Kulturföreningen Grand och Dataskyddsförordningen GDPR
GDPR (General Data Protection Regulation) är EU:s nya dataskyddsförordning som ersätter personuppgiftslagarna i varje EU-land. EU:s nya dataskyddsförordning tillämpas fr.o.m. 25.5.2018.
Kulturföreningen Grand följer Finlands och EU:s lagstiftning vad gäller dataskydd och vi har förberett oss för verkställandet av dataskyddsförordningen genom att upprätta registerbeskrivningar samt avtal för insamling av och handskande med personuppgifter.
Allmänt kan vi säga att Kulturföreningen Grand samlar in och hanterar personuppgifter
1) för att upprätthålla personal- och kundregister
2) för att kunna skicka information till registrerade medlemmar och andra personer i samband med olika anmälnings- och deltagarlistor samt till prenumeranter av vårt nyhetsbrev och
3) i samband med rekrytering och utbetalning av lön till anställda.
1. Registerbeskrivningar
1) Personalregister:
-Arbetsavtal (nuvarande + gamla anställda, dock max 10 år)
-Information för löneutbetalning (kontonummer)
-Kontaktuppgifter (telefonnummer, e-post och adresser)
-Foto, telefon och e-post på hemsidan (ordinarie personal)
2) Nyhetsbrev:
-e-postadresser (insamlade genom fysisk lapp eller på formulär på hemsidan)
3) Styrelsen:
-namn
-författning
-e-postadresser
-telefonnummer
-hemadresser
4) Årshyresgäster:
-Ansvarspersonernas namn
-Kontaktuppgifter (telefon, e-post, adress för fakturering)
-När på plats (mötesdag)
5) Samarbetsparter:
-Företagets namn
-Kontaktpersoner namn
-Kontaktuppgifter (telefon, e-post, adress för fakturering och julhälsning)
6) Nyckelregister:
-Nyckelnummer
-Namn på vem som löst ut nyckel + när
-Telefonnummer eller e-post
7) Biljettförsäljning:
-Namn
-Telefonnummer
-I vissa program (Lippu.fi, Ticketmaster, NetTicket, Tiketti) även e-post och/eller adress
(I dessa fall agerar vi som registerhanterare och följer det aktuella företagets GDPR-
anvisningar)
2. Vad använder vi registren till?
1) Personalregister: för löneutbetalning, kallelse till årsmöte och andra inbjudningar
2) Nyhetsbrev: för information om och marknadsföring av kommande händelser samt föreningens verksamhet och Kulturhusets utrymmen.
3) Styrelsen: sammankalla till möten, inbjudan till evenemang, julhälsning
4) Årshyresgäster: koordinering av utrymmen, fakturering, inbjudan till evenemang, julhälsning.
I vissa fall marknadsföring av evenemang.
5) Samarbetspartner: fakturering, inbjudan till evenemang, julhälsning.
I vissa fall marknadsföring av evenemang.
6) Nyckelregister: koordinering av utrymmen och tillgång till utrymmen. Vetskap om vem som har tillträde till huset/de olika utrymmena.
7) Biljettförsäljning: så att rätt person får rätt biljetter, informera om inhiberade tillställningar och/eller ändringar i tidtabellerna angående konserter/evenemang.
3. Hur har personer rätt att komma åt sina uppgifter/rätt att bli glömda?
Vi kommer fortsätta arbetet med våra registerbeskrivningar och att uppdatera våra kundregister så att de motsvarar de nya direktiven och följer Finlands och EU:s lagstiftning.
De register vi upprätthåller är tillgängliga så att personer har rätt att fråga efter vilka uppgifter vi har på dem, samt att få dessa uppgifter skickade till sig om de så önskar. Per e-post till luckan@grand.fi har alla rätt att få information om i vilka register man finns med, vilka uppgifter vi har samt rätt att be oss radera all information!
För föreningar gäller även Bokföringslagen (1336/1997) som reglerar hur bokföringshandlingar ska hanteras. Bokslut och verksamhetsberättelse skall sparas för evigt och övriga verifikat som hänför sig till bokföringen ska bevaras minst i sex år från utgången av det år då räkenskapsperioden har upphört:
”10 § 1–2 mom.
