Diskussion:Åtgärdsplan för uppfyllande av dataskyddsreformen

Om denna diskussion

Inte redigerbar

Ainali (diskussionbidrag)
André Costa (WMSE) (diskussionbidrag)

En not här om några relevanta tasks i Phabricator (alla GDPR tasks ska ligga under T185470):

  • T189100 - om att skapa en ny medlemsblankett (papper) som samlar in de uppgifter vi behöver i Zynatic samt medgivande
  • T189098 - om att skapa en rutin för att hantera minderåriga medlemmar
  • T189097 - Behovet av en policy för hur vi ska hantera medlemar som saknar nödvändig data (t.ex. medgivande)
  • T189094 - För att stämma av att vi fått in personuppgiftsbiträdesavtal för Zynatic
  • T189102 - Personuppgiftsbiträdesavtal för Opad

Medgivande vid medlemskap

4
André Costa (WMSE) (diskussionbidrag)

Per detta inlägg på Phabricator

Zynatic har lagt till en mekanism med vilken medlemmar uttryckligen kan ge sitt godkännande till att vi lagrar deras personuppgifter (godkännandet dateras och kopplas till den medlemmen).

Det är oklart för mig hur vi ska hantera nya medlemmar som inte loggar in och själva gör detta. Räcker det med en kryssruta på pappersformuläret som vi sedan diarieför och kopplar till medlemskapet?

Hur gör vi med förnyande medlemmar som bara betalar in avgiften utan att logga in?

Historiker (diskussionbidrag)

Mycket bra att Zynatic lagt till den funktionen. Jag föreslår att att vi gör så, att i utskicket för förnyelse av medlemskap, skriver vi att det krävs att de loggar in och ger sitt godkännande. Är det så att vi får en inbetalning via exempelvis giroinbetalning utan att den föregåtts av utskicket, så skickar vi ut ett tackmejl-/brev, och uppmanar dem att logga in och ge sitt godkännande.

André Costa (WMSE) (diskussionbidrag)
Historiker (diskussionbidrag)

Tack för det.

Historiker (diskussionbidrag)

Tiden för lagring av personaluppgifter efter anställningens upphörande håller jag på att undersöka. Vid diskussion med IT-säkerhetskunnig idag rekommenderades 18 månader, för att kunna hantera deklarationsuppgifter mm. För anställningsbetyg etc, skulle man kunna ha längre tid, för vilket den anställde i så fall skall lämna medgivande. Syftet skulle kunna vara att få ut kopia på anställningsbetyg vid senare tillfälle.

För ansökningshandlingar rekommenderades 9 månader efter tjänstetillsättning, då man enligt jämställdhetslagstiftning kan överklaga en tjänstetillsättning under den tiden.

Mall Dataskyddsförordningen

1
Historiker (diskussionbidrag)

Jag har nu skapat Mall:Dataskyddsförordningen, som binder ihop de olika sidorna som rör Dataskyddsförordningen och som skall utgöra våra offentliga sidor om hur vi följer den.

Sidor om föreningens hantering av dataskydd och integritet

1
Historiker (diskussionbidrag)
André Costa (WMSE) (diskussionbidrag)

Jag satte upp phab:T185470 för att hålla ordning på de av uppgifterna som dyker upp där.

André Costa (WMSE) (diskussionbidrag)
André Costa (WMSE) (diskussionbidrag)

Servermässigt har vi data hos

  • Bahnhof
  • FSData
  • GleSys
  • WMF (föreningswikin + toollabs-verktyg)
Axel Pettersson (WMSE) (diskussionbidrag)

En blogpost om Mailchimps arbete med GDPR finns här.

André Costa (WMSE) (diskussionbidrag)
André Costa (WMSE) (diskussionbidrag)

@Historiker

Nu när vi särkopplar medlemsregistret från bokföringen bör vi då även se över rensningsrutinen för medlemsregistret? Bokföringen om en medlemsbetalning behöver ligga kvar i 10 år men behöver resten av medlemsinformationen göra det? Och om den behöver det betyder det i så fall att vi måste neka raderingar av den informationen?

Historiker (diskussionbidrag)

Ja, då kan vi rensa medlemsregistret relativt snart efter det att en medlem lämnat. Vi kan göra en årlig rensning av registret.

André Costa (WMSE) (diskussionbidrag)

Eller åtminstone ta ner det till tre år (vår standard för övriga register)

Det finns inga äldre ämnen
Tillbaka till sidan "Åtgärdsplan för uppfyllande av dataskyddsreformen".