Personuppgiftspolicy för Stiftelsen Vipassana Sverige

Syfte
I denna personuppgiftspolicy för Stiftelsen Vipassana Sverige, 802481-1963, Holmen 1, Ödeshög, förklarar vi hur dina personuppgifter behandlas.

Från det att du ansöker till en Vipassanakurs till dess att uppgifterna raderas, vidtar vi olika försiktighetsåtgärder. Vi avser att uppfylla alla juridiska förpliktelser som ställs på oss. Vi inser att du lämnar uppgifterna i god tro och respekterar de rättigheter du har till följd av detta. I denna policy förklarar vi vilka vi är, varför vi behöver behandla vissa personuppgifter, vad vi gör med uppgifterna och hur du kan hävda dina rättigheter när det gäller vår behandling av personuppgifter.

Vilka vi är
De uppgifter du lämnar kommer att behandlas av olika juridiska personer.

När du ansöker till en 10-dagars Vipassanakurs behandlas dina uppgifter genom en process för online-ansökningar som kallas CALM (förkortning för Course Application and Letters Management). Detta system kontrolleras av Stiftelsen Calm, som är baserad i Rotterdam, Nederländerna, och kan nås med epost: [email protected]. Stiftelsen Vipassana Sverige använder detta system för att organisera kurser och är ansvarig för behandlingen av dina uppgifter. Stiftelsen Vipassana Sverige använder uppgifterna för att ge dig plats på kursen samt allokera dig ett rum och en plats att meditera.

Om du ansöker till en långkurs (20 dagar eller längre), behandlas din ansökan av dhamma.org, som också kan nås med epost: [email protected].

Skälen till att vi behandlar vissa uppgifter
En Vipassanakurs kan vara intensiv och krävande. Med utgångspunkt från den information du lämnar, gör vi en bedömning av om du är i psykiskt och fysiskt skick att genomföra kursen.

Vi använder också informationen till att:
- planera sovplats, mat och transport;
- hantera ekonomisk information för att fullgöra våra juridiska skyldigheter, t.ex. när det gäller bokföring och redovisning;
- ge dig stöd och vägledning samt ge ytterligare information t.ex. genom informationslista och nyhetsbrev;
- ge dig information om möjligheter att hjälpa till genom att volontärarbeta eller skicka dig annan relevant information.

Vi kommer inte göra detta om du inte vill.

Det finns situationer då vi behöver behålla vissa personuppgifter eftersom någon annars riskerar att skada sig själv eller andra genom att delta i en kurs. Om detta gäller dig har du rätt att motsätta dig detta och begära att beslutet överprövas.

Vilken uppgifter vi behandlar
Vi behandlar ditt namn, födelsedatum, kön, yrke, uppgifter om fysisk och psykisk hälsa (som lämnats av dig), partners namn, namn på vänner, kontaktperson vid nödfall, allmänna kontaktuppgifter, uppgifter om tidigare kurser samt förstaspråk och andra språk du förstår. Om vi på goda grunder bedömer att det är för ditt bästa att inte delta i en kurs, kommer vi att behandla uppgifter om skälen för detta. Vi behandlar också registreringsnumret på din bil i händelse vi vid nödfall behöver flytta på den.

Hur länge uppgifterna behandlas

De flesta uppgifter som behandlas i CALM raderas automatiskt tre månader efter att din kurs avslutats. Därefter bevaras endast ett fåtal uppgifter, som ditt namn och uppgift om huruvida du genomförde kursen eller inte.

Ansökningsformuläret och det registreringsformulär som fylls i för hand på kursplatsen samma dag som kursen börjar bevaras i ett år, om det inte i ett enskilt fall finns starka skäl att behålla formuläret längre.

Alla bedömningar som utmynnat i att det inte är till ditt bästa att delta i en kurs i framtiden behandlas i form av en kod. Denna kan bevaras i upp till tio år utan att en ny bedömning görs. Donationskvitton bevaras så länge som krävs enligt nationell lagstiftning om bokföring och redovisning.

Generellt gäller att vi raderar all information så snart den inte längre behövs. Om du vill ha mer detaljerad information om hur länge olika uppgifter behandlas, var vänlig kontakta stiftelsens dataskyddsombud (DPO, Data Protection Officer) eller kontaktperson för dataskydd (PCP, Privacy Contact Person) på adress nedan.

Hur vi behandlar dina personuppgifter
När vi behandlar dina personuppgifter sker det enligt följande principer:
- dina uppgifter används och behandlas endast när det finns ett konkret behov
- vi är uppriktiga och öppna med vilka uppgifter vi behandlar
- vi respekterar gällande lagstiftning
- vi har överblick över alla uppgifter som behandlas
- vi gör vårt bästa för att se till att alla uppgifter är korrekta
- om vi inte behöver dina uppgifter längre kommer vi radera dem
- vi respekterar dina rättigheter och ger dig tillgång till dina uppgifter
- vi behandlar dina uppgifter på ett säkert sätt
- vi överför personuppgifter till utanför EU endast om det finns godkända procedurer för detta och vi informerar om dessa procedurer.