Bokslut, verksamhetsberättelser, bokföringar, kontoplaner samt förteckningar över bokföringar och material ska bevaras i minst tio år efter räkenskapsperiodens utgång så att kraven i 6, 7 och 9 § uppfylls.
Om längre bevaringstid inte föreskrivs någon annanstans i lag ska räkenskapsperiodens verifikationer, korrespondens om affärshändelser och annat bokföringsmaterial än sådant som nämns i 1 mom. bevaras minst sex år från utgången av det år då räkenskapsperioden har upphört så att kraven i 6, 7 och 9 § uppfylls.”
Flera finansiärer (ESF, UKM IM) förutsätter att projektdokumentation bevaras i 10 år och denna tid kan förlängas.
Vi raderar gammal information enligt följande:
1) Personalregister:
För hantering av löneuppgifter och bokföringen finns egen lagstiftning och regler för hur länge dokument skall sparas. När vi tar emot arbetsansökningar skall dessa förstöras när de inte längre är relevanta. Icke-valda personers ansökningar och bilagor skall förstöras snarast, men senast efter två (2) år. Det här baserar sig på Jämställdhetslagens regler om besvärstid. När det gäller arbetsavtal är praxis att de sparas tio (10) år efter avslutat arbetsförhållande.
2) Nyhetsbrev:
Vi använder oss av nyhetsbrevbottnet MailChimp och i varje nyhetsbrev finns möjligheten att välja att bli bortglömd, det vill säga att du raderas från utskickslistan. Det går även bra att meddela till luckan@grand.fi att man inte längre önskar ta emot vårt nyhetsbrev och då raderas man från utskickslistan.
3) Styrelsen:
Gamla styrelsemedlemmars kontaktuppgifter raderas och endast deras namn samt möjliga titel bevaras i arkiven. (Observera att vi även här följer bokföringslagen och dess krav på att bevara information).
Nuvarande styrelsemedlemmar har rätt att komma åt sina uppgifter och besluta om vilka uppgifter vi har på dem.
4) Årshyresgäster:
Vi raderar föreningarnas uppgifter från våra register då de slutar vara årshyresgäster i huset.
De personer som anmäls som kontaktperson bevaras tills en ny kontaktperson för föreningen utses och vi får meddelande om detta. När vi fått besked om byte av kontaktperson uppdateras registret och gamla uppgifter raderas. (Observera att vi även här följer bokföringslagen och dess krav på att bevara information).
5) Samarbetsparter:
Vi raderar företagens uppgifter från våra register då de slutar vara vår samarbetspart. De personer som vi haft som kontaktperson bevaras tills en ny kontaktperson utses och vi får meddelande om detta. (Observera att vi även här följer bokföringslagen och dess krav på att bevara information).
6) Nyckelregister:
Vi upprätthåller nyckelregister för nycklar som går till Kulturhusets dörrar. När en kund kvitterar ut en nyckel samlar vi in information om vilken nyckel som kvitterats ut (koder på nyckeln), vem som kvitterat ut nyckeln samt datum när nyckeln kvitterats ut. Så fort vi kvitterat in nyckeln tillbaks märker vi det i listan. Listorna sparas i max 2 år och uppgifterna används inte efter att nyckeln kvitterats tillbaks.
7) Biljettförsäljning:
Kontaktuppgifterna som samlas in i samband med biljettreservationer raderas så fort biljetterna har lösts ut och betalats.
Personuppgifter som samlas in genom Lippu.fi, Ticketmaster, Tiketti eller NetTicket har vi ingen möjlighet att radera, men dessa uppgifter behandlas enligt dessa företags anvisningar och används inte för annat än de biljetter de samlats in i samband med.
8) Kabinettens och evenemangens hyresavtal:
I hyresavtalen insamlade kontaktuppgifter används inte till annan kommunikation än sådan som berör den aktuella reservationen. Kunden informeras om vilka uppgifter som samlas in vid reservation av utrymmet och till vad dessa uppgifter används som en punkt i hyresavtalet. Uppgifterna raderas efter att vi fakturerat samt statistikfört evenemanget. (I statistikföringen framkommer aldrig vem som hyrt ett visst utrymme).
