Diskussion:Integritetspolicy

Hoppa till navigering Hoppa till sök

Om denna diskussion

Inte redigerbar

Uppdatering för beslut

2
André Costa (WMSE) (diskussionbidrag)
Historiker (diskussionbidrag)

Tack för det.

André Costa (WMSE) (diskussionbidrag)

Idag har vi inget i Integritetspolicyn kring vårat Nyhetsbrev (de underliggande e-postlistorna omnämns i rensningsrutinen). Eftersom en länk till policyn skulle vara lämplig i e-postfoten borde det finnas ett lämpligt stycke som behandlar denna nya typ av interaktion. Jag föreslår att följande läggs till under en egen rubrik:


Massutskick & Nyhetsbrev

Följande omfattar föreningens nyhetsbrev samt övriga elektroniska massutskick där dessa ej är relaterade till administration av medlemskap (för dessa se Medlemskap).

Vilken information vi samlar in vid utskick

Föreningen samlar in och använder personlig information från mottagarna. Personuppgifterna som behandlas avser följande kategorier av personuppgifter: förnamn, efternamn, e-postadress, interaktionshistorik för utskick.

Syfte med personuppgiftsbehandlingen beträffande mottagare

Personuppgifterna behandlas med följande syfte:

  • Säkerställa leverans av utskick till mottagare
  • Säkerställa att leverans av utskick ej sker till mottagare som tackat nej till dessa

Hur vi använder informationen från mottagarna

Personuppgifterna kommer att behandlas enligt följande:

  • Kontaktdetaljerna används enbart för leverans av utskicket
  • Interaktionen med utskicken används enbart på en aggregerad nivå för att förbättra framtida innehåll och utformning


För att kunna utföra utskick enligt ovan, kan kontaktinformation komma att flyttas från det system där det samlats in till ett e-postutskickssystem, för vilket vi har personuppgiftsbiträdesavtal med leverantören.

Dessa personuppgifter omfattas av rensningsrutinerna för e-postlistor.


Notera att per https://mailchimp.com/help/gdpr-faq/#Legal_Requirements behöver vi inte skriva på något personuppgiftsbiträdesavtal då detta utgörs av https://mailchimp.com/legal/data-processing-addendum/ vilket är integrerat i deras användaravtal.


Min förhoppning är att den sista meningen även ska kunna täcka in om vi har ett anmälningsformulär på webbplatsen utan att vi behöver lägga till något ytterligare om det.

Kommentaren som exkluderar medlemskaps relaterade utskick är där för att tydliggöra, 1) vi spårar inte interaktion för dessa utskick, 2) du kan inte tacka nej till dess utskick, 3) syftet med dessa utskicken är annorlunda.

@John Andersson (WMSE)@Historiker

André Costa (WMSE) (diskussionbidrag)

Jag föreslår också att rensningspolicy-cellen för e-postlista ändras från "Rensas om inget utskick har gjorts på tre år." till "Rensas om inget utskick har gjorts till mottagaren på tre år." För att tydliggöra att det inte är själva listan som måste varit vilande i tre år utan mottagaren.


Dvs. om du tackar nej till utskick så börjar klockan ticka för dig även om nyhetsbrevslistan lever vidare. Du kan som alltid begära att bli bortplockad direkt.

John Andersson (WMSE) (diskussionbidrag)

Båda förslagen tycker jag låter bra. Vad tänker du Mattias?

André Costa (WMSE) (diskussionbidrag)

Oklart om interaktionshistorik är för vagt. Men det är alltså om du öppnat mailet, samt om du klickat på någon länk.

@Evelina Bång (WMSE) den aggregerade statistiken för mailklient och location (land) är det något man kan slå av/på?

André Costa (WMSE) (diskussionbidrag)
Evelina Bång (WMSE) (diskussionbidrag)

Jag hittar inget om att man kan slå på eller av geolocation eller info om mailklient.


André Costa (WMSE) (diskussionbidrag)

OK. Jag har kontaktat Mailchimp för att se om man kan slå av skörd av geolocation- och mailklientinformation. Om de ej svarar, eller svarar nekande, så behövs följande tillägg göras till ovanstående förslag. (Tillägg i fetstil, jag har utelämnat opåverkade stycken)


Vilken information vi samlar in vid utskick

Föreningen samlar in och använder personlig information från mottagarna. Personuppgifterna som behandlas avser följande kategorier av personuppgifter: förnamn, efternamn, e-postadress, interaktionshistorik för utskick samt geolokalisering och val av e-postklient.