Dataskyddsombud (DPO) och kontaktperson för dataskydd (PCP)
Stiftelsen har utsett ett dataskyddsombud och en kontaktperson för dataskydd. Du kan kontakta dem på [email protected].

Särskilda rutiner för uppgifter som rör barn
För barn, som är mer utsatta, finns en särskild policy: www.privacy-eu.dhamma.org/children.

Rättsligt stöd för att behandla uppgifter
Personuppgifter behandlas bara när det finns goda skäl för detta och det är tillåtet enligt gällande lagstiftning, t.ex. när någon eller några av dessa förutsättningar är uppfyllda: samtycke, avtal, legitimt intresse (t.ex elevens eget starka intresse), eller därför att vi enligt särskild lagstiftning är skyldiga att behandla uppgifterna. Vi kan alltid informera dig om vilket rättsligt stöd vi har för att behandla olika uppgifter.

Säkerhet
Alla som fullgör uppgifter för stiftelsens räkning är skyldiga att se till att dina uppgifter hanteras på ett säkert sätt och att uppgifterna under inga förhållanden görs tillgängliga för tredje part, om inte tredje part getts särskild rätt att få tillgång till uppgifterna och skrivit på en sekretessförbindelse. Vi har beslutat att personuppgifter måste förvaras:
- i ett låsbart skåp med reglerad åtkomst; och/eller
- i en låsbar låda eller liknande; och/eller
- lösenordsskyddade, om uppgifterna förvaras digitalt, i enlighet med policyn of reglerad åtkomst (Access Control Policy); och/eller
- lagrade på (flyttbart) datamedia som är krypterat samt anonymiserat eller pseudonymiserat när detta är möjligt.

Volontärer ska säkerställa att dataskärmar och terminaler inte kan ses av andra än de som getts åtkomst till uppgifterna. Uppgifter som bevaras i fysisk form får inte lämnas där andra än de som getts åtkomst har tillgång till dem och får inte förflyttas från arbetsplatsen under att detta godkänts. Så snart uppgifter som bevarats i fysisk form inte längre behövs ska de förstöras på ett säkert sätt.

Elevers rättigheter
Vi respekterar dina rättigheter. Mer specifikt säkerställer vi att:
- vi kan redogöra för att vi har överblick över alla uppgifter om dig som vi behandlar
- vi raderar alla uppgifter om så begärs, såvida vi inte verkligen behöver behålla uppgifterna. Om så är fallet har du rätt att begära överprövning av beslutet
- vi ser till att uppgifterna är korrekta
- vi vidarebefordrar förfrågningar till dataskyddsombudet eller kontaktpersonen för dataskydd
- vi ger dig möjlighet att begära överprövning hos vår oberoende Kommitté för särskilda ärenden (Special Cases Committee)
- vi kommer att respektera din rätt att ge in klagomål till tillsynsmyndigheten (Data Protection Authority).

Tillgång till information
Om du vill ta reda på vilka uppgifter om dig som vi behandlar, kan du fylla i ett formulär på denna hemsida: www.privacy-eu.dhamma.org/what-are-your-rights och ge in begäran genom att skicka den till [email protected].

Obehörig behandling av uppgifter
Vi har en policy för personuppgiftsincidenter. Om obehörig behandling som kan påverka dig har skett, kommer vi att informera dig om detta. Om du vill rapportera obehörig behandling, gå till: www.privacy-eu.dhamma.org.

Internationella skyddsåtgärder
Om vi skulle överföra dina uppgifter till utanför EU, tillämpar vi ytterligare skyddsåtgärder. Detta kan ske t.ex. genom godkända bindande företagsbestämmelser (Binding Corporate Rules) eller enligt vissa standardiserade avtalsklausuler som har godkänts av EU-kommissionen. Se vidare: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en.

Om du vill veta vilka skyddsåtgärder som använts i just ditt fall, var vänlig kontakta oss.

Att motsätta sig att uppgifter behandlas
Om du inte går med på att vi behandlar dina uppgifter, kommer vi att radera dem. Det finns dock vissa situationer då vi ändå behöver behålla uppgifter för att skydda dig eller stiftelsens verksamhet. Du kommer i så fall att få en notis om detta med en länk som du kan använda för att begära överprövning av beslutet till Kommittéen för särskilda ärenden (Special Cases Committee). Du kan också skicka ett mail till: [email protected].

Kontaktinformation
Om du har frågor eller vill kontakta oss, var vänlig använd [email protected] eller https://www.privacy-eu.dhamma.org.

