GDPR personvernerklæring
Alle spørsmål om GDPR skal rettes til den GDPR-ansvarlige i ditt lands FLK/TTC forening. Vedkommende er utpekt av styret til å ta seg av alle spørsmål som berører datasikkerhet og personvern for de personlige opplysningene til ansatte, frivillige og medlemmer/deltakere. GDPR kntaktinformasjon til den norske forening finner du nedenfor.
1. Introduksjon
Alle FLK/TTC foreninger som underviser i og fremmer Fung Loy Kok Taoist Tai Chi™ og Taoist Tai Chi™ arts verden rundt er frivillige organisasjoner. De engasjerer seg for å bringe mennesker med forskjellig språk og kulturell bakgrunn sammen i et fellesskap fokusert på å bringe videre målsetningene til foreningens grunnlegger Master Moy Lin Shin. De skal gjøre tilgjengelig og fremme hans tanker om å bruke de taoistiske kunstarter og filosofi som hjelp til å dempe lidelse. Det man oppnår ved å utøve disse kunstartene/treningsformene kan også være av immateriell karakter.
FLK/TTC foreningene har behov for å samle og bruke visse typer informasjon om personer som kommer i kontakt med oss, for å utføre sitt arbeid og å gjøre det kjent. Disse personopplysningene blir samlet inn og behandlet ansvarlig, enten det blir oppbevart på papir, lagret i en database eller på annet materiale. Sikkerheten garanteres ved at vi følger retningslinjene satt opp i General Data Protection Regulation (GDPR) 2018 .
2. Ansvar for datakontroll og sikkerhet/behandlingsansvarlig
I følge GDPR er det FLK/TTC foreningene som er ansvarlige for datakontroll og sikkerhet. Det betyr at de i hvert enkelt land bestemmer for hvilke formål og på hvilken måte data blir samlet inn og brukt. De nasjonale styrene I FLK/TTC foreningene står juridisk som representant for og ansvarlig for å formulere, utføre og opprettholde personvernpolitikken som er satt opp i dette dokumentet. Hvert styre må utpeke en person som er nasjonalt ansvarlig for å være oppdatert om hvilke personopplysninger som blir oppbevart og hva de brukes til. Vedkommende må bli informert ved enhver endring i foreningens lagring og bruk av personlige data. Du kan kontakte denne personen ved å bruke e-postadressen nedenfor.
3. Formål (artikkel 5 GDPR)
FLK/TTC foreningene samler inn og behandler personopplysninger med det formål å bekrefte hver enkelt persons medlemskap (re: medlem/deltaker: Norge bruker betegnelsen medlem og bare den betegnelsen vil bli brukt heretter) og for å sikre deres medlemsstatus; altså en registrering av fullt medlemskap som inkluderer muligheten til å delta på all trening og alle arrangementer i foreningens regi. FLK/TTC foreningene kan også bruke opplysningene i forsikringstilfelle og til administrasjonsformål for å støtte sine egne berettigete interesser.
Fotografier og video kan bli brukt for å fremme Taoist Tai Chi™ arts (dette følger av at det å fremme Taoist Tai Chi™ arts er en av FLK/TTC foreningenes målsetninger og en underliggende forutsetning i medlemskapet). Men utsendelse og spredning av fotografier og videoopptak skjer kun hvis styrets GDPR-ansvarlige har gitt formell tillatelse til det og i henhold til FLK/TTC foreningenes offisielle målsetninger. Slike data blir ikke brukt til andre formål.
Fra tid til annen kan opplysninger bli brukt lokalt i forbindelse med personlige forhold som vedrører medlemmer, for eksempel dødsfall i nær familie, eller for å bringe videre gode nyheter fra et medlem. Avgjørelsen om og hvordan man skal bruke personinformasjon i slike tilfeller overlates til ledelsen i den nasjonale/lokale foreningen.
4. Juridisk grunnlag (artikkel 6 GDPR)
GDPR fastsetter at det må være et juridisk grunnlag for behandling av data. Det juridiske grunnlaget for FLK/TTC foreningene er at hvert individ skal anerkjennes og bekreftes som medlem av den spesifikke nasjonale foreningen.
