GDPR Policy
Alla frågor om denna policy ska ställas till styrelsen för Taoistisk Tai Chi Förening Sverige som har ansvaret att hantera frågor som rör dataskydd och sekretess för anställdas, volontärers och deltagares/medlemmars personuppgifter.
E‑postadressen för gdpr-kontakt finns nedan.
1. Inledning
Alla FLK/TTC-organisationer som undervisar och främjar Fung Loy Kok Taoist Tai Chi® och Taoist Tai Chi® konstarter runt om i världen (”FLK/TTC-organisationerna”) är frivilligorganisationer. De är inriktade på att sammanföra människor med olika språk och kulturer i en gemenskap som fokuserar på att främja de grundändamål som grundaren, mästare Moy Lin Shin, fastställde; i korthet, att tillgängliggöra och främja de taoistiska konsterna och lärorna för att bidra till att lindra lidande. Fördelarna med denna konstart kan vara av immateriell natur.
FLK/TTC-organisationerna måste samla in och använda viss typ av information om de personer som kommer i kontakt med dem för att kunna bedriva sitt arbete och sin marknadsföring. Denna personliga information samlas in och behandlas på lämpligt sätt, oavsett om den samlas in på papper, lagras i en datadatabas eller registreras på annat material. Det finns skyddsåtgärder som beskrivs i den allmänna dataskyddsförordningen (GDPR) 2018 för att säkerställa detta.
2. Personuppgiftsansvarig
FLK/TTC-organisationerna är personuppgiftsansvariga enligt GDPR, vilket innebär att de bestämmer i vilket syfte och på vilket sätt personuppgifter ska behandlas i deras respektive land. FLK/TTC-organisationernas nationella styrelser är de lagliga företrädarna och ansvariga för att utarbeta, genomföra och upprätthålla den policy som beskrivs i detta dokument. Styrelserna har beslutat att utse ansvariga i sitt land vilka måste informeras om vilka personuppgifter som sparas och för vilket allmänt ändamål de används. De måste också informeras om alla förändringar som rör behandlingen av personuppgifter. Om du vill kontakta GDPR-ansvariga skickar du din förfrågan till e-postadressen för ditt land.
3. Ändamål (artikel 5 i GDPR)
FLK/TTC-organisationerna samlar in och behandlar personuppgifter i syfte att göra det möjligt för en person att bli medlem eller deltagare (enligt definitionen i varje land) och för att säkerställa dennes status som medlem/deltagare, inklusive möjligheten att delta i aktiviteter och evenemang, samt för att registrera detta medlemskap/deltagande. FLK/TTC-organisationerna använder också information för försäkringar och andra administrativa ändamål, i enlighet med deras legitima intressen.
Fotografier och videoklipp av medlemmar/deltagare kan användas för att främja Taoist Tai Chi® konstarter (främjande av Taoist Tai Chi® konstarter är ett av FLK/TTC-organisationernas ändamål och omfattar medlemskap/deltagande). Distribution och spridning av fotografier och videoklipp får dock endast ske med formellt tillstånd från Taoistisk Tai Chi Förening (TTCF) Sveriges styrelse, vilka är ansvariga för dataskyddet i Sverige och måste ligga i linje med FLK/TTC-organisationernas officiella ändamål. Uppgifterna behandlas inte för andra syften.
Ibland kan uppgifter användas på de lokala kontoren för att ta upp personliga frågor, t.ex. när en familjemedlem har dött eller för att meddela goda nyheter från medlemmarna. Sådan ad hoc-användning av uppgifter lämnas till de ansvariga för den lokala avdelningens verksamhet.
4. Laglig grund (artikel 6 i GDPR)
Enligt GDPR måste det finnas en laglig grund för databehandling och för FLK/TTC-organisationerna är den lagliga grunden att personen ska erkännas och valideras som medlem eller deltagare i en av FLK/TTC-organisationerna i ett visst land.
När det gäller behandling av finansiella betalningar tillämpar FLK/TTC-organisationerna ”avtalsförpliktelser” som rättslig grund. I utbyte mot en medlems- eller deltagarbidrag erbjuder FLK/TTC-organisationerna medlems- eller deltagarförmåner i strävan efter att uppnå och följa ändamålen.
