Åtgärdsplan för uppfyllande av dataskyddsreformen/Uppföljning av GDPR-arbetet

Denna sida är för närvarande under omarbetning, hjälp gärna till.
Denna mall tas bort när sidan är klar.

Åtgärdsplan för uppfyllande av dataskyddsreformen redovisar hur Wikimedia Sverige arbetar för att uppfylla EU:s dataskyddsförordning, som börjar gälla den 25 maj 2018. På denna sida loggas vidtagna åtgärder och pågående utredningspunkter.

Uppdaterad integritetspolicy

Föreningens integritetspolicy är uppdaterad för att följa GDPR. Den innehåller flera stödsidor, som förklarar Dataskyddsförordningen och hur Wikimedia Sverige uppfyller den.

Uppföljning av GDPR-arbetet

13 frågor att ta ställning till

Avstämning av Datainspektionens 13 frågor.

Åtgärd	Svar	Kommentar
1. Är er organisation medveten om EU:s nya dataskyddsförordning?	Ja	Arbetet med GDPR har inletts och redovisas på denna sida.
2. Vilka personuppgifter hanterar ni?	Bokföring, medlemsregister, e-postlistor, volontärlistor, presslistor, VIP-lista, inbjudningslistor, personal- och styrelseinfo (info hos banker etc, info på hemsida om vilka som arbetar och ingår i styrelsen), donationslistor (om donatorn valt att inte vara anonym), webbplatsstatistik (anonymiserad)	Se Integritetspolicy. Förteckningen genomgången 2017-07-11. Webbplatsstatistiken kommer även fortsättningsvis att vara anonymiserad.
3. Använder ni missbruksregeln idag?	Troligen Vi behöver se över rutiner i enlighet med Datainspektionens rekommendationer.	Personuppgifter finns i löpande text, det vill säga i ostrukturerad form. Vidare undersökning behöver göras. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. Läs mer hos Datainspektionen. Enligt PUL får personuppgifter hanteras så länge de inte är kränkande, eller om de lagras på annat sätt än i traditionella databaser enligt den så kallade "Missbruksregeln". Det gäller ljudfiler, bilder och bloggtexter. En rekommendation är att skaffa utgivningsbevis för bloggar. [1] Idg:s ordlista. Åtgärder: Fortsättningsvis skall personuppgifter inte hanteras i löpande text, och e-postrutiner för undvikande av personuppgifter i e-post upprättas. En genomgång av wikin efter personuppgifter bör göras, och uppgifter rensas om möjligt. Namn på styrelseledamöter, funktionärer och anställda, samt ordförande och sekreterare på årsmöten, betraktas som icke känslig information och kan behållas.
4. Vilken information lämnar ni?	Styrelsemedlemmar och personal till myndigheter, banker etc..	Ingen information lämnas till WMF.
5. Hur ska ni tillmötesgå de registrerades rättigheter? De viktigaste rättigheterna för de registrerade är att: få tillgång till sina personuppgifter få felaktiga personuppgifter rättade få sina personuppgifter raderade invända mot att personuppgifterna används för direktmarknadsföring invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering flytta personuppgifterna (dataportabilitet)	Medlemsregistret kommer att hanteras i molntjänst i Sverige. Medlemmar har möjlighet att själva uppdatera information. Tydligt medgivande skall finnas på den sidan. Betalning/donation görs mot Fortnox. Bokföringslagens krav skall uppfyllas och medgivande skall kunna lämnas. Medlemsutskick kommer att hanteras via medlemstjänsten, i vilken medlemmarna själva kan ange om de är intresserade av information. Andra typer av e-postutskick.	