 

Personuppgiftspolicy för kursregistrering (CALM)

Policy, omfattning och ändamål

1.1      Avsiktsförklaring

Styrelsen för Calm, med adress Robert Owenstraat 21, 3045 PT te Rotterdam, Nederländerna, avser att uppfylla all relevant EU-lagstiftning som gäller personuppgifter och skydda enskildas “rättigheter och friheter” vid hanteringen av personuppgifter inom dess verksamhet, såsom föreskrivs i dataskyddsförordningen (GDPR). För att uppnå detta, har Calm utvecklat och implementerat ett dokumenterat system för hantering av personuppgifter (PIMS, Personal Information Management System). Detta system tillämpas av Calm samt är föremål för ständiga justeringar och förbättringar.

1.2     Omfattning

PIMS omfattning beaktar organisatorisk struktur, ansvar inom dess förvaltning, jurisdiktion och geografisk omfattning. PIMS kan omfatta alla länder som använder Calm eller vissa sådana länder.

1.3     Ändamål

Calm ändamål med PIMS är att göra det möjligt för Calm att uppfylla sina uppställda krav för hantering av personuppgifter; att stödja organisatoriska målsättningar och skyldigheter; att föreskriva kontrollåtgärder i linje med den av Calm accepterade risknivån; att säkerställa att Calm uppfyller juridiska, regulatoriska, avtalsmässiga och/eller professionella krav och skyldigheter; samt att skydda individers och andra intressenters intressen.

1.4     Åtagande

Calm åtar sig att följa all lagstiftning om personuppgifter och etablerad sedvana som gäller tillämpning av sådan lagstiftning, vilket omfattar:

  1. att behandla personuppgifter endast när detta är helt nödvändigt för legitima syften inom ramen för Calms verksamhet;
  2. att samla in endast information som är nödvändig för att uppfylla Calms syften och att inte behandla personuppgifter i onödan;
  3. att lämna klar information till enskilda om hur deras information kommer att användas och av vem;
  4. att endast behandla relevanta och adekvata personuppgifter;
  5. att behandla information på ett rättvist och lagligt sätt;
  6. att hålla en förteckning över vilka slags personuppgifter som behandlas av Calm;
  7. att se till att personuppgifter som behandlas är korrekta och, när det behövs, uppdaterade;
  8. att behandla personuppgifter endast så länge som det behövs för juridiska eller regulatoriska syften, eller för legitima organisatoriska syften;
  9. att respektera individers rättigheter när det gäller deras personuppgifter, inklusive deras rätt till tillgång till uppgifterna;
  10. att säkerställa att personuppgifter behandlas på ett säkert sätt; att tillgången till uppgifterna begränsas till ett minimum, att uppgifterna hanteras av så få personer som möjligt och endast när detta är absolut nödvändigt;
  11. att överföra personuppgifter till utanför EU endast när uppgifterna kan skyddas på ett adekvat sätt;
  12. att tillämpa de undantag som anges i lagstiftning om skydd för personuppgifter;
  13. att utveckla och implementera PIMS för att möjliggöra att policyn kan implementeras;
  14. när det behövs, identifiera interna och externa intressenter samt klargöra i vilken utsträckning dessa intressenter involveras i tillämpningen av PIMS;
  15. att identifiera personer med särskilt ansvar och åtaganden när det gäller PIMS.

1.5      Syftet med att samla in och lagra uppgifter

Calm och dess anställda (för definition av ”servare”, se definitioner nedan) samlar in och bedömer informationen med följande syften:

  1. att göra det möjligt för assistentläraren eller en servare som agerar på uppdrag av assistentläraren att bedöma om en elev lämpligen bör antas till en kurs;
  2. att göra det möjligt att planera boende, mat och ibland transport för eleven;
  3. att göra det möjligt att ge korrekt vägledning och stöd till en elev före, under och efter en kurs i Vipassanameditation;
  4. av juridiska skäl eller för att uppfylla ett åtagande i förhållande till eleven eller servaren, dvs. att erbjuda eleven eller servaren den tjänst eller hjälp som denne har begärt, att delta i en kurs eller på ett center;
  5. att på annat sätt kunna stödja elever och servare på något sätt som har anknytning till kursen, under förutsättning att denne har samtyckt till detta eller det kan visas att det finns berättigat intresse för detta.

Underrättelser

1.5  Calm har underrättat tillsynsmyndigheten, “De Autoriteit Persoonsgegevens”, i Haag, Nederländerna, om att Calm är personuppgiftsansvarig och att Calm behandlar vissa personuppgifter. Calm har identifierat alla personuppgifter som det behandlar, vilket närmare anges i ett register.

1.6 En kopia av underrättelsen som gjorts till berörd tillsynsmyndighet innehas av dataskyddsombudet. Tillsynsmyndighetens handbok för underrättelser har använts till vägledning för underrättelsen.

1.7 Underrättelsen till berörd tillsynsmyndighet förnyas årligen.

1.6 Dataskyddsombudet ska varje år omvärdera innehållet i underrättelsen till följd av att Calms verksamhet ändrats (baserat på ändringar i registret över behandling av uppgifter och annan information som lämnas) samt annan information som framkommit genom konsekvensbedömningar av dataskydd.

