Behöver ni bolla frågor specifika för ideella föreningar finns det en bra Facebook-grupp.
Diskussion:Åtgärdsplan för uppfyllande av dataskyddsreformen
En not här om några relevanta tasks i Phabricator (alla GDPR tasks ska ligga under T185470):
- T189100 - om att skapa en ny medlemsblankett (papper) som samlar in de uppgifter vi behöver i Zynatic samt medgivande
- T189098 - om att skapa en rutin för att hantera minderåriga medlemmar
- T189097 - Behovet av en policy för hur vi ska hantera medlemar som saknar nödvändig data (t.ex. medgivande)
- T189094 - För att stämma av att vi fått in personuppgiftsbiträdesavtal för Zynatic
- T189102 - Personuppgiftsbiträdesavtal för Opad
Per detta inlägg på Phabricator
Zynatic har lagt till en mekanism med vilken medlemmar uttryckligen kan ge sitt godkännande till att vi lagrar deras personuppgifter (godkännandet dateras och kopplas till den medlemmen).
Det är oklart för mig hur vi ska hantera nya medlemmar som inte loggar in och själva gör detta. Räcker det med en kryssruta på pappersformuläret som vi sedan diarieför och kopplar till medlemskapet?
Hur gör vi med förnyande medlemmar som bara betalar in avgiften utan att logga in?
Mycket bra att Zynatic lagt till den funktionen. Jag föreslår att att vi gör så, att i utskicket för förnyelse av medlemskap, skriver vi att det krävs att de loggar in och ger sitt godkännande. Är det så att vi får en inbetalning via exempelvis giroinbetalning utan att den föregåtts av utskicket, så skickar vi ut ett tackmejl-/brev, och uppmanar dem att logga in och ge sitt godkännande.
Lagt en not om det i phab:T185468
Tack för det.
Tiden för lagring av personaluppgifter efter anställningens upphörande håller jag på att undersöka. Vid diskussion med IT-säkerhetskunnig idag rekommenderades 18 månader, för att kunna hantera deklarationsuppgifter mm. För anställningsbetyg etc, skulle man kunna ha längre tid, för vilket den anställde i så fall skall lämna medgivande. Syftet skulle kunna vara att få ut kopia på anställningsbetyg vid senare tillfälle.
För ansökningshandlingar rekommenderades 9 månader efter tjänstetillsättning, då man enligt jämställdhetslagstiftning kan överklaga en tjänstetillsättning under den tiden.
Jag har nu skapat Mall:Dataskyddsförordningen, som binder ihop de olika sidorna som rör Dataskyddsförordningen och som skall utgöra våra offentliga sidor om hur vi följer den.
Jag har lagt upp förslag på sidor beträffande dataskydd och integritet, som vi bör ha här på wikin, när vi väl är klara: Åtgärdsplan för uppfyllande av dataskyddsreformen/Uppföljning av GDPR-arbetet#Sidor om föreningens hantering av dataskydd och integritet. Mycket av materialet finns, eller på gång, så det är mer en strukturering av det färdiga resultatet. Sedan bör sidorna kopplas ihop med en navigationsruta längst mer, eller liknande.
Jag satte upp phab:T185470 för att hålla ordning på de av uppgifterna som dyker upp där.
Inventeringen av de molntjänster vi använder idag finns på: meta:FLOSS-Exchange#Wikimedia_Sverige
Servermässigt har vi data hos
- Bahnhof
- FSData
- GleSys
- WMF (föreningswikin + toollabs-verktyg)
En blogpost om Mailchimps arbete med GDPR finns här.
Nu när vi särkopplar medlemsregistret från bokföringen bör vi då även se över rensningsrutinen för medlemsregistret? Bokföringen om en medlemsbetalning behöver ligga kvar i 10 år men behöver resten av medlemsinformationen göra det? Och om den behöver det betyder det i så fall att vi måste neka raderingar av den informationen?
Ja, då kan vi rensa medlemsregistret relativt snart efter det att en medlem lämnat. Vi kan göra en årlig rensning av registret.
Eller åtminstone ta ner det till tre år (vår standard för övriga register)
Det finns inga äldre ämnen