Hur vi använder informationen från mottagarna

Personuppgifterna kommer att behandlas enligt följande:

  • Kontaktdetaljerna används enbart för leverans av utskicket
  • Interaktionen med utskicken används enbart på en aggregerad nivå för att förbättra framtida innehåll och utformning
  • Informationen om geolokalisering och e-postklient används ej men kan av tekniska orsaker ej inaktiveras.
André Costa (WMSE) (diskussionbidrag)

OK. Jag har nu följt upp med Mailchimp och det går inte att slå av skörd av geolocation- och mailklientinformation. Det sker automatiskt om man aktiverar tracking av clicks och open. MEN även om dessa skulle slås av så skördas geolocation- och mailklientinformation när man själv anmäler sig till nyhetsbrevet.

@John Andersson (WMSE)@Historiker Kan ni se över tillägget ovan. Om det känns ok så lägger jag till det varpå vi borde ha en färdig samling av ändringar som kan beslutas av styrelsen.

John Andersson (WMSE) (diskussionbidrag)

Tilläggen ser bra ut tycker jag.

Historiker (diskussionbidrag)

Jag tycker det ser bra ut.

André Costa (WMSE) (diskussionbidrag)

Skribenter på vår Blogg

2
André Costa (WMSE) (diskussionbidrag)

I phab:T228023 tittar vi lite på de personuppgifter som vi automatiskt samlar in om de som skriver på vår blogg.

För dessa tänker jag att vi inte behöver en tydlig text som vi kan hänvisa skribenterna till om vad som samlas in, hur det används etc. (den texten utgör möjligen ett samtycke de godkänner) men att det inte behövs ett stycke i Integritetspolicyn om detta. Anledningen till det senare är att det inte är direkt riktat mot allmänheten och borde kunna omfattas under punkten "Övriga/Övriga personuppgifter".

Det kan behövas ett tillägg i Rensningsrutinerna och möjligen att vi kontaktar alla som idag är skribenter.

@John Andersson (WMSE)@Historiker vad tror ni? Om den inte behöver vara dela av själva Integritetspolicyn så prioriterar jag ner det eftersom den inte behöver vara del av den uppdatering vi arbetat med i de övriga trådarna här.

Historiker (diskussionbidrag)

Det borde gå att hantera under "Övriga/Övriga personuppgifter".

Kontaktformulär på webbplatsen

11
Sammanfattning av André Costa (WMSE)
André Costa (WMSE) (diskussionbidrag)

I det personuppgiftsbiträdesavtal vi behöver fylla i för theGeneration (ny webbplatshost) har de en rad om att vi ansvarar för att formulär handskas ok. Det enda formuläret vi har idag är "Kontakta oss" och (bortsett från framtida donationsfunktionalitet) har jag svårt att se att vi skulle ha något annat formulär på vår webbplats.


För "Kontakta oss" skulle vi behöva lägga till ett stycke om den i både policyn (skriven generellt nog) samt i rensningsrutinen. VI kommer även att läga till en samtyckesruta vid själva formuläret. Mitt förslag är att vi lägger till följande underrubrik på Webbplatser precis ovanför Övriga:



Kontaktformulär

På de av föreningens webbplatser som innehåller ett kontaktformulär gäller följande för de personuppgifter (namn, e-postadress) som samlas in via formuläret.

  • Kontaktdetaljerna används enbart för hantering av det ärende för vilken kontakten tagits
  • Informationen förs automatiskt över från webbplatsen till det system som används för e-posthantering, för vilket vi har personuppgiftsbiträdesavtal med leverantören.
TypLagringsplatsSyfteRättslig grundSäkerhetsklassRensningspolicyKommentar
KontaktförfrågningarGmailBesvara förfrågningarSamtycke2Rensas efter ett år.Om kontakten leder vidare till ytterligare interaktion så omfattas denna inte.

Jag skulle vilja lägga till en punkt som täcker in att om kontakten leder vidare till annat så gäller andra regler för den delen, men kommer inte på någon bra formulering.

Då avser jag t.ex. att om någon använder kontaktformuläret för att anmäla sig till e-postlistan så besvarar vi med att de lagts till (vilket avslutar "kontakta oss"-ärendet, men själva e-postlistan följer sina egna regler. Samma om det t.ex. är en ny samarbetspartner som använder formuläret för att ta kontakt med oss. "kontakta oss"-ärendet avslutas när kontakten har vidareförmedlats till programansvarig.

