Policy för GDPR och hantering av personuppgifter

Terminsräkningsföreningens (TRF) policy för dataskydd och informationssäkerhet gällande behandling av personuppgifter enligt General Data Protection Regulation (GDPR).

Innehåll

1. Syfte 2. Definitioner 3. Behandling av personuppgifter 4. Ändamål och laglig grund 5. Mottagare av personuppgifter 6. Geografiskt område för behandling 7. Lagringsperiod 8. Säkerhet 9. Personuppgiftsbiträden 10. Enskilds rättigheter som registrerad 11. Kontakt 12. Ändringar

1. Inledning och syfte

Syftet med denna personuppgiftspolicy är att på ett öppet och transparent sätt visa hur Terminsräkningsföreningen (TRF) behandlar personuppgifter. I och med registrering och betalning av medlemskap genom tillhandahållna tjänster såsom, www.studentlund.se, kommer TRF att samla in och behandla personuppgifter om den enskilde i syfte att administrera ditt medlemskap och så att du på bästa möjliga sätt ska kunna ta del av Lunds studentliv.

TRF tar den personliga integriteten på allvar och syftet med denna datapolicy är att säkerställa att de personuppgifter som behandlas av TRF och relevanta organisationer knutna till medlemskapet endast används för avsedda ändamål, samt att de enskilda skyddas mot obehörig åtkomst och användning av deras personuppgifter.

Genom att teckna ett medlemskap genom www.studentlund.se går du som student med i någon av anslutna medlemsorganisationer till TRF. TRF tillhandahåller och administrerar medlemskapet, medlemsregister, studentkort och terminsräkningar för den enskilde i vilka organisationer denne avser att vara medlem däruti.

Den här policyn beskriver den information TRF behandlar, vilka som har rätt att ta del av medlemsinformationen samt vilka rättigheter den registrerade har i samband med behandling av personuppgifter.

Denna personuppgiftspolicy har fastställts av TRFs medlemsorganisationer på årsstämman.

2. Definitioner

Personuppgifter avser all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Behandling av Personuppgifter avser varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter t.ex. insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Personuppgiftsansvarig avser den juridiska person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för Behandling av Personuppgifter.

Personuppgiftsbiträde avser den som utför Behandling Personuppgifter på uppdrag av en Personuppgiftsansvarig.

Dataskyddslagstiftning avser tillämplig dataskyddslagstiftning, till exempel dataskyddsförordningen (GDPR) och nationell lagstiftning som implementerar GDPR.

EU/EES avser Europeiska Unionen/Europeiska Ekonomiska Samarbetsområdet.

Regulatorisk Lagstiftning avser tillämpliga regler och lagstiftning, till exempel avseende bokföring och studentkårer.

Mottagare avser en fysisk eller juridisk person, myndighet eller annat organ som Personuppgiftsansvarig kan komma att lämna ut Personuppgifter till.

Medlem avser en fysisk person som i enlighet med Medlemsorganisations stadga är att anses som medlem i Medlemsorganisation.

Medlemskap avser medlemskap tecknat genom TRF i Medlemsorganisation.

Medlemsorganisation avser de till TRF anslutna studentkårerna och studentnationerna vid Lunds universitet samt i övriga Skåne.

TRF avser Terminsräkningsföreningen (TRF), org.nr. 845003-1813.

3. Behandling av personuppgifter

Insamling av Personuppgifter och kategorier av registrerade

Personuppgifter kan samlas in direkt från Medlem och från externa källor, till exempel från offentliga register och betalningsförmedlare. TRF kan också spara e-posthistorik eller på annat sätt dokumentera Medlems interaktion och kommunikation med TRF.

TRF samlar främst in och utför Behandling av Personuppgifter om fysiska personer som är Medlem eller önskar bli Medlem i Medlemsorganisation. TRF samlar också in och utför Behandling av Personuppgifter från till exempel betalare.