Säkerställ att molntjänsteleverantören satt sig in i GDPR. Säkerställ att vi kan rensa bland donationskommentarer. Återstår att välja tjänst för e-postutskick, placerad inom EU. Förteckning över vilka e-postlistor och andra typer av listor med personuppgifter (t.ex. volontärlistor) som finns skall upprättas. Använd egen molntjänst för att lagra dokument. Undvik att ha personuppgifter som del i andra dokument, utan länka istället till dedikerad lista. Personuppgifter skickas inte via mejl, utan som länk till ovan nämnda listor. Bekräftelsemejl när support till gemenskapen getts till enskild person - skapa standardtext. Begär e-post om det givits via telefon. Motsvarande text kan användas vid event. Krävs aktivt svar? Överväg om måltal för kontakter med VIP-personer skall omformuleras för att undvika behov av medgivande. Teknikpoolslistan på wikin: Lägg till förtydligande om att låntagaren har rätt att vara anonym på den öppna listan. Om man uppger sitt riktiga namn skall man vara medveten om att detta medför medgivande enligt vår integritetspolicy. Gör det tydligt att när man skapar konto på wikin är det ett konto för alla WMF:s wikis och att man har rätt att använda en pseudonym. Gör en allmän formulering i integritetspolicyn om vad det innebär för personer med "officiellt uppdrag", t.ex. anställd, styrelseledamot, valberedning eller årsmötesordförande etc. Tydliggör i integritetspolicyn hur personer skall begära rättning eller borttag etc av personuppgifter.
6. Med vilket rättsligt stöd behandlar ni personuppgifter?		Mappa vilka lagar/regelverk som styr hanteringen av personuppgifter, till exempel kollektivavtal (löner), sjukskrivning och vab (Försäkringskassan), fakturor (bokföringslagen), etc.
7. Hur inhämtar ni samtycke?		Integritetspolicyn behöver uppdateras och förtydligas. Det måste bli tydligt på webbplatsen när användare lämnar uppgifter att de lämnar samtycke. Se punkt 5.
8. Behandlar ni personuppgifter om barn?	Eventuella medlemmar under 16 år. OBS! Dataskyddsförordningen säger 16 år, svensk lag Lag med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218) fastställer åldersgränsen till 13 år.	Här behöver säkerställas att förälders/vårdnadshavares samtycke kan inhämtas och anges i medlemsregister. Vidare utredning krävs. Eventuella medgivanden vid event, om information samlas in. Om sådan uppgift inte kan fås, anges "en minderårig" i deltagarförteckning.
9. Vad ska ni göra vid personuppgiftsincidenter?	Meddela personen som (kan ha) drabbats. Meddela Datainspektionen. Meddela styrelsen. Säkra det system som läckt/stäng tillfälligt ner det. Sätt upp incidentrapport på wikin.	Sätt upp rutin för att hantera situationen. Rutin är under framtagande på Åtgärdsplan för uppfyllande av dataskyddsreformen/Rutin vid personuppgiftsincident.
10. Vilka särskilda integritetsrisker finns med er behandling?	Inga	Föreningen har inga storskaliga register med känsliga personuppgifter eller kameraövervakning.
11. Har ni byggt in skydd för personuppgifter i era it-system?	Säkerställ att underleverantörer ansvarar för säkerheten av molntjänster. För egna servrar gäller de rutiner som skall tas fram enligt ovan.	Personuppgiftsbiträdesavtal kommer att tecknas med alla IT-leverantörer.
12. Vem ansvarar för dataskyddsfrågor i er organisation?		Verksamhetschefen, eller av denne utsedd, samt ordföranden, eller av styrelsen utsedd.
13. Har ni verksamhet i flera länder?	Nej