För att tillhandahålla meddelanden om evenemang och för att ge ut redogörelser rörande evenemang, inklusive videor, fotografier osv använder sig FLK/TTC-organisationerna av ”berättigat intresse”, eftersom det är grundläggande för FLK/TTC-organisationernas ändamål och hållbarhet att kommunicera den verksamhet som äger rum globalt till organisationens medlemmar/deltagare och till allmänheten. All sådan information samlas dock in med hjälp av öppenhet, information om sekretess, dataminimering och iakttagande av proportionalitetsprinciperna.
Den rättsliga grunden samtycke används endast utanför de ovannämnda rättsliga grunderna ” avtalsförpliktelser” och ”berättigat intresse”.
5. Disclosure
FLK/TTC-organisationerna kan dela uppgifter med varandra vid behov.
- Uppgifterna samlas in för de specifika, beskrivna och motiverade ändamålen som anges ovan i punkt 3.
- Delning av dessa uppgifter sker för sådana ändamål.
- Den person vars uppgifter samlas in har informerats fullständigt och öppet om ändamålen och det faktum att deras uppgifter kan komma att delas och med vem.
- Uppgifterna delas om det är nödvändigt för att genomföra det avtal som ingåtts med personen eller om personen har gett sitt samtycke.
- Fotografiska och/eller videouppgifter får användas på FLK/TTC:s webbplatser eller sociala medier, över hela världen. Medlemmar/deltagare ges möjlighet att välja bort detta, om möjligt, men görs medvetna om att det är deras ansvar att meddela sina önskemål till fotografen vid varje evenemang. Om någon oavsiktligt skulle dyka upp på ett fotografi på vår webbplats, trots att man har vidtagit åtgärder för att undvika detta, kan den berörda personen kontakta den utsedda personen som kommer att se till att fotografiet tas bort så snart som möjligt.
- Uppgifter kommer endast att delas om det är nödvändigt, och kommer endast att delas om den underliggande rättsliga grunden tillåter det.
Ovanstående innebär specifikt att individen måste informeras om hur och med vem uppgifterna kommer att delas, och under vissa omständigheter, om ingen annan rättslig grund kan tillämpas, kan det vara nödvändigt att tillämpa samtycke som rättslig grund.
Uppgifter delas endast under särskilda omständigheter, t.ex. för att genomföra ett avtal i samband med deltagande i ett evenemang (bedöms från fall till fall).
I särskilda fall kan särskilda uppgifter behandlas och delas med tredje part utan den enskildes samtycke, nämligen och i den mån som:
- Om det är nödvändigt för att skydda den enskildes eller en annan persons vitala intressen (t.ex. om någon råkar ut för en olycka, inte kan ge sitt samtycke och uppgifterna delas för att få omedelbar medicinsk hjälp).
- Om det gäller uppgifter om anställda i FLK/TTC-organisationerna och delningen är nödvändig för att återintegrera eller handleda anställda eller personer som får socialt stöd på grund av sjukdom eller funktionshinder.
Uppgifter av särskild karaktär
Behandling av uppgifter av särskild karaktär, t.ex. hälsouppgifter, politiska uppgifter, religiösa uppgifter osv. är tillåten om den är förenlig med de formulerade ändamålen och andra bestämmelser under följande omständigheter:
- Den enskilde har gett sitt uttryckliga samtycke.
- Behandlingen är nödvändig för att FLK/TTC-organisationerna ska kunna genomföra eller stödja ett rättsligt anspråk, eller när domstolar agerar inom ramen för sin rättsliga behörighet.
Inga fler uppgifter kommer att delas än vad som är nödvändigt.
Principer för dataskydd
FLK/TTC-organisationerna anser att laglig och korrekt behandling av personuppgifter är mycket viktig för ett framgångsrikt arbete och för att upprätthålla förtroendet hos dem som de har att göra med.
FLK/TTC-organisationerna avser att se till att personuppgifter behandlas lagligt och korrekt.