Kategorier av Personuppgifter

Kategorier av Personuppgifter som TRF samlar in och utför Behandling av är exempelvis:

  • Identifikations- och kontaktuppgifter: Exempelvis namn, personnummer eller motsvarande, födelsedatum, adress, e-postadress och telefonnummer.
  • Uppgifter om Medlemskap: Exempelvis uppgifter om Medlemskap i Medlemsorganisation.
  • Uppgifter om betalningar: Exempelvis uppgifter om betalningar, inklusive den information den enskilde anger vid betalning. Beroende på betalsätt kan uppgifterna till exempel inkludera avsändarens namn, adress och telefonnummer.
  • Uppgifter om studier: Exempelvis uppgifter om antagning och registreringar för innevarande, kommande och föregående termin.

4. Ändamål och laglig grund

Fullgörande av Medlemskap

TRF utför huvudsakligen Behandling av Medlems Personuppgifter för att dokumentera, verkställa och administrera Medlems Medlemskap i Medlemsorganisationer. Exempel på ändamål för Behandling är:

  • För att hantera relationen med Medlem och administrera Medlems Medlemskap i Medlemsorganisationer.
  • För att tillhandahålla medlemskapsbevis i form av studentkort.
  • För att administrera rätt till reserabatter på studentkort.

Rättslig förpliktelse

För att TRF ska kunna uppfylla sina rättsliga förpliktelser utför TRF Behandling av Personuppgifter enligt Regulatorisk Lagstiftning och Dataskyddslagstiftning. Exempel på ändamål för Behandling är:

  • För att uppfylla kraven avseende bokföringslagstiftning.
  • För att behålla Personuppgifter uppdaterade och korrekta.

Berättigat intresse

I vissa fall utför TRF Behandling av Medlems Personuppgifter baserat på TRF:s berättigade intresse. TRF har bedömt att denna Behandling är nödvändig för ändamålet med de berättigade intressen som eftersträvas av TRF och som TRF har bedömt väger tyngre än Medlem intressen av skyddet för Personuppgifter. Exempel på ändamål för Behandling är:

  • För att skydda Medlems och/eller TRF:s intresse, inklusive säkerhetsåtgärder
  • För att utveckla, undersöka och förbättra TRF:s verksamhet och Medlems användarupplevelse genom att utföra enkäter, analyser och skapa statistik.
  • För att fastställa, utöva och försvara rättsliga anspråk samt hantera klagomål.

Samtycke

I vissa fall kommer TRF fråga efter Medlems samtycke till Behandling av Personuppgifter. Innan Medlem lämnar sitt samtycke kommer Medlem att få information om Behandlingen.

Samtycke kan när som helst återkallas. Den Behandling som TRF redan har gjort påverkas inte, men TRF kommer inte att fortsätta utföra Behandling av Personuppgifter om TRF inte har en annan grund för Behandlingen än det samtycket avsåg.

5. Mottagare av personuppgifter

Som en del av Behandlingen kan TRF komma att lämna ut Medlems Personuppgifter till Mottagare, exempelvis leverantörer och samarbetspartner. TRF kommer inte lämna ut mer Personuppgifter än nödvändigt för ändamålet för utlämning och endast i enlighet med Regulatorisk Lagstiftning och Dataskyddslagstiftning.

Mottagare kan utföra Behandling av Medlems Personuppgifter enligt Regulatorisk Lagstiftning och Dataskyddslagstiftning. När Mottagaren utför sådan Behandling kan Mottagaren vara ansvarig för att tillhandahålla information avseende Behandlingen till Medlem.

TRF kan komma att lämna ut Personuppgifter till Mottagare, exempelvis:

  • Studentkortleverantörer, till exempel "Studentkortet" som bland annat tillhandahåller medlemskapsbevis i form av Studentkort
  • Finansiella och juridiska konsulter, revisorer eller andra tjänsteleverantörer till TRF
  • Leverantörer och samarbetsparter, till exempel av IT-tjänster

6. Geografiskt område för Behandling

Som huvudregel sker Behandlingen av Medlems Personuppgifter inom EU/EES men i vissa fall överförs Personuppgifter till länder utanför EU/EES där Behandling utförs.

Överföringen till och Behandlingen av Personuppgifter utanför EU/EES kan ske under förutsättning att det finns en laglig grund och att lämpliga säkerhetsåtgärder. Lämpliga säkerhetsåtgärder är exempelvis:

  • Ett avtal som omfattar EU-standardavtalsklausuler eller andra klausuler, uppförandekoder eller certifieringar godkända i enlighet med Dataskyddslagstiftning
  • Landet utanför EU/EES där Mottagaren är belägen har en adekvat skyddsnivå som fastställts av EU-kommissionen.