Det är även av denna anledning jag satt rensning på 1 år. I praktiken blir det e-posttråden i info@ som inleds med "kontakta oss" meddelandet som raderas.

@Evelina Bång (WMSE)@John Andersson (WMSE)@Historiker

André Costa (WMSE) (diskussionbidrag)

Och så behöver vi något liknande för kommentarsfunktionen i bloggen... suck

För kommentarer sparas Namn, e-postaddress, webbplats, ip-nummer.


Wordpress sparar även automatiskt en kaka som innehåller namn, e-postadress, webbplats vilket kräver att vi anpassar texten på Integritetspolicy/Om kakor som idag säger "Den information som sparas innehåller inte några personuppgifter".


Wordpress stödjer en checkruta för att inte skapa kakan, men vårt tema verkar sakan den.

André Costa (WMSE) (diskussionbidrag)
Evelina Bång (WMSE) (diskussionbidrag)

Under 2019 har vi fått 10 kommentarer, på 23 blogginlägg. Så jag tycker att det går att tänka att bloggen är ett medium där vi berättar om vår verksamhet, och att kommentarer och diskussioner sker i andra forum, t.ex. på Facebook.

John Andersson (WMSE) (diskussionbidrag)

Evelinas tankar låter vettigt. Vi kör utan kommentarer på bloggen tillsvidare.

André Costa (WMSE) (diskussionbidrag)

Inputen från Axel var den samma. Då gör jag inget tillägg för kommentarerna men sätter upp att slå-av kommentarer på "att göra"-listan.

André Costa (WMSE) (diskussionbidrag)

Nya kommentarer har de-aktiverats. Äldre kommentarer kommer att hanteras.

André Costa (WMSE) (diskussionbidrag)

Jag föreslår att vi gör följande tillägg i slutet av stycket "Hur vi använder informationen från donatorer" under rubriken Donationer:


För att kunna utföra mejlutskick enligt ovan, kan medlemsinformation komma att flyttas från systemet för medlemsregister till ett e-postutskickssystem, för vilket vi har personuppgiftsbiträdesavtal med leverantören.


Detta så att vi kan föra över information från framtida donationssystem till t.ex. Mailchimp. Formuleringen är identisk med den vi har under Medlemskap

@John Andersson (WMSE)@Historiker

John Andersson (WMSE) (diskussionbidrag)

Jag tycker att det låter bra. Mattias?

Historiker (diskussionbidrag)

Jag instämmer.

André Costa (WMSE) (diskussionbidrag)
André Costa (WMSE) (diskussionbidrag)

Idag ligger underrubriken "Övriga" under Webbplatser. Jag föreslås att denna lyfts upp till en egen rubrik och namnändras till "Övriga personuppgifter" då den inte har något med webbplatser att göra.


@John Andersson (WMSE)@Historiker

John Andersson (WMSE) (diskussionbidrag)

Instämmer.

Historiker (diskussionbidrag)

Instämmer också.

André Costa (WMSE) (diskussionbidrag)

Vilken information vi samlar in vid medlemskap

3
John Andersson (WMSE) (diskussionbidrag)

Bör det inte finnas en rubrik med "Vilken information vi samlar in vid medlemskap"?

Historiker (diskussionbidrag)

Jo, det kan och bör vi lägga till.

Historiker (diskussionbidrag)

Och nu har jag lagt in texter utifrån vad som står i personuppgiftsbiträdesavtalet med Zynatic.

John Andersson (WMSE) (diskussionbidrag)

Bör det i integritetspolicyn stå med något om att vi kan komma att flytta medlemsinformation från ex. Zynatic till ett mailutskicksystem (som vi har ett personuppgiftsbiträdesavtal med)? Det är aktuellt för att exempelvis kunna skicka ut nyhetsbrev.

Historiker (diskussionbidrag)

Man skulle kunna nämna det och länka till sidan med listan över personuppgiftsbiträdesavtal.

Historiker (diskussionbidrag)

Stycket "Hur vi använder informationen från medlemmar" kompletterat med den informationen.

Sammanfattning av André Costa (WMSE)

Löst genom att Eventbrite omnämns på den utbrutna listan

André Costa (WMSE) (diskussionbidrag)

I samband med årsmötet märkte jag att vi även använder oss av Eventbrite. Funderar på om den bör nämnas någonstans. Det samma gäller Education Dashboard som används vid skrivstugeevent.