Policyn omfattar alla anställda/verksamma hos Calm samt alla tredje parter och externa leverantörer. Överträdelse av dataskyddsförordningen eller PIMS kommer att hanteras enligt Calms disciplinära policy och kan utgöra brott. Ärendet kommer då att överlämnas till berörd myndighet.

Samarbetspartners och annan tredje part som arbetar tillsammans med eller för Calm, och som i denna egenskap får tillgång till personuppgifter, förutsätts ha läst och förstått denna policy samt gått med på att följa den. Ingen tredje part får ges tillgång till personuppgifter av Calm utan att först ha ingått en sekretessförbindelse, vilken ålägger tredje part samma förpliktelser som Calm, och som ger Calm rätt att granska att förbindelsen efterlevs.

 

2.        Bakgrund till dataskyddsförordningen

Dataskyddsförordningen (The General Data Protection Regulation, GDPR) från år 2016 ersätter EU:s dataskyddsdirektiv (95/46/EC) från år 1995 liksom nationell lagstiftning som antagits för att uppfylla direktivets krav. Dess syfte är att skydda individers ”rättigheter och friheter”, säkerställa att personuppgifter inte behandlas utan deras kännedom och, om det är möjligt, behandlas med deras samtycke.

Definitioner som används (hämtade från GDPR)

Geografiskt tillämpningsområde – GDPR tillämpas på personuppgiftsansvariga som är etablerade inom EU (Europeiska Unionen och Europeiska Ekonomiska Samarbetsområdet) och behandlar personuppgifter inom ramen för sin verksamhet. Den tillämpas också på personuppgiftsansvariga utanför EU som behandlar personuppgifter med syfte att erbjuda varor och tjänster inom EU, eller övervakar beteendet hos individer som är bosatta inom EU.

Huvudsakligt verksamhetsställe – det huvudsakliga verksamhetsstället inom EU där den personuppgiftsansvarige fattar beslut om syftet med inhämtningen av personuppgifter. Det huvudsakliga verksamhetsstället för ett personuppgiftsbiträde är där denne har sin centrala förvaltning. Om en personuppgiftsansvarig är baserad utanför EU, måste denne utse en representant inom den jurisdiktion där den personuppgiftsansvarige bedriver sin verksamhet, vilken ska agera på dennes vägnar och hantera kontakterna med tillsynsmyndigheter.

Personuppgifter – varje upplysning som avser en identifierad eller identifierbar fysisk person (”en registrerad”), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Särskilda kategorier av personuppgifter – Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Personuppgiftsansvarig – en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

Registrerad – en levande individ som omfattas av en organisations behandling av personuppgifter.

Behandling – en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Profilering – varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Denna definition hänger samman med den registrerades rätt att bli informerad om att profilering förekommer, liksom åtgärder som vidtas baserade på profilering och hur profileringen kan antas påverka individen.

Personuppgiftsincident – en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Det åligger den personuppgiftsansvarige att rapportera personuppgiftsincidenter till tillsynsmyndigheten samt ange hur incidenten kan antas påverka den registrerades uppgifter och personliga integritet.

Samtycke av den registrerade - varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Barn – GDPR definierar ett barn som någon som är under 16 år. Behandling av personuppgifter som rör barn under 13 år är laglig endast om förälder eller vårdnadshavare har samtyckt till detta.

Tredje part – en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.

Register – en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Ytterligare definitioner

Elev: Någon som ansöker till eller deltar i en kurs i Vipassanameditation som hålls av en assistentlärare till S.N. Goenka.

Assistentlärare: Någon som har utsetts av S.N. Goenka eller dennes representant att hålla kurser i Vipassanameditation, inklusive lärare.

Gammal elev: Någon som har genomfört en kurs i Vipassanameditation under ledning av S.N. Goenka eller någon av hans assistentlärare.

Servare: en gammal elev som hjälper till på en kurs eller på ett center.

 

3.        Skyldigheter under dataskyddsförordningen

3.1 Calm är personuppgiftsansvarig enligt dataskyddsförordningen.

3.2 Ledningen för Calm samt alla som på annat har ett ledande roll eller befattning inom Calm ansvarar för att utveckla och uppmuntra god sedvana när det gäller informationshantering inom organisationen; ansvarsområden anges i individuella arbetsbeskrivningar.

3.3 Dataskyddsombudet och styrelsemedlemmar i Stiftelsen Calm ansvarar i förhållande till Calms tillsynsråd (Supervisory Board) för hanteringen av personuppgifter inom Calm samt för att säkerställa att lagstiftning och god sedvana när det gäller hantering av personuppgifter efterlevs. Detta ansvar omfattar:

3.3.1 att utveckla och implementera PIMS såsom föreskrivs i denna policy; och

3.3.2 säkerhetsmässiga åtgärder och hantering av risk i samband med uppfyllandet av vad som föreskrivs i denna policy.

