GDPR är förkortning för General Data Protection Regulation och är EU:S dataskyddsförordning som nu blivit en del av den svenska lagstiftningen. Reglerna träder i kraft den 25 maj 2018.
GDPR reglerar vad som borde vara en självklarhet att vi som fysiska personer äger vår egna personuppgifter (Pu) och att föreningen får låna dessa uppgifter endast om de skyddas mot insyn och förvaras säkert. Det är ett förhållningssätt som styrelsen hela tiden måste inta. För att klara detta måste styrelsen skaffa kunskap och utbilda dem som kan komma i kontakt med medlemmarnas Pu.
Nuläget
Kyrkvinden ekonomisk förenings förhållande till sina medlemmar regleras av föreningens stadgar och därför håller föreningens styrelse en förteckning av Pu över sina medlemmar och föreningen är således personuppgiftsansvarig (PuA) enligt GDPR. Antalet fysiska personer i Kyrkvinden uppgår till 26 st och dokumentationen avser endast dessa medlemmar.
Styrelsen hanterar endast de Pu som krävs enligt föreningens stadgar. De Pu som styrelsen hanterar lagras i en datafil som finns på datorer som är utrustade med nödvändiga säkerhetssystem till skydd mot datavirus hos föreningens VD och ordföranden.
• De uppgifter som hanteras är: namn, adress, postadress, telefonnummer, personnummer, antal andelar samt de eventuella andelstransaktioner som medlemmarna har utförts.
• Några känsliga personuppgifter hanteras inte.
• Uppgifter om minderåriga (barn) hanteras inte.
Av GDPR följer också att de personer som avslutat sina styrelseuppdrag i föreningen måste radera de Pu som de eventuellt kan ha haft på sina datorer.
Extern hantering av Pu
De nuvarande affärstransaktionerna baseras på att föreningen överlåter sin elproduktion till elhandelsbolaget, för närvarande Kalmar Energi AB, som i sin tur säljer elen vidare till medlemmarna. Elhandelsbolaget är avtalspart mot medlemmarna och fakturerar dessa för leveranserna. För att förhindra ytterligare delning av Pu har Kyrkvinden tecknat så kallat Personuppgiftsbiträdesavtal med bolaget.
• Elhandelsbolaget disponerar föreningens Pu endast under förutsättning att medlemmarna är kund hos bolaget.
• Personuppgifterna delas inte till någon annan
Varför hanterar föreningen Pu?
Föreningen hanterar medlemmarnas Pu som en följd av föreningens stadgar som är att betrakta som ett avtal som reglerar förhållandet till medlemmarna. Det utgör grunden för medlemskapet och i fall någon begär utträde ur föreningen så får inte föreningen längre hantera dennes Pu. De ska då tas bort ur hanteringen.
Dokumenthantering och styrelsekommunikation
Den dator som föreningens Pu hanteras med säkerhetskopieras med jämna mellanrum. Datafiler som innehåller Pu får lagras i molntjänster endast om vi har avtal (Pub) med denna leverantör. Vill man tillfälligtvis ta backup på data som innehåller Pu ska USB-minnen användas och förvaras inlåsta. Vid mail-konversation inom styrelsen eller till medlemmar ska i möjligaste mån användning av Pu undvikas. Rensning av mail ska göras löpande.
Information till medlemmarna
När Kyrkvinden Ef bildades gällde (PUL, Personuppgiftslagen) men skälen då var detsamma som nu till varför föreningen hanterar Pu, men eftersom GDPR torde ha längre gående krav på att informera berörda bör vi informera medlemmarna om vilka Pu vi hanterar. Brev med denna information sänds till medlemmarna (fysiska personer) under vecka 22 2018.
Styrelsen för Kyrkvinden Ekonomisk förening
Niclas Sjöberg