Historiker (diskussionbidrag)

Det kan vara bra att göra. Vad gäller kring dem vad gäller vilken info de innehåller och var driftas de?

Historiker (diskussionbidrag)

Jag har lagt till ett stycke om externa webbplatser, utan att nämna några specifika, och hänvisar till respektive webbplats användarvillkor och integritetspolicy. Eventuellt listar vi de externa webbplatserna på en annan sida, så att vi slipper uppdatera policyn varje gång vi börjar använda en ny extern webbplats.

Historiker (diskussionbidrag)

Även qualtrics.com, som används för enkäter, bör listas som extern webbplats. @André Costa (WMSE) Finns det något vi bör skriva om det verktyget, för att förklara hur det hanterar integritetsfrågor, så som kakor, loggning av IP-adresser mm?

André Costa (WMSE) (diskussionbidrag)

Känns som en bra lösning tycker jag

@Sara Mörtsell (WMSE) är i kontakt med WMDE angående Qualtrics och GDPR, där kan jag alldeles för lite.

André Costa (WMSE) (diskussionbidrag)

@Sara Mörtsell (WMSE) gjorde mig medveten om att Eventbrites senaste Terms of Service ger dem rätten att dyka upp och filma eventet. Efter en mediabacklash så backade de med den punkten.

Generellt sett skulle det nog inte skada om vi hade ovan nämnda lista av externa webbplatser och att vi är begränsade till att nyttja dessa. Vill man föreslå en ny så behöver den först synas.Sker något liknande med Eventbrite igen så skulle den i så fall strykas från listan. Det skulle även göra oss mer enhetliga, dvs. vi använder alltid samma tjänst för t.ex. event snarare än att det varierar beroende på vem som sätter upp det.

John Andersson (WMSE) (diskussionbidrag)

Jag tycker absolut inte de ska listas direkt i policyn då ett nytt verktyg i så fall kräver styrelsebeslut (då en policyändring helt plötsligt krävs). Det är ett beslut på verksamhetschefsnivå (som förstås tas i samråd med personuppgiftsansvariga).

Historiker (diskussionbidrag)

Nej, webbplatserna skall inte listas i policyn, utan i en lista över externa webbplatser, vilken finns som en flik, som kan uppdateras utan styrelsebeslut.

André Costa (WMSE) (diskussionbidrag)

Det var jag som var slarvig i min formulering. Listan med webbplatser har vi redan brutit ut av precis den anledningen =)

Bör vi kanske även flytta sociala medier listan till den fliken? Slutar vi vara aktiva på Twitter följer vi ju tekniskt sett annars inte policyn, för att inte tala om när vi börjar använda Lunarstorm igen =)

Kanske kombinera den och sociala medier till

===Sociala medier och externa webbplatser===
Föreningen använder externa webbplatser för olika ändamål, exempelvis sociala medier eller anmälan till arrangemang. För interaktion med dessa gäller respektive webbplats användarvillkor och integritetspolicy. Du hittar en lista över de webbplatser vi använder och deras policies [[<fliklänk>|här]].
Historiker (diskussionbidrag)

Det är ett bra förslag till formulering. Jag kommer att göra den justeringen när jag putsar vidare på policyn. Det blir mycket renare och enklare att underhålla.

Historiker (diskussionbidrag)
André Costa (WMSE) (diskussionbidrag)

Utöver föreningswikin pch wikimedia.se har vi även offentligkonst.se, wikipedia.se, umepedia och möjligen nått mer.

Vore nog bra att formulera om wikimedia.se stycket så att den talar om "våra webbplatser inkl. wikimedia.se" För att göra den mer generell. För samtliga webbplatser använder vi piwik eller ingen insamling alls.

En mer generwll formulering gör det även möjligt att ta fram nya webbplatser utan att updatera policyn (under förutsättning att den följs så klart)

Historiker (diskussionbidrag)

Det låter bra. Sedan bör vi länka till listan över vilka webbplatser vi har, så att det blir lättare att hitta.

André Costa (WMSE) (diskussionbidrag)

Jo det låter bra. Då kan man utifrån policyn se vad som omfattas men listan är inte en spikad del av policyn.

Historiker (diskussionbidrag)

Jag har nu formulerat om stycket om webbplatserna och länkat till listan över domäner/webbplatser.

André Costa (WMSE) (diskussionbidrag)

Jag kastade om lite diff. Funkar det?

Historiker (diskussionbidrag)

Det blev utmärkt.