Lagring av uppgifter

För att säkerställa att Wikimedia Sverige har kontroll över var personuppgifter finns, skall egen molntjänst på servrar driftade hos serverleverantör med hög säkerhet och som beaktar integritetsfrågor användas. I molntjänsten ingår e-postserver, ordbehandling, kalkylark, presentationer, dokumentlagring, wiki, webbplats med mera. Serverdriften skall ske inom Sverige.
All e-posthantering skall ske på servrar enligt ovan och tillgång till e-posten skall ske genom webbkoppling. Synkning mot Google-konton får ej ske.
- e-postadresser för våra domäner skall alltid peka mot vår e-postserver.
- Regler för anställda och styrelsemedlemmar om att inte vidarebefordra e-post utanför vår server skall sättas upp.
- Vid uppsättning av ny e-postserver skall utdelade e-postadresser gås igenom.
Ekonomisystem köps som molntjänst hos leverantör som driftar tjänsten i Sverige.
Medlemsregistret köps som molntjänst hos leverantör som driftar tjänsten i Sverige.
Avveckling av användning av Google-konton och Dropbox skall inledas under 2017. Detta då uppfyllande av GDPR inte kan garanteras, då lagring sker utanför EU/EES.
För personuppgifter som lagras hos molnleverantörer måste biträdesavtal tecknas.
Kartlägg vilka som har tillgång till informationen och om de behöver den för sin roll.
Utred om OTRS skall sättas upp gemensamt för chapters inom EU (för funktionsadresser).
Sätt upp tydligt ansvar och rutiner för uppdatering av servermiljön.
Sätt upp personliga lösenord för administratörer och att de hanteras på ett säkert sätt.
Tydlig uppdelning mellan dokument som är publika och de som är känsliga, för att tillämpa olika säkerheter.
Se över vilka uppgifter vi behöver om medlemmar och minimera dessa.
Undersök om wikin skall flyttas till egen server och vad konsekvenserna blir.
Rensa ut gamla uppgifter, som inte längre behövs, innan GDPR börjar gälla.