3.4 Dataskyddsombudet och Stiftelsen Calms styrelse har bedömts vara tillräckligt kvalificerade och erfarna samt har utsetts att ta direkt ansvar för att på daglig basis uppfylla denna policy och särskilt att dataskyddsförordningens regler efterlevs. Detsamma gäller tillsynsrådet när det gäller hantering av personuppgifter som sker inom dess ansvarsområde.

3.5 Dataskyddsombudet och dennes lokala representanter ska ha särskilt ansvar när det gäller vissa procedurer, som en registrerads begäran om tillgång till uppgifter (Subject Access Request Procedure), samt ska vara den som elever och servare först vänder sig till vid frågor som gäller uppfyllande av krav enligt lagstiftning om personuppgifter.

3.6 Alla servare som hanterar personuppgifter ansvarar för att detta sker enligt lag.

3.7 Calms utbildningspolicy omfattar särskild utbildning och krav på medvetenhet beträffande olika roller som servare har när de arbetar med Calm.

3.8 Servare ansvarar för att alla personuppgifter som de lägger in i Calm, eller som handlar om dem själva, är korrekta och uppdaterade.

 

4.        Konsekvensbedömning

Syfte: För att säkerställa att Calm har kännedom om risker som har anknytning till behandlingen av olika slags personuppgifter, har Calm skapat en process för att bedöma graden av risk för individer avseende deras personuppgifter. Bedömningar kommer också att göras i anslutning till behandling som sker av andra organisationer på uppdrag av Calm. Calm ska beakta alla risker som identifieras genom konsekvensbedömningen med syfte att reducera risken för att vad som anges i denna policy inte uppfylls.

När en viss slags behandling kan förutses innebära höga risker för enskildas ”rättigheter och friheter” ska Calm innan behandlingen påbörjas genomföra en konsekvensbedömning beträffande de föutsebara effekterna av behandlingen av personuppgifterna. Härvid ska beaktas behandlingens natur, omfattning, sammanhang och syfte liksom särskilt att ny teknik används. En konsekvensbedömning kan ta sikte på flera liknande behandlingar av uppgifter som medför liknande höga risker.

När, som ett resultat av en konsekvensbedömning, det står klart att Calm står i begrepp att inleda en behandling av personuppgifter som kan innebära skada eller lidande för registrerade, ska beslutet huruvida behandlingen ska genomföras eller inte hänskjutas till dataskyddsombudet. Dataskyddsombudet ska, det finns tillräcklig anledning till oro när det gäller risk för skada eller lidande och med beaktande av mängden uppgifter det är frågan om, hänskjuta frågan till stiftelsen Calms styrelse eller Calms tillsynsråd.

Lämpliga kontrollåtgärder ska väljas och tillämpas för att reducera risknivån vid behandlingen av personuppgifterna till en acceptabel nivå, enligt Calms dokumenterade kriterier för riskacceptans och de krav som dataskyddsförordningen anger.

 

5.        Principer för skydd av personuppgifter

All behandling av personuppgifter måste ske enligt följade principer för skydd av personuppgifter som framgår av dataskyddsförordningen. Calms policies och procedurer har utformats för att säkerställa att dessa principer följs.

5.1      Personuppgifter ska behandlas på lagligt, rättvist och transparent sätt.

Enligt dataskyddsförordningens princip om transparens ska den personuppgiftsansvarige ha transparenta och lätt tillgängliga policies om behandlingen av personuppgifter och skyddet av individers ”rättigheter och friheter”. Information ska kommuniceras till elever på ett begripligt sätt med användning av klart och enkelt språk. Den specifika information som eleven ska ges måste i vart fall innehålla:

  1. Identitet och kontaktuppgifter till stiftelsen Calm i de fall då Calm omfattas eller till den personuppgiftsansvarige samt dennes representant om någon sådan utsetts;
  2. Kontaktuppgifter till dataskyddsombudet;
  3. Syftet med den behandling som personuppgifterna avser liksom rättslig grund för behandlingen;
  4. Hur länge personuppgifterna kommer att lagras;
  5. Att det finns en rätt att begära tillgång till informationen, få den rättad eller raderad, eller motsätta sig att informationen behandlas;
  6. Vilka kategorier av personuppgifter som avses;
  7. Mottagare eller kategorier av mottagare av personuppgifterna;
  8. När det är tillämpligt, att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i tredje land och vilken skyddsnivå som då kommer att tillämpas;
  9. Ytterligare information som är nödvändig för att garantera att uppgifterna behandlas på ett rättvist sätt.

5.2      Personuppgifter får endast behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

Uppgifter som samlats in för särskilda ändamål får inte användas för andra ändamål än dem som omfattas av en formell underrättelse till tillsynsmyndigheten (Autoriteit Persoonsgegevens) som en del av Calms registrering.