I detta syfte följer FLK/TTC-organisationerna principerna för dataskydd, som anges i den allmänna dataskyddsförordningen (GDPR) 2018.
Principerna kräver särskilt att FLK/TTC-organisationerna:
- hanterar personuppgifter på ett säkert sätt och respekterar individers integritet
- behandla uppgifter på ett sätt som är förenligt med dataskyddsprinciperna om laglighet, rättvisa och öppenhet
- behandla personuppgifter i enlighet med lagen och på ett korrekt och hänsynsfullt sätt
Ändamålsprincipen
FLK/TTC-organisationerna:
- samlar endast in de uppgifter som är nödvändiga för specifikt definierade och motiverade ändamål
- samlar endast in och behandlar uppgifter på en rättslig grund enligt ovan
- Behandlar endast personuppgifter om enskilda personer enligt vad som fastställts i förväg
Minimering av uppgifter
FLK/TTC-organisationerna:
- behandlar personuppgifter för att utföra uppgifter eller för att uppfylla rättsliga skyldigheter och strävar i detta syfte efter att minimera behandlingen av personuppgifter. När så är möjligt behandlas färre eller inga personuppgifter
Lagring av uppgifter
FLK/TTC-organisationerna:
- lagrar personuppgifter för att utföra uppgifter eller uppfylla rättsliga skyldigheter, men lagrar dem inte längre än nödvändigt; tre år i allmänhet eller upp till sju år när det gäller finansiella dokument som rör skatteregister, beroende på lagstiftningen i varje land.
Integritet och sekretess
FLK/TTC-organisationerna:
- Vidtar lämpliga åtgärder för att skydda personuppgifter i enlighet med vad som anges i denna policy. Personuppgifter behandlas endast av personer som är ansvariga för att upprätthålla integritet och sekretess, och för det ändamål som de samlats in.
Delning med tredje part
FLK/TTC-organisationerna:
- delar personuppgifter med tredje part när det är nödvändigt för att utföra uppgifter eller uppfylla rättsliga skyldigheter.
- vid samarbete med tredje part när det gäller behandling av personuppgifter, kommer att komma överens om kraven för behandlingen med den tredje parten och se till att dessa krav är rättsligt anpassade. FLK/TTC-organisationerna kommer alltid att sträva efter att INTE överföra personuppgifter utanför EU.
Nödvändighet och proportionalitet
- FLK/TTC-organisationerna kommer att se till att alla kränkningar av den enskildes privatliv är så små som möjligt när de uppnår det ändamål för vilket uppgifterna behandlas.
- Alla intrång i den enskildes intressen ska stå i proportion till ändamålet med behandlingen.
Individens rättigheter
FLK/TTC-organisationerna respekterar alla rättigheter för de personer om vilka information finns. Dessa inkluderar:
- Rätt till information: Individer har rätt att fråga om deras personuppgifter behandlas
- Rätt till insyn: enskilda personer har möjlighet att kontrollera hur deras uppgifter behandlas.
- Rätt till rättelse: personer kan begära att felaktiga uppgifter rättas.
- Rätt att bli bortglömd: När en person har gett sitt samtycke till att hans eller hennes uppgifter behandlas har han eller hon rätt att begära att uppgifterna raderas och avlägsnas.
- Rätt att invända: Enskilda personer har rätt att invända mot behandlingen av deras personuppgifter. FLK/TTC-organisationerna kommer att uppfylla begäran om det inte finns motiverade skäl för behandlingen.
I enlighet med ovanstående är alla anställda och volontärer:
- utbildade för att hålla uppgifter hemliga.
- utbildade i att skydda dem från överträdelser samt i att reagera på överträdelser.
- medvetna om att de endast ska bevara andras personuppgifter eller kopior av dokument eller andra register som innehåller personuppgifter, inklusive företagsuppgifter, när de uppfyller lagliga skyldigheter att bevara uppgifter eller i den mån dessa uppgifter är nödvändiga för de angivna ändamålen.