9) Luckan shop:
Kommissionsavtal för produkter som vi har till försäljning görs upp då nya produkter tas in. De personuppgifter som samlas in är till för kommunikation kring försäljningen av dessa produkter, samt för utbetalning av inkomster av denna försäljning. Avtalen och kontaktuppgifterna raderas då produkten inte längre finns till försäljning hos oss. Eller i fall kontaktpersonen byts ut, då raderas kontaktuppgifterna för kontaktpersonen så fort vi fått information om den nya kontaktpersonen.
10) Anmälningsformulär:
Anmälningar samlas in i första hand via Google Forms eller formulär på vår hemsida. Då skyddas personuppgifterna enligt Googles dataskyddsanvisningar. I anmälningarna samlas inte onödig information in, men namn samt kontaktuppgifter är vanligtvis nödvändiga. Samtliga anmälningslistor raderas efter evenemanget, utskick av feedbackformulär och statistikföring (i statistiken framkommer inte enskilda personer utan deltagarantal).
-Formuläret måste innehålla information om VARFÖR vi samlar in information
-Namn = check av närvarande
-E-post = utskicka av feedbackformulär/info om kommande event (om vi fått lov)
-Dieter = fall av traktering vid evenemang
Information i elektronisk form raderas (även från papperskorgen), information vi har i pappersform körs genom en dokumentförstörare (paperisilppuri).
Information sparas endast så länge som det är nödvändigt. Kontaktuppgifter byts ut och gamla kontaktpersoner raders så fort vi fått ersättare (styrelsemedlemmar, årshyresgäster, samarbetsparter osv.). Uppgifter som är nödvändiga för bokföring sparas så länge som bokföringslagen kräver (10 år).
4. Vem ansvarar för register och personuppgifter som sparas hos Kulturföreningen Grand?
Verksamhetsledaren (Nadina Vihinen, nadina.vihinen@grand.fi +358 40 8456 133) är ansvarig för hanteringen av föreningens kund- och personregister. Styrelsen (styrelseordförande Leena Stolzmann, leena.stolzmann@gmail.com) är dock personuppgiftsansvarig och ansvarar att förordningen om dataskydd följs. Styrelsen uppgift är att säkerställa att planeringen, rutinerna, regelverk, avtal, samtycke, dokumentation och utbildning kring GDPR förverkligas.
De personregister som finns sparas elektroniskt i Microsoft Office 360 molntjänst (Microsoft har bundit sig att följa EU:s GDPR lagstiftning). Tillgång till dessa register har verksamhetsledaren samt de ordinarie anställda (de med @grand.fi e-poster).
De personregister som finns sparade i pappersformat (i mappar) finns i Luckan/verksamhetsledarens rum. Luckan är alltid låst då ingen ur personalen finns på plats. I övrigt är mapparna under uppsikt av Kulturföreningens personal så att inga obehöriga har tillgång till dem.
Personuppgifter som samlas in och behandlas på Grand eller Luckan Borgå är tillgängliga endast för ordinariepersonalen och används endast till det som beskrivs i registerbeskrivningen.
Personuppgifterna lämnas inte ut till en tredje part, om inte lov till detta särskilt frågats.
Personuppgifterna används endast till information om kommande evenemang samt marknadsföring av våra egna utrymmen och tjänster
5. När är Grand hanterare av andras register?
Kulturföreningen Grand hanterar register för andra bl.a. i och med biljettförsäljning:
Ticketmaster, NetTicket, Lippupiste, Tiketti.
I dessa fall följer vi de avtal och direktiv som gjorts upp angående GDPR med dessa parter. Dock ser vi alltid själva till att följa dataskyddsförordningen och att skydda de personuppgifter vi har tillgång till enligt Finlands och EU:s lagstiftning.
När hanterar någon annan Grands register?
AMS Bokföring hanterar Grands personalregister för löneutbetalning.