Noteringar 2017-11-28

Dropbox: Skall avvecklas, rensas och ersättas med NextCloud.
CiviCrm: Är avvecklat.
Google: Drive, Hangout etc: Ersätts med NextCloud
GitHub: Inga personuppgifter.
Medlemsregistret hos Zynatic. Hög klassning. Personuppgiftsbidträdesavtal krävs.
Ekonomi hos Fortnox: Hög klassning. Personuppgiftsbidträdesavtal krävs.
MailChimp: Utskick av medlemsmejl. Amerikansk. Kan ersättas med Zynatic för medlemsmejl.
Qualtrics: För surveys. Fortsatt undersökning hur den kan ersättas/hanteras.
MyNewsdesk: Kontaktlistor. Personuppgiftsbidträdesavtal krävs.
Phabricator: Inga personuppgifter
WMF Labs: Inga personuppgifter. Följer användarvillkoren för Wikipedia.
Programs & Events Dashboard: Inga personuppgifter. Wiki Education Foundation - liknande villkor som för Wikipedia.
WordPress: Idag tjänst. Fortsatt undersökning hur den skall hanteras driftsmässigt ihop med hemsidan. Inga personuppgifter.
Mejl: Mejlserver på Bahnhofservrar skall sättas upp. Kommer att ha webbgränssnitt. Kolla upp kryptering.
Mailman: Mejllistor på egna servrar. Enbart admin kan se vem som ingår i listan. Inga personuppgifter för övrigt. Se över tillgången till listorna.
Personliga konton till servrar, tvåfaktorsautentisering, minst två personer skall ha tillgång till systemen.
Rutinbeskrivning för gemenskapslistan (standardtext etc - se punkt 5 ovan) tas fram i samband med överflyttning till ny miljö.
Medlemsregister: Aktivt utträde - rensning direkt, i övrigt innevarande + 2 år för att ge möjlighet att förnya.
Listor över vilka vi gett stöd till: Max två år. Används till att ge WMF siffror.
Volontärlistor: Max tre år. Rensas vid aktiv begäran direkt radering.
Webbplatsstatistik: Hela IP lagras ej. Webbstatistik är anonymiserad. Piwik - spårar inte om användaren har valt bort spårning.
Offentligkonst.se har integritetsbeskrivning - om cookies.
Twitter, Instagram och Facebook: Där gäller deras integritetspolicyer.
Sätt upp ny funktionsadress: integritet(at)wikimedia.se
Uppmana folk att anmäla till den adressen om de finner oegentligheter i förhållande till GDPR.
Cookiebeskrivning på hemsidan finns.
Undersök vad GDPR säker om cookies.
Rensning: CiviCrm för åren 2007-2016 ligger av tekniska skäl i en gemensam blobb som backup och kommer att rensas i sin helhet efter 7 år (2024). Från och med 2017 ligger bokföringen i Fortnox och rensas enligt Bokföringslagen efter 7 år. Bokföringsunderlag som har digitaliserats rensas efter 4 år, i enlighet med Bokföringslagen. Medlemsregistret: Rensning gjord i samband med överflyttning till Zynatec och innehåller enbart 2016-2017-medlemmar. E-postlistor i CiviCRM: Medlemslistor - se föregående. Nyhetsbrevsprenumeranter rensades i sin helhet, där de ej överlappade med medlemmar. Alla i MailChimp har fått mejl under 2017. Volontärlistor och stöd till gemenskapen: Ligger kvar uppgifter från 2013 och 2014. Rensas innan årsskiftet efter framtagande av statistik och avstämningar. Presslistor: Ingen rensning har gjorts, då inga adresser är äldre än tre år. Det går inte att avgöra i MyNewsdesk att uppgifterna använts och därmed följa policyn framöver. Rutin behöver ses över, separat kalkylark behöver föras. Inbjudningslistor: Ingen rensning har gjorts. Avstämning med Axel om att rensa 2013 och 2014 görs innan årsskiftet.
Lägg till i Integritetspolicyn att det skall protokollföras.
Lägg till lista om Stöd till gemenskapen i Integritetspolicyn. Finns 2016 och 2017. Lägg som kommentar för Volontärlistan. Listor för uppföljning av verksamhetsmål - finns uppgifter från 2014 som kan behöva rensas. VIP-listor under Inbjudningslistor.
Lägg in in MediaWiki:Signupstart uppgifter om integritet och hänvisning till integritetspolicyn.
Donationskommentarer: Inget problem när CiviCrm är borta. I dagsläget går det in i bokföringen och följer bokföringsreglerna. Vid uppsättande av ny donationshantering skall det beaktas.
När det blir möjligt att bli medlem genom medlemssystemet, så lägger vi in kommentar om att under 16 år krävs målsmans medgivande, vilket skall mejlas in till funktionsadress. Lägg till ruta där det kan markeras att medgivande har mottagits.
Dataskyddsfrågor:
OTRS: John och Mattias hör med övriga chapters (WMDE) hur de ser på frågan.
Wikin flyttas ej till egen server. Klassas som icke känslig.
Ansökningshandlingar rensas efter 6 månader.
Personaluppgifter efter avslut: Hur länge skall de sparas?
Tagga känsliga dokument i nya systemet.
Mattias undersöker utdumpning av styrelsewikin. Sedan stängs wikin ner.

Personuppgiftsbiträdesavtal

Enligt GDPR krävs att personuppgiftsansvarig (Wikimedia Sverige) tecknar personuppgiftsbiträdesavtal med den som behandlar personuppgifter (personuppgiftsbiträde). Wikimedia Sverige tecknar personuppgiftsbiträdesavtal med följande företag:


Företag	Typ av system/hantering	Status
Zynatic	Medlemsregister	Utkast till personuppgiftsbiträdesavtal diskuteras med leverantören.
Fortnox	Ekonomisystem
MyNewsdesk	Kontaktlistor
Bahnhof	Servrar
FSData	Servrar
GleSys	Servrar
OP Administration (OPAD)	Redovisningsbyrå

Personuppgiftsbiträdesavtal behöver inte tecknas med Collectum, enligt denna information. Collectums information om hur de hanterar personuppgifter kan läsas här.