Når det gjelder behandling av donasjoner/medlemsavgift bruker FLK/TTC foreningene ‘kontraktsforpliktelse’ som juridisk grunnlag. Ved innbetaling av medlemsavgift er FLK/TTC foreningene forpliktet til å levere medlemsfordeler slik de framkommer i foreningens filosofi og målsetninger.
For å informere om kommende arrangementer og rapportere fra arrangementer som er avholdt, informasjon som kan inneholde video, fotografier osv., bruker FLK/TTC foreningene ‘berettiget interesse’ som juridisk grunnlag. Det er grunnleggende viktig for mål, målsetning, og støtte og videreføring av FLK/TTC foreningene å kommunisere, til sine medlemmer og til offentligheten, hvilke aktiviteter og arrangementer som holdes over hele verden. All slik informasjon blir samlet inn åpent, det tas hensyn til vern av privatlivet, man samler bare et nødvendig minimum av data etter prinsippet om proporsjonalitet.
Det juridiske grunnlaget ‘samtykke’ blir bare brukt i tillegg til de ovennevnte juridiske grunnlag ‘kontraktsforpliktelse’ og ‘berettiget interesse’.
5. Offentliggjøring
FLK/TTC foreninger kan om nødvendig utveksle data seg i mellom når:
- Dataene er samlet inn for de spesifikke, omtalte, grunngitte formål slik de er gjennomgått her i punkt 3.
- Utvekslingen av data gjøres for slike formål.
- Den person hvis data blir samlet inn er blitt åpent og fullt informert om formålet med innsamlingen og det faktum at deres personopplysninger kan bli delt og med hvem.
- Data blir delt enten fordi det er nødvendig for å gjennomføre avtalen som er gjort med vedkommende eller ved samtykke.
- Fotografi- og/eller videomateriale kan brukes på FLK/TTC nettsider eller på sosiale medier, verden over. Medlemmer gis anledning til å reservere seg så fremt det er mulig. Men de må gjøres oppmerksom på at det på alle arrangementer er deres eget ansvar å kommunisere slike ønsker til den som tar bilder. Hvis noen ved et uhell skulle komme med på et bilde på vår nettside, til tross for at det er forsøkt unngått, så kan vedkommende kontakte den nasjonale GDPR-ansvarlige som skal sørge for å få bildet fjernet så raskt som mulig.
- Data vil kun bli delt hvis det er nødvendig og bare hvis det juridiske grunnlaget som er anført tillater det.
Det ovenstående betyr spesifikt at den personen som blir berørt må bli informert om hvordan og med hvem deres data skal deles. I enkelte tilfeller, hvis ikke noe annet juridisk grunnlag kan gjøres gjeldende, kan det bli nødvendig å bruke ‘samtykke’. Data deles bare under spesielle omstendigheter, for eksempel ved iverksettelse av en avtale i sammenheng med deltagelse i et arrangement (vurderes ved hvert enkelt tilfelle).
I spesifikke tilfeller kan enkelte data bli behandlet og delt med tredjepart uten den berørtes samtykke, nemlig og i den utstrekning som:
- Det er nødvendig for å beskytte vedkommendes eller en annen persons vitale interesser (f.eks. når noen blir utsatt for en ulykke, er ute av stand til å gi samtykke og deres data blir delt for å støtte øyeblikkelig medisinsk hjelp)
- Det gjelder data fra ansatte i FLK/TTC foreninger og delingen er nødvendig for tilrettelegging eller tilsyn for ansatte eller personer som mottar sosialstøtte på grunn av sykdom eller nedsatt funksjonsevne
Spesielle kategorier
Behandling av data innen spesielle kategorier som helse, politikk, religion osv. er tillatt bare hvis det er i samsvar med de formål og betingelser som er nevnt ovenfor og i følgende tilfeller:
- Den berørte har gitt eksplisitt samtykke
- Behandling av informasjonen er nødvendig for FLK/TTC foreningene når de står som part eller som støtte for et juridisk krav eller blir trukket inn som en part i en sak for domstolene.
Bare helt nødvendige opplysninger vil bli delt.
Prinsipper for datasikkerhet og personvern
FLK/TTC foreningene anser lovlig og korrekt behandling av personlig informasjon som svært viktig for å kunne utføre sitt arbeid på beste vis og for å opprettholde tilliten fra medlemmer og andre kontakter.