- medvetna att när den årliga finansiella revisionen är klar finns det ingen laglig anledning att behålla kopior av finansiella dokument från tiden före revisionen, förutom de som lagras på huvudkontoret under den lagstadgade tiden, och att de därför bör förstöra allt de har.
- medvetna att e-postmeddelanden med personuppgifter ska raderas när uppgifterna inte längre behövs.
- medvetna att alla uppgifter ska hållas privata och säkra, antingen under lås och nyckel/kod om de är fysiska, eller kodade/krypterade/lösenordsskyddade om de är elektroniska.
6. Insamling av uppgifter
FLK/TTC-organisationerna ser till att data samlas in inom de gränser som definieras i GDPR och denna policy. Detta gäller uppgifter som samlas in personligen eller genom att fylla i ett formulär. Utan vissa uppgifter är inte medlemskap/deltagande möjligt.
7. Lagring av uppgifter
Information och register som rör deltagare/medlemmar kommer att lagras på ett säkert sätt och kommer endast att vara tillgängliga för personer som behöver dem för det angivna ändamålet.
Informationen kommer endast att lagras så länge som den behövs eller i enlighet med föreskrivna stadgar, och kommer att kasseras på lämpligt sätt. Frågor om hur länge vissa uppgifter kan lagras kan ställas till de som är utsedda att ansvara för dataskyddet (genom att skicka ett meddelande till nedanstående e-postadress).
Det är FLK/TTC-organisationernas ansvar att se till att alla personuppgifter och företagsuppgifter inte kan återställas från datasystem som tidigare använts inom organisationen och som har överlåtits/försäljts till tredje part.
8. Tillgång till och korrekthet av uppgifter
Skyldighet att informera (artiklarna 13 och 14 i dataskyddsförordningen)
FLK/TTC-organisationerna informerar enskilda personer om behandlingen av deras personuppgifter när de samlas in.
Radering
FLK/TTC-organisationerna behåller inte personuppgifter längre än nödvändigt och endast för det angivna ändamålet. De raderas så tidigt som möjligt och förstörs eller anpassas på ett sådant sätt att de inte längre kan användas för att identifiera en person. När medlemskapet/deltagandet har upphört behåller FLK/TTC-organisationerna inte information längre än tre år i allmänhet, och upp till sju år när det gäller finansiella dokument som rör skatteregister, i enlighet med lagstiftningen i varje land.
Inlämnande av begäran
Alla medlemmar/deltagare kan lämna in en begäran om att få tillgång till/se sina personuppgifter och lämna in en begäran om att ändra dem om det behövs. Denna begäran måste lämnas in till de/den som ansvarar för dataskydd i det land där personen är medlem/deltagare. FLK/TTC-organisationerna kommer att utvärdera om begäran är berättigad och svara på lämpligt sätt för att informera personen om och hur begäran kommer att tillgodoses, inom en månad från mottagandet av begäran. Om begäran inte beviljas har individen möjlighet att invända eller lämna in ett klagomål till den berörda myndigheten.
Vid mottagandet av en begäran kan FLK/TTC-organisationerna begära ytterligare information, t.ex. en kopia av körkort eller pass, för att bekräfta individens identitet.
Dessutom ser FLK/TTC-organisationerna till att:
- de har utsedd person/personer med särskilt ansvar för att se till att dataskyddet följs.
- alla som behandlar personuppgifter förstår att de har ett kontraktsmässigt ansvar för att följa god dataskyddspraxis.
- alla som behandlar personuppgifter har fått lämplig utbildning för detta.
- alla som behandlar personuppgifter övervakas på lämpligt sätt.
- alla som vill göra förfrågningar om hanteringen av personuppgifter vet vad de ska göra och vem de ska fråga.
- de behandlar snabbt och artigt, inom en månad, alla förfrågningar om hantering av personuppgifter.
- de tydligt beskriver hur de hanterar personuppgifter.
- de regelbundet ser över och granskar hur de innehar, hanterar och använder personuppgifter.
- de regelbundet bedömer och utvärderar sina metoder och prestationer i samband med hanteringen av personuppgifter.
- all personal är medveten om att brott mot de regler och förfaranden som anges i denna policy kan leda till att disciplinära åtgärder vidtas mot dem.