Säkerhetsklassning

Följande säkerhetsklasser tillämpas på Wikimedia Sveriges information:


Säkerhetsklass	Beskrivning/definition	System/register som faller i denna klass	Informationstyp i denna klass
1	Ej skyddsvärd information, publikt tillgänglig. Dock kan andra säkerhetskrav, som inte är direkt kopplade mot personuppgifter (GDPR) fortfarande gälla.	wikin, hemsidan	Anställd, styrelse och andra med förtroendeuppdrag: namn, adress, telefon, e-postadress, befattning/titel, IP-adress, WMSE-användarnamn, anställningstid, anställningsform, resor
2	Skyddsvärd information, data som kan användas för att lokalisera/kontakta en person. Exempelvis namn i kombination med adresser, telefonnummer mm	kontaktlistor, inbjudningslistor, lista över stöd till gemenskapen	privat telefon, privat e-postadress, CV, födelsedata, kurs, kompetensuppgifter, intyg, utlägg, nycklar, passerkort, UC/kreditprövning (företag/organisationer), organisationsnummer (samarbetspartners. Klass 3 om enskild firma.)
3	Mycket skyddsvärd information, personnummer, data som kan användas för att utläsa en individs intressen, färdigheter, sjukdomshistorik, åsikter mm	lönesystem, ekonomisystem, medlemsregister, personakt för anställda	personnummer, anställningsavtal, personlighetstester, brottsregisterinformation, medarbetarundersökning, dokumentation medarbetarsamtal, närvaro/frånvaro, facktillhörighet, löneuppgifter, bankkonto/kreditkort, hälsouppgifter, sjukdom, misskötsel/varningar, försäkringar/pension, UC/kreditupplysningar (privatpersoner), intressen (även kontaktpersoners hos samarbetspartners), information om anställds barn, användarnamn. OBS! Uppgifter om nationellt eller etniskt ursprung, politisk tillhörighet, religiös eller filosofisk övertygelse, samt genetiska eller biometriska personuppgifter, skall aldrig registreras.

Rensningsrutiner för anställningsdokument

Nedan redovisas de typer av uppgifter om anställda, som föreningen har, hur länge de bevaras och med vilken motivering


Dokument	Arkiveringstid	Motivering
Personakt Anställningsbevis och anställningskontrakt Ansökan/beslut om anställningsstöd Ansökningshandlingar Betyg/intyg efter anställningens slut/under pågående anställning Skrivelser mellan föreningen och den anställde Kopia på beslut om delpension, förtidspension, sjukbidrag, lönebidrag Kopia/original av uppsägning (från anställdes eller föreningens sida) Ledighetsansökan för ledigheter överstigande 30 kalenderdagar	X år efter anställningens slut
Bokföringsunderlag Kontrolluppgifter Lönelistor Lönespecifikationer Reseräkningar Skattsedlar/skattejämkning Underlag för skatteinbetalning Underlag för sociala avgifter	Innevarande + 7 år	Enligt bokföringslagen 7 kap. 2 §.
Uppgifter om anställd, e-postkonto och telefon på föreningens webbplats/wiki.	Tas bort snarast, dock senast en månad efter anställningens upphörande.	Rekommendation från Datainspektionen.