5.3      Personuppgifter ska vara adekvata, relevanta och begränsade till vad som behövs för hanteringen.

  1. Dataskyddsombudet är ansvarigt för att säkerställa att information, som inte är helt nödvändig för det syfte den samlas in för, inte heller samlas in.
  2. Alla formulär för insamling av personuppgifter (elektroniska eller i pappersformat), inklusive insamling av uppgifter inom nya informationssystem, måste godkännas av dataskyddsombudet.
  3. Dataskyddsombudet ska årligen säkerställa att insamlad information även fortsättningsvis är adekvat, relevant och inte onödigt omfattande, genom att intern granskning sker beträffande metoderna för insamling av uppgifter.
  4. Om uppgifter som lämnats eller tagits emot är alltför omfattande eller annars inte nödvändiga enligt Calms eller annan berörd organisations dokumenterade rutiner, ska dataskyddsombudet säkerställa att uppgifterna raderas på ett säkert sätt eller på annat sätt tas bort i enlighet med policyn för radering av information.

5.4       Personuppgifter ska vara korrekta och uppdaterade.

  1. Uppgifter som behålls en längre tid måste granskas och uppdateras om det är nödvändigt. Inga uppgifter ska behållas om det inte rimligen kan antas att de är korrekta.
  2. De lokala organisationerna och Calm ansvarar för att säkerställa att servare utbildas om vikten av att samla in korrekta uppgifter och att uppgifter fortsatt ska vara korrekta.
  3. Det är också individernas ansvar att säkerställa att uppgifter som innehas av Calm är korrekta och uppdaterade. Att ett ansöknings- eller registreringsformulär fylls i kommer t.ex. att uppfattas som en indikation på att uppgifterna i dessa är korrekta vid den tidpunkt formuläret ges in.
  4. Servare och elever ska underrätta Calm om ändrade förhållanden som innebär att personuppgifter bör uppdateras. Instruktioner för hur uppgifter uppdateras finns. Det är Calms ansvar att säkerställa att alla underrättelser om ändrade förhållanden noteras och att åtgärder vidtas med anledning av underrättelserna.
  5. Dataskyddsombudet ska säkerställa att ytterligare lämpliga åtgärder vidtas för att säkerställa att personuppgifter är korrekta och uppdaterade, varvid ska beaktas mängden uppgifter som samlas in, hur snabbt uppgifterna kan ändras och andra relevanta omständigheter.
  6. Dataskyddsombudet ska i vart fall årligen granska de personuppgifter som innehas av Calm, med utgångspunkt från personuppgiftsregistret, för att identifiera uppgifter som inte längre behövs med beaktande av det ändamål som registrerats, och ska se till att dessa uppgifter raderas eller på annat sätt tas bort på ett säkert sätt.
  7. Dataskyddsombudet ska säkerställa att lämpliga åtgärder vidtas när felaktiga eller utdaterade personuppgifter förts över till tredje part, genom att informera tredje part att uppgifterna är felaktiga eller utdaterade och inte ska ligga till grund för beslut gällande de personer som berörs, liksom att rättade uppgifter överförs till tredje part när detta behövs

5.5    Personuppgifter som identifierar den registrerade får inte behållas längre än vad som är nödvändigt för hanteringen.

  1. När personuppgifter behålls efter att de har behandlats, ska denna hantering minimeras för att skydda elevens identitet in händelse av en personuppgiftsincident.  
  2. Personuppgifter kan behållas i enlighet med proceduren som för datalagring (Retention of records procedure) och ska, när denna tid har gått ut, raderas eller på annat sätt tas bort på ett säkert sätt enligt vad som följer av denna procedur.
  3. Dataskyddsombudet måste specifikt godkänna att uppgifter behålls under längre tid än vad som följer av denna procedur och ska säkerställa att detta tydligt kan motiveras och att skälen för att behålla uppgifterna har stöd i lagstiftning om skydd av personuppgifter. Detta godkännande måste ske skriftligen (vilket innefattar e-post).

5.6-7   Personuppgifter ska behandlas på ett säkert sätt.

  1. Kontrollåtgärder ska beslutas med beaktande av identifierade risker som gäller personuppgifter liksom potentiell skada eller liknande som kan antas drabba de individer vars uppgifter behandlas.
  2. Calm uppfyller denna princip genom tillämpning av Calms System för hantering av informationssäkerhet (Information Security Management System, ISMS), vilket har utvecklats enligt ISO/IEC 27001:2013. Beslutade kontrollåtgärder ska vara föremål för granskning och omvärdering.

5.8 Personuppgifter får inte överföras till ett land eller territorium utanför EU om inte detta land eller territorium säkerställer en adekvat skyddsnivå när det gäller registrerades ”rättigheter och friheter” beträffande hantering av personuppgifter.

