke åberopas som en laglig grund för behandling av uppgifter, ska bevis på samtycke för att delta ska förvaras tillsammans med personuppgifterna.
  • När meddelanden skickas till individer baserat på deras samtycke, bör möjligheten för individen att återkalla sitt samtycke vara tydligt tillgänglig och system bör finnas på plats för att säkerställa att sådan återkallelse återspeglas korrekt i organisationens system.

5. Dataminimering

  • Organisationen ska säkerställa att personuppgifter är adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas.

6. Noggrannhet

  • Organisationen ska vidta rimliga åtgärder för att säkerställa att personuppgifter är korrekta.
  • Om det är nödvändigt för den lagliga grund på vilken uppgifterna behandlas, ska åtgärder vidtas för att säkerställa att personuppgifter hålls uppdaterade.

7. Arkivering/borttagning

  • För att säkerställa att personuppgifter inte bevaras längre än nödvändigt, ska organisationen införa en arkiveringspolicy för varje område där personuppgifter behandlas och se över denna process årligen.
  • Arkiveringspolicyn ska överväga vilka uppgifter som ska/måste sparas, hur länge och varför.

8. Säkerhet

  • Organisationen ska säkerställa att personuppgifter lagras säkert med hjälp av modern mjukvara som hålls uppdaterad.
  • Tillgången till personuppgifter ska begränsas till funktionärer som behöver åtkomst och lämplig säkerhet bör finnas för att undvika obehörigt utbyte av information.
  • När personuppgifter raderas bör detta ske på ett säkert sätt så att uppgifterna inte går att återställa.
  • Lämpliga lösningar för säkerhetskopiering och katastrofåterställning ska finnas på plats.

9. Överträdelse

I händelse av ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personuppgifter, ska organisationen omedelbart bedöma risken för människors rättigheter och friheter och vid behov rapportera detta brott till Integrationsskyddsmyndigheten.

Denna Integrationsskyddspolicy uppdaterades senast 2023-11-21