FLK/TTC foreningene ønsker å sikre at personinformasjon blir behandlet korrekt og etter loven.
Med dette som mål slutter FLK/TTC foreningene seg til prinsippene for datasikkerhet slik de er formulert i General Data Protection Regulation (GDPR) 2018.
Prinsippene krever spesifikt at FLK/TTC foreningene:
- behandler persondata på en sikker måte og respekterer enkeltindividets privatliv
- behandler data på en måte som er i overensstemmelse med personvernprinsippene legitimitet, rettferdighet og åpenhet
- behandler persondata i samsvar med gjeldende lov og på en korrekt og hensynsfull måte
Formålsprinsippet
FLK/TTC foreningene:
- samler kun inn data til spesielt definerte og begrunnete formål
- samler og behandler data kun på et juridisk grunnlag som beskrevet
- ovenfor behandler persondata kun på den måten som er blitt definert i forkant
Reduksjon i bruk av data
FLK/TTC foreningene:
- behandler persondata for å utføre spesielle oppgaver eller for å oppfylle juridiske forpliktelser og sikter alltid på å holde mengden av data på et minimum. Der det er mulig anvendes færre eller ingen personlige data.
Dataoppbevaring
FLK/TTC foreningene:
- oppbevarer persondata for å utføre sine oppgaver eller for å oppfylle juridiske forpliktelser. Men dataene oppbevares ikke lenger enn nødvendig, generelt i tre år eller opptil sju år når det gjelder økonomidokumenter som er relatert til skattespørsmål, avhengig av nasjonale lovbestemmelser. ( Norge: 5 år)
Integritet og konfidensialitet
FLK/TTC foreningene:
- tar nødvendige forholdsregler for å beskytte persondata som beskrevet i denne personvernerklæringen. Personlige data blir kun behandlet av personer som er ansvarlige for personvern og som har taushetsplikt og kun for angitte formål.
Deling med tredjepart
FLK/TTC foreningene:
- deler persondata med en tredjepart når det er nødvendig for å utføre en oppgave eller møte et juridisk krav
- vil, hvis samarbeidet med tredjepart involverer behandling av persondata, avtale reglene for behandling og bruk av samme data med tredjepart og påse at disse reglene er I samsvar med lovverket. FLK/TTC foreningene vil til enhver tid bestrebe seg på å IKKE overføre persondata til land utenfor EU
Subsidiaritet/underordnethet og samsvarighet
- i prosessen med å oppnå formålet med bruken av data vil FLK/TTC foreningene alltid sørge for at inngrepet i den/de berørtes privatliv holdes på et minimum
- enhver overtredelse av personverngrenser skal stå i samsvar med formålet for bruken av data
Individets rettigheter
FLK/TTC foreningene anerkjenner alle rettigheter for hver enkelt de oppbevarer data om. Disse innbefatter:
- Rett til informasjon: enhver har rett til å spørre om deres data blir behandlet
- Rett til innsyn: enhver skal kunne sjekke hvordan deres data blir behandlet
- Rett til korrigering: enhver kan kreve at uriktig informasjon blir rettet
- Rett til sletting: når en person har gitt sitt samtykke til at deres opplysninger blir behandlet, har de også rett til å be om at opplysningene blir slettet og fjernet
- Rett til å protestere: enhver har rett til å protestere mot hvordan deres personlige data blir behandlet. FLK/TTC foreningene vil rette seg etter den anmodningen med mindre det er berettigede grunner for behandlingen
I samsvar med det ovenstående er alle ansatte og frivillige:
- trenet til å anse alle opplysninger som konfidensielle
- trenet til å beskytte dem mot brudd på taushetsprinsippet og å reagere når det skjer et brudd
- og forstår at de kun skal oppbevare andre personers personlige opplysninger eller kopier av dokumenter eller andre former for personlige data, inkludert forretningsinformasjon, når de har en juridisk forpliktelse til å oppbevare dem eller i tilfeller hvor disse dataene er nødvendige for de formål som er nevnt tidligere
- og forstår at det ikke er juridisk grunnlag for å oppbevare kopier av økonomidokumenter etter at årsoppgjøret er klart, unnatt de som må oppbevares med grunnlag i annen lov. Alle andre dokumenter enn de sistnevnte skal destrueres.