Överföring av personuppgifter till utanför EU ska vara förbjuden, om inte en eller flera specifika skyddsåtgärder eller undantag är tillämpliga.

5.8.1 Säkerhetsåtgärder: Vid bedömningen av om en överföring är adekvat ska den personuppgiftsansvarige beakta följande omständigheter: vilka slags uppgifter som ska överföras; var uppgifterna härrör från och dess slutliga destination; hur uppgifterna ska användas och hur länge; lag och sedvana i mottagarlandet, inklusive uppförandekoder och internationella åtaganden, och

5.8.2 Bindande företagsbestämmelser: Calm kommer att anta bindande företagsbestämmelser för överföring av uppgifter till utanför EU och/eller andra åtgärder som Privacy Shield i förhållande till USA.

5.8.3 Standardiserade avtalsklausuler; Calm kan anta godkända standardiserade avtalsklausuler för att överföra uppgifter till utanför EU. Om Calm antar standardiserade avtalsklausuler som har godkänts av tillsynsmyndigheten ska dessa automatiskt anses adekvata.

5.8.4 Undantag:

Så länge det inte finns något beslut om överföring på ett adekvat sätt, inklusive bindande företagsbestämmelser, får överföring av personuppgifter till tredje land, eller en internationell organisation, ske endast om någon av följande förutsättningar är uppfylld:

  • Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.
  • Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran;
  • Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse.
  • Överföringen är nödvändig av viktiga skäl som rör allmänintresset.
  • Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
  • Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
  • Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

En lista över länder som uppfyller kraven på adekvat skyddsnivå enligt EU-kommissionen har publicerats i Europeiska Unionens Officiella Tidning.

5.9          Ansvarsskyldighet

Enligt dataskyddsförordningen gäller principen om ansvarsskyldighet, vilket innebär den personuppgiftsansvarige inte endast ansvarar för att reglerna efterlevs utan ska också kunna visa att varje behandling uppfyller dataskyddsförordningens krav.

Mer specifikt innebär detta att personuppgiftsansvariga måste bevara tillräcklig dokumentation beträffande all sin behandling av personuppgifter, införa lämpliga skyddsåtgärder, genomföra konsekvensbedömningar avseende dataskydd, uppfylla kraven på att underrättelser ska lämnas eller att godkännande ska ske av tillsynsmyndigheten, och utse ett dataskyddsombud. Det nederländska dataskyddsombudet har utsetts till dataskyddsombudet för hela Calm.

 

6.        Elevers rättigheter

Elever har följande rättigheter när det gäller behandling av uppgifter och de uppgifter som avser dem:

  1. Att begära att få kännedom om vilken slags information som hanteras och vem som haft tillgång till den.
  2. Att förhindra behandling av uppgifter på ett sätt som orsakar skada eller lidande.
  3. Att förhindra att behandling sker på ett sätt som innebär direkt marknadsföring.
  4. Att informeras om automatiserat beslutsfattande, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
  5. Att viktiga beslut som rör dem inte fattas genom automatiserat beslutsfattande.
  6. Att ge in stämning vid domstol med krav på ersättning om de lidit skada genom överträdelse av dataskyddsförordningen.
  7. Att kunna vidta åtgärder för att få uppgifter korrigerade, blockerade och raderade, inklusive rätten att bli bortglömd, eller att på annat sätt få felaktiga uppgifter eliminerade.
  8. Att begära att tillsynsmyndigheten (Autoriteit Persoonsgegevens) bedömer om dataskyddsförordningen har överträtts.
  9. Ha rätt att få ut personuppgifter i ett format som är strukturerat, vanligen tillämpat och elektroniskt läsbart, och ha rätt att få uppgifter överförda till en annan personuppgiftsansvarig.
  10. Rätt att motsätta sig all automatiserad profilering som sker utan samtycke.

Elever kan begära att få tillgång till uppgifter. Det finns en procedur som visar hur Calm ska säkerställa att dess respons till en sådan begäran uppfyller dataskyddsförordningens krav.

Klagomål

En registrerad som vill klaga på Calm beträffande hur hans eller hennes personuppgifter har behandlats kan ge in sitt klagomål direkt till dataskyddsombudet.

Den registrerade kan också klaga direkt till tillsynsmyndigheten (de Autoriteit Persoonsgegevens). När en registrerad önskar klaga på hur deras klagomål har behandlats, eller överklaga ett beslut som fattats med anledning av deras klagomål, kan de ge in ytterligare klagomål till dataskyddsombudet. Rätten att göra detta ska omfattas av proceduren för klagomål vilket ska kommuniceras med elever och servare.

 

7.        Samtycke

Calm förstår ”samtycke” att innebära varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke kan när som helst återkallas.

