Styrelsens dokumentation rörande GDPR

Kategori: GDPR Publicerad måndag, 28 maj 2018 Skriven av Göran Jacobsson

GDPR är förkortning för General Data Protection Regulation och är EU:S dataskyddsförordning som nu blivit en del av den svenska lagstiftningen. Reglerna träder i kraft den 25 maj 2018.

GDPR reglerar vad som borde vara en självklarhet att vi som fysiska personer äger vår egna per­sonuppgifter (Pu) och att föreningen får låna dessa uppgifter endast om de skyddas mot insyn och förvaras säkert. Det är ett förhållningssätt som styrelsen hela tiden måste inta. För att klara detta måste styrelsen skaffa kunskap och utbilda dem som kan komma i kontakt med medlem­marnas Pu.

Nuläget

Kyrkvinden ekonomisk förenings förhållande till sina medlemmar re­gleras av föreningens stad­gar och därför håller föreningens styrelse en förteckning av Pu över sina medlemmar och före­ningen är således personuppgiftsansvarig (PuA) enligt GDPR. Antalet fysiska personer i Kyrk­vinden uppgår till 26 st och dokumentationen avser endast dessa medlemmar.

Styrelsen hanterar en­dast de Pu som krävs enligt föreningens stadgar. De Pu som styrelsen hante­rar lagras i en datafil som finns på datorer som är utrustade med nödvändiga säkerhetssystem till skydd mot datavirus hos föreningens VD och ordföranden.

• De uppgifter som hanteras är: namn, adress, postadress, telefonnummer, personnummer, antal andelar samt de eventuella andelstransaktioner som medlemmarna har utförts.
• Några känsliga personuppgifter hanteras inte.
• Uppgifter om minderåriga (barn) hanteras inte.

Av GDPR följer också att de personer som avslutat sina styrelseuppdrag i föreningen måste rade­ra de Pu som de eventuellt kan ha haft på sina datorer.

Extern hantering av Pu

De nuvarande affärstransaktionerna baseras på att föreningen överlåter sin elproduktion till el­handelsbolaget, för närvarande Kalmar Energi AB, som i sin tur säljer elen vidare till medlem­marna. Elhandelsbolaget är avtalspart mot medlemmarna och fakturerar dessa för leveranserna. För att förhindra ytterligare delning av Pu har Kyrkvinden tecknat så kallat Personuppgiftsbiträ­desavtal med bolaget.

• Elhandelsbolaget disponerar föreningens Pu endast under förutsättning att medlemmarna är kund hos bolaget.

• Personuppgifterna delas inte till någon annan

Varför hanterar föreningen Pu?

Föreningen hanterar medlemmarnas Pu som en följd av föreningens stadgar som är att betrakta som ett avtal som reglerar förhållandet till medlemmarna. Det utgör grunden för medlemskapet och i fall någon begär utträde ur föreningen så får inte föreningen längre hantera dennes Pu. De ska då tas bort ur hanteringen.

Dokumenthantering och styrelsekommunikation

Den dator som föreningens Pu hanteras med säkerhetskopieras med jämna mellanrum. Datafiler som innehåller Pu får lagras i molntjänster endast om vi har avtal (Pub) med denna leverantör. Vill man tillfälligtvis ta backup på data som innehåller Pu ska USB-minnen användas och förva­ras inlåsta. Vid mail-konversation inom styrelsen eller till medlemmar ska i möjligaste mån an­vändning av Pu undvikas. Rensning av mail ska göras löpande.

Information till medlemmarna

När Kyrkvinden Ef bildades gällde (PUL, Personuppgiftslagen) men skälen då var detsamma som nu till varför föreningen hanterar Pu, men eftersom GDPR torde ha längre gående krav på att informera berörda bör vi informera medlemmarna om vilka Pu vi hanterar. Brev med denna information sänds till medlemmarna (fysiska personer) under vecka 22 2018.

 

Styrelsen för Kyrkvinden Ekonomisk förening
Niclas Sjöberg

Träffar: 75