På begäran kan Medlem få ytterligare information om överföring av Personuppgifter till länder utanför EU/EES.

7. Lagringsperiod

Personuppgifter lagras inte längre än nödvändigt för de ändamål Behandling av Personuppgifterna utförs eller enligt krav i Regulatorisk Lagstiftning eller Dataskyddslagstiftning. Till exempel kommer TRF lagra Personuppgifter efter Medlemskapet har löpt ut, för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Personuppgifter lagras också baserat på TRF:s berättigade intresse.

8. Säkerhet

Inom ramen för Dataskyddslagstiftning ska TRF genom denna policy säkerställa sekretess för Personuppgifter och att lämpliga tekniska och organisatoriska åtgärder är implementerade för att skydda Personuppgifter från obehörig åtkomst, röjande av uppgift, oavsiktlig förlust, ändring, förstörelse eller annan olovlig Behandling.

9. Personuppgiftsbiträden

TRF kan använda godkända Personuppgiftsbiträden för Behandling av Personuppgifter. I sådana fall vidtar TRF nödvändiga åtgärder för att säkerställa att Personuppgiftsbiträden Behandlar Personuppgifter enligt TRF dokumenterade instruktioner, krav på nödvändiga och adekvata säkerhetsåtgärder samt i enlighet med Dataskyddslagstiftning och Regulatorisk Lagstiftning.

Exempel på Personuppgiftsbiträden är:

  • Leverantör av IT-system för att administrera Medlemskap

10. Enskilds rättigheter som registrerad

Medlem har rättigheter som registrerad avseende TRF:s Behandling av Personuppgifter enligt Dataskyddslagstiftningen. Rättigheterna är generellt sett följande:

  • Att kräva att Medlems Personuppgifter rättas om de otillräckliga, ofullständiga eller felaktiga.
  • Att invända mot behandling av Medlems Personuppgifter.
  • Att kräva radering av Medlems Personuppgifter.
  • Att begränsa behandlingen av Medlems Personuppgifter.
  • Att erhålla information om Medlems Personuppgifter behandlas av TRF och om så är fallet, få en kopia på Personuppgifter.
  • Att erhålla Personuppgifter som har tillhandahållits av Medlem och som Behandlas baserat på samtycke eller fullgörande av avtal, i skriftligt format eller vanligt använt elektroniskt format och, när möjligt, överföra sådana Personuppgifter till en annan tjänsteleverantör (så kallad "dataportabilitet").
  • Att återkalla samtycke till att Behandling av Medlems Personuppgifter.
  • Att begränsa Behandlingen av Medlems Personuppgifter för direktmarknadsföring.

Du som enskild kan framföra klagomål avseende TRF:s Behandling av Personuppgifter till Datainspektionen (www.datainspektionen.se) om du anser att Behandlingen kränker dina rättigheter och intressen enligt Dataskyddslagstiftning.

11. Kontakt

Du kan kontakta TRF med begäran om registerutdrag, återkallande av samtycke eller avseende andra rättigheter som registrerad, inklusive framföra klagomål angående Behandlingen av dina Personuppgifter.

Som Medlem kan du uppdatera adress och vissa andra Personuppgifter på TRF:s webbsidor för Medlem. Du kan även kontakta Medlemsorganisation för att få hjälp med uppdatering av Personuppgifter.

Du kan alltid kontakta Terminsräkningsföreningen (TRF) för utövande av dina rättigheter som registrerad.

Terminsräkningsföreningen (TRF)
Sandgatan 2
223 50 Lund
Org.nr. 845003-1813

Fullständiga kontaktuppgifter finns på TRF:s webbsida (trf.lu.se)

12. Ändringar

TRF uppdaterar policyn i enlighet med Terminsräkningsföreningens (TRF) stadgar och träder i kraft omedelbart efter fastställande av föreningsstämman. Detta sker till exempel när nya ändamål för Behandlingen läggs till eller när Behandling sker av ytterligare kategorier av Personuppgifter.

Den senaste versionen av denna policy finns på TRF:s webbsida (trf.lu.se).

Senast uppdaterad 19 november 2020.

Startsida Hem Frågor och svar Villkor Kontakt Om TRF Statistik