- og forstår at e-poster som inneholder personopplysninger skal slettes så fort opplysningene ikke lenger er relevante
- og forstår at alle data skal beskyttes og oppbevares sikkert enten fysisk i låsbart skap eller under kode/passordbeskyttelseare
6. Innsamling av data
FLK/TTC foreningene garanterer at personopplysninger blir samlet inn i samsvar med GDPR og denne personvernerklæringen. Dette gjelder opplysninger man mottar direkte fra en person eller ved at de fyller ut et skjema. Uten en viss mengde informasjon er det vanskelig å opprettholde et medlemskap.
7. Oppbevaring av data
Informasjon og dokumenter som gjelder medlemmer vil bli oppbevart sikkert og vil bare være tilgjengelig for personer som vil ha bruk for dem på grunnlag av det som er beskrevet ovenfor.
Informasjonen vil oppbevares bare så lenge som det er bruk for den eller for et tidsrom med grunnlag i annet lovverk som overstyrer GDPR, og den vil bli slettet på forskriftsmessig vis. Spørsmål om tidsrammer for oppbevaring av data kan rettes til den personen som er utnevnt til GDPR ansvarlig (se e-postadresse nedenfor). Det er FLK/TTC foreningenes ansvar å sikre at ingen person- eller forretningsinformasjon kan hentes ut fra noe datasystem eller materiell foreningen har brukt og så bli gitt videre/solgt til en tredjepart.
8. Datatilgang og eventuell oppdatering
Informasjonsplikt (artikkel 13 og 14 GDPR)
FLK/TTC foreningene skal informere alle om hvordan deres personopplysninger vil bli behandlet, og det skal gjøres når de samles inn.
Sletting av data
FLK/TTC foreningene oppbevarer ikke persondata lenger enn det er nødvendig og på de grunnlag som er nevnt ovenfor. Data blir slettet så fort som mulig, destruert eller endret på en slik måte at det ikke lenger kan brukes til å identifisere en person. Når medlemskapet er opphørt, oppbevares ingen informasjon for en periode lenger enn tre år som en generell regel, men opp til sju år når det gjelder økonomidokumenter som kreves for skattedokumentasjon. Dette varierer fra land til land, i Norge krever loven fem år. Spørsmål om innsyn
Etthvert medlem kan søke om innsyn i sine personopplysninger og søke om å endre dem hvis nødvendig. Denne søknaden må rettes til GDPR-ansvarlig i det landet man er medlem. FLK/TTC foreningen vil ta stilling til om det er et berettiget krav og må innen en måned gi et fyllestgjørende svar til vedkommende om søknaden blir innvilget og hvordan endringen skal gjøres. Hvis søknaden ikke innvilges, har søkeren rett til å få sin protest hørt eller til å innlevere klage til relevant nasjonal myndighet.
Når de mottar en søknad, kan FLK/TTC foreningene be om tilleggsinformasjon i form av kopi av førerkort eller pass, for å bekrefte søkerens identitet.
I tillegg garanterer FLK/TTC foreningene at:
- de har oppnevnt en person med spesielt ansvar for å garantere at personvernreglene blir fulgt
- alle som behandler personopplysninger forstår at de er under taushetsløfte og med det også ansvarlig for å følge god praksis for datasikkerhet
- alle som behandler personopplysninger har fått riktig opplæring
- alle som behandler personopplysninger får god oppfølging
- alle som skulle ha behov for å stille spørsmål vedrørende slik databehandling vet hvordan de skal gå fram og hvem de skal spørre
- de raskt og imøtekommende tar seg av alle spørsmål om behandling av personopplysninger. Svar skal gis innen en måned
- de gir klare svar på alle spørsmål om behandling av personvernopplysninger
- de regelmessig gjennomgår og eventuelt reviderer prosedyrene for oppbevaring, behandling og bruk av personopplysninger
- de regelmessig gjennomgår og evaluerer sine metoder og praksis i behandlingen av personopplysninger
- alle er klar over at brudd på regler og prosedyrer i denne personvernerklæringen kan føre til disiplinære tiltak
9. Mislighold av data
Mislighold av persondata er tap av personopplysninger ved for eksempel tap av en laptop, tap av papirdokumenter og andre brudd på sikkerheten eller personvern som, enten ved et uhell eller ved lovbrudd, fører til ødeleggelse, tap, endring eller uautorisert tilgang til personvernopplysninger. Dette inkluderer uautorisert tilgang til videresendt, lagret (eller på annen måte) behandlet data, for eksempel tap av minnepinne eller uautorisert tilgang til persondata for tredjepart. Slike hendelser må etter GDPR regler rapporteres til den som er oppnevnt som GDPR-ansvarlig, kontaktinformasjon nedenfor. Denne rapporterer igjen til styret som er ansvarlig for at hendelsen blir tatt opp og behandlet på forskriftsmessig måte. Visse hendelser kan man i følge GDPR være pliktig å melde til relevant tilsynsmyndighet.