9. Dataintrång
En personuppgiftsincident är en förlust av personuppgifter, t.ex. en förlorad bärbar dator, förlorade papper och alla andra säkerhets- eller integritetsincidenter som, antingen av misstag eller på ett olagligt sätt, leder till att personuppgifter förstörs, förloras, ändras eller obehörig får åtkomst till dem. Detta omfattar obehörig åtkomst till vidarebefordrade, lagrade (eller på annat sätt) behandlade uppgifter, t.ex. förlust av ett minnesstick, obehörig åtkomst till personuppgifter av tredje part. För att säkerställa att GDPR följs ska sådana incidenter rapporteras till TTCF Sveriges styrelse, som är ansvarig för att ta hand om dataskydd.
Kontaktuppgifter till styrelsen finns nedan. Styrelsen är ansvarig för att se till att lämpliga åtgärder vidtas vid sådana händelser. Om GDPR kräver det kan vissa incidenter behöva rapporteras till relevanta tillsynsmyndigheter.
Volontärer och anställda är medvetna om:
- behovet av att hålla personuppgifter privata och säkra.
- vem de ska kontakta om det sker en överträdelse, när och varför.
- hur man känner igen en överträdelse
När ett dataintrång har identifierats och rapporterats till den utsedda personen ska denne utan oskäligt dröjsmål, inom 72 timmar efter att ha fått kännedom om intrånget, rapportera intrånget till den relevanta myndigheten, om så krävs. Om det av någon anledning rapporteras senare än 72 timmar ska orsaken till förseningen läggas till i rapporten.
Det är möjligt att en överträdelse medför en högre risk för en enskild persons rättigheter och friheter, och i så fall kan den eller de personer vars personuppgifter har överträtts kontaktas direkt på ett enkelt och tydligt språk. Efter att ett intrång har inträffat kommer omständigheterna att utvärderas, en riskbedömning att göras och förebyggande kontroller att genomföras för att minimera andra intrång i framtiden.
10. Klagomål
Om en medlem/deltagare anser att deras rättigheter enligt GDPR har åsidosatts kan de lämna in ett klagomål till lämplig person i det land där de är medlemmar/deltagare. Klagomålen kommer att riktas till styrelsen för att säkerställa att de behandlas opartiskt.
11. Uppdateringar av policy
Denna policy kommer att uppdateras vid behov för att återspegla bästa praxis inom datahantering, säkerhet och kontroll och för att säkerställa överensstämmelse med eventuella ändringar eller tillägg till GDPR 2018.
Ansvarsfriskrivning
Detta är en enkel och begriplig översättning av den nuvarande integritetslagstiftningen baserad på GDPR. Naturligtvis är de tillämpliga lagarna och förordningarna alltid ledande och inga rättigheter kan avledas från detta dokument.
Om du har några frågor eller funderingar kring denna policy ber vi dig kontakta den person som ansvarar för att dataskyddet efterlevs i det land där du är medlem.
Belgien beprotectiondesdonnees@taoisttaichi.org
Tjeckien czochranadat@taoisttaichi.org
Frankrike frprotectiondesdonnees@taoisttaichi.org
Danmark dkdatabeskyttelse@taoisttaichi.org
Tyskland dedatenschutz@taoisttaichi.org
Storbritanien ukdataprotection@taoisttaichi.org
Ungern huadatvedelem@taoisttaichi.org
Irland iedataprotection@taoisttaichi.org
Italien itprotezionedati@taoisttaichi.org
Nederländerna nlgegevensbescherming@taoisttaichi.org
Norge nodatasikkerhet@taoisttaichi.org
Polen plochronadanych@taoisttaichi.org
Portugal ptprotecaodedados@taoisttaichi.org
Spanien esprotecciondedatos@taoisttaichi.org
Slovakien skochranadat@taoisttaichi.org
Sverige sedataskydd@taoisttaichi.org
Schweiz chdataprotection@taoisttaichi.org
Ukraina uazakhystdanykh @taoisttaichi.org
Version: skapad juli 2019.