Datainspektionen: Personuppgifter i arbetslivet

Rättslig grund, rättigheter med mera


Område	Typer	Kommentar
Rättslig grund	Samtycke Avtal Rättslig förbindelse Skydda registrerades grundläggande intressen Berättigat intresse (intresseavvägning) Speciallagstiftning	Den rättsliga grunden för att hålla informationen skall anges. Det skall även dokumenteras att samtycke inhämtats.
Registrerades rättigheter	Rätten till information om behandlingen Rätten till registerutdrag Rätten att få felaktiga uppgifter korrigerade Rätten till radering (rätten att bli glömd) Rätten till begränsning Rätten till dataportabilitet Rätten att göra invändningar	Vi skall ange vilka av rättigheterna vi kan tillmötesgå. Dataportabilitet är inte tillämpligt för WMSE:s del.
Informationskrav	Muntligt På ansökningsblankett eller liknande På en inloggningssida På webbplatsen I avtalsvillkor som godkänts Via e-post Vid skapande av användarkonto	Vi skall ange hur de registrerade fått uppgifter om att informationen registreras och hur den används.
Säkerhetsåtgärder	Ansvarig för informationssäkerhet utsedd Utbildning Kryptering Flerfaktorautentisering Behörighetsbegränsningar Backup	Vilka organisatoriska och tekniska säkerhetsåtgärder har vidtagits?
Uppfyllnad av grundläggande dataskyddsprinciper	Laglighet, proportionalitet och öppenhet Ändamålsbegränsning Uppgiftsbegränsning Korrekthet Lagringsminimering Integritet, konfidentialitet och säkerhet Ansvarsskyldighet	Ange vilka av de grundläggande dataskyddsprinciperna som uppfylls.

E-postrutiner

Även e-post omfattas av Dataskyddsförordningen, och PUL:s missbruksregel, som undantar personuppgifter finns i löpande text, det vill säga i ostrukturerad form, upphör i och Dataskyddsförordningens införande. Föreningen bör därför införa en e-postpolicy, som anger hur e-post skall hanteras, för att inte bryta mot Dataskyddsförordningen. Några punkter

Skicka aldrig känsliga personuppgifter via e-post.
Skicka inte integritetskänsliga uppgifter, så som lönebesked via e-post.
Om mejl med känsliga personuppgifter inkommer, förs uppgiften eventuellt över till annat system och raderas. Exempel på sådan uppgift är sjukanmälan.
Lägg in en uppmaning vid kontaktformulär, eller kontaktinformation (e-postadresser), att avsändaren inte skall skicka känsliga personuppgifter.
Tid för när mejl skall rensas bör fastställas.
Kansliets personal skall informeras om rutinerna.

Sidor om föreningens hantering av dataskydd och integritet

När arbetet med Dataskyddsförordningen är klar, bör följande sidor finnas på wikin, och länkas ihop med en navigationsruta längst ner. Det ger användarna lätt överblick över all nödvändig information.

Dataskyddsförordningen: En sida som ger en översiktlig beskrivning av Dataskyddsförordningen, begreppsförklaringar och länkar till information hos Datainspektionen.
Personuppgiftsbiträdesavtal: Förteckning över vilka personuppgiftsbiträdesavtal föreningen tecknat, samt en förklaring av vad det innebär. Sidan innehåller uppgifterna i tabellen ovan under rubriken Personuppgiftsbiträdesavtal.
Registerförteckning och rensningsrutin: Sammanställning av vilka register vi har och hur länge uppgifterna lagras. Sidan innehåller uppgifterna i tabellen under rubriken Rensningsrutiner på sidan Åtgärdsplan för uppfyllande av dataskyddsreformen/Uppdatering av integritetspolicy. Tabellen kan därefter utgå ur integritetspolicyn. På denna sida lägger vi även in beskrivning av behandling av personuppgifter, enligt vad som skrivs i personuppgiftsbiträdesavtalen, det vill säga syftet med personuppgiftsbehandlingen, typ av data, kategorier av personuppgifterna, databehandling och tid för lagring.
Rensningsprotokoll: Länk till Kategori:Integritetspolicy.
Integritetspolicy: Den uppdaterade integritetspolicyn enligt Åtgärdsplan för uppfyllande av dataskyddsreformen/Uppdatering av integritetspolicy.
Rutin vid personuppgiftsincident: Rutinbeskrivning enligt Åtgärdsplan för uppfyllande av dataskyddsreformen/Rutin vid personuppgiftsincident.
Incidentrapporter: Sida med sammanställning, samt länk till Kategori:Incidentrapporter