Frivillige og ansatte er oppmerksom på:
- behovet for å holde personopplysninger konfidensielle og sikre
- hvem de skal kontakte i tilfelle sikkerhetsbrudd, når og hvordan
- hvordan identifisere et sikkerhetsbrudd
Når et datasikkerhetsbrudd er identifisert og rapportert til GDPR-ansvarlig, skal vedkommende, hvis det er påkrevet, rapportere videre til relevant myndighet i løpet av 72 timer. Hvis det av en eller annen grunn rapporteres senere enn etter 72 timer, må årsaken til forsinkelsen vedlegges rapporten.
Et sikkerhetsbrudd kan føre til mer alvorlig risiko for en persons sikkerhet og frihet. I et slikt tilfelle bør den eller de som har vært utsatt for brudd på personvernet kontaktes direkte med en klar rapport om hva som har skjedd. I etterkant av et sikkerhetsbrudd skal omstendighetene rundt bruddet granskes, en risikoanalyse gjøres og bedre kontrollmekanismer innføres for å hindre lignende brudd senere.
10. Klager
Hvis et medlem føler at deres rettigheter i henhold til GDPR har blitt svekket eller skadet/kompromittert, kan de levere en klage til GDPR-ansvarlig i den foreningen hvor de er medlem. Klager blir videresendt til styret for å garantere en upartisk/nøytral/rettferdig behandling.
11. Oppdateringer av personvernerklæringen
Denne personvernerklæringen vil bli oppdatert ved behov for å gjenspeile optimal dataforvaltning, sikkerhet og kontroll og for å garantere at den til enhver tid samsvarer med eventuelle endringer eller oppdateringer I GDPR 2018.
Ansvarsfraskrivelse
Dette er en enkel og og forståelig fortolkning av gjeldende personvernlov basert på GDPR. Selvfølgelig tar de gjeldende lover og vedtekter presedens og ingen rettigheter kan begrunnes med grunnlag i dette dokumentet.
Skulle det være noen spørsmål I forbindelse med denne personvernerklæringen, ber vi deg kontakte GDPR-ansvarlig i det landet hvor du er medlem.
Belgium beprotectiondesdonnees@taoisttaichi.org
Czech Rep czochranadat@taoisttaichi.org
France frprotectiondesdonnees@taoisttaichi.org
Denmark dkdatabeskyttelse@taoisttaichi.org
Germany dedatenschutz@taoisttaichi.org
GB ukdataprotection@taoisttaichi.org
Hungary huadatvedelem@taoisttaichi.org
Ireland iedataprotection@taoisttaichi.org
Italy itprotezionedati@taoisttaichi.org
Netherlands nlgegevensbescherming@taoisttaichi.org
Norway nodatasikkerhet@taoisttaichi.org
Poland plochronadanych@taoisttaichi.org
Portugal ptprotecaodedados@taoisttaichi.org
Spain esprotecciondedatos@taoisttaichi.org
Slovakia skochranadat@taoisttaichi.org
Sweden sedataskydd@taoisttaichi.org
Switzerland chdataprotection@taoisttaichi.org
Ukraine uazakhystdanykh@taoisttaichi.org
Version: created July 2019.
Cookie Policy | Legal Disclaimer