Calm förstår med ”samtycke” att den registrerade blivit fullt ut informerad om den avsedda behandlingen och gett uttryck för att detta godtas, samt att denne gjort så vid sina sinnens fulla bruk och utan att ha utsatts för påtryckning. Samtycke som erhålls under press eller som grundas på vilseledande information utgör inte en giltig grund för behandling av uppgifter. Det måste ha förekommit någon form av aktiv kommunikation mellan parterna som visar på ett aktivt samtycke. Samtycket kan inte grundas på ett uteblivet svar på ett kommunicerat meddelande. När det gäller känsliga uppgifter måste det finnas ett uttryckligt skriftligt samtycke av den registrerade, såvida inte det finns en annan rättslig grund för behandlingen av uppgifterna.

I de flesta fall inhämtas samtycke rutinmässigt av Calm genom användning av standardiserade dokument, t.ex. i samband med att en elev ansöker till en kurs eller en servare ansöker att serva. När Calm erbjuder möjlighet att ansöka online för barn, krävs godkännande av förälder eller vårdnadshavare. Detta gäller barn som är under 16 år, såvida inte medlemsstaten bestämt en lägre åldersgräns, dock lägst 13 år.

 

8.        Dataskydd

Alla servare ansvarar för att säkerställa att personuppgifter som de hanterar, i Calm och utanför Calm, förvaras säkert och under inga förhållanden görs tillgängliga för tredje part, såvida inte tredje part uttryckligen fått tillåtelse av Calm att ta emot informationen och har ingått en sekretessförbindelse.

Personuppgifter ska vara tillgängliga endast för de som behöver tillgång till dem, och tillgång kan beviljas endast enligt vad som följer av policyn för kontroll av tillgång till personuppgifter (Access Control Policy). Personuppgifter måste förvaras:

  • i ett låsbart rum med kontrollerat tillträde; och/eller
  • i ett låst skåp eller arkiveringsskåp; och/eller
  • lösenordsskyddat, om uppgifterna lagras elektroniskt, i enlighet med de krav som gäller i Policyn för kontroll av tillgång till personuppgifter; och/eller
  • lagras på (flyttbart) datamedia som är krypterat och ska vara anonymiserat eller pseudonymiserat när detta är möjligt.  

Dataskärmar och terminaler ska inte vara läsbara för andra än auktoriserade användare. Alla servare måste godkänna ett avtal om acceptabel användning (Acceptable Use Agreement) innan de får tillgång till organisatorisk information av något slag.

Uppgifter som lagras i fysisk form får inte lämnas så att icke-auktoriserade personer ges tillgång till dem, och får inte förflyttas från ordinarie arbetsplats utan att detta godkänts. Så snart manuellt lagrade uppgifter inte längre behövs på daglig basis, måste de förflyttas till säker arkivering.

Personuppgifter får endast raderas eller rensas i enlighet med proceduren för datalagring. Fysiska bärare av uppgifter i pappersform ska strimlas och bortforslas som ”konfidentiellt avfall”. Hårddiskar till uttjänta datorer ska tas bort och omedelbart destrueras innan de bortforslas som avfall.

Hantering av personuppgifter utanför center innebär en större risk för att personuppgifter förloras, stjäls eller skadas. Servare måste ha fått ett särskilt godkännande att hantera uppgifter utanför center samt vara medveten om proceduren för personuppgiftsincidenter och tillämpa den när det behövs.

 

9.        Rätten till tillgång till uppgifter

Den registrerade har rätt att få tillgång till alla personuppgifter (dvs. uppgifter om dem) som hanteras elektronsikt i Calm liksom på fysiska bärare av uppgifter som utför del av ett relevant register. Detta innefattar en rätt att granska konfidentiella personliga referenser som Calm har tagit emot, och information som tagits emot av tredje part och gäller den personen.

 

10.     Utlämning av uppgifter

Calm ska säkerställa att personuppgifter inte lämnas ut till icke-auktoriserade tredje parter, vilket omfattar familjemedlemmar, vänner, myndigheter och, under vissa förhållanden, polisen. Alla servare ska iaktta försiktighet när någon begär att få personuppgifter som rör en annan person utlämnade och ska utbildas i hur de effektivt kan hantera en sådan risk. Det är viktigt att beakta huruvida det är nödvändigt eller relevant för hållandet av kurser att uppgifterna lämnas ut.

Enligt dataskyddsförordningen får uppgifter lämnas ut utan samtycke när informationen begärs med något av följande ändamål:

  • att skydda nationell säkerhet;
  • att förhindra eller upptäcka brott, inklusive att den som begått brott grips eller åtalas;
  • utredning om och indrivning av skatt
  • åtgärder för att säkerställa regelefterlevnad (inklusive åtgärder som gäller individers hälsa, säkerhet och välfärd på sin arbetsplats);
  • att förhindra att tredje part lider allvarlig skada;
  • att skydda individers vitala intressen; detta syftar på situationer som gäller liv och död.

Varje begäran att få ut uppgifter med stöd av något av dessa ändamål måste stödjas av lämplig dokumentation och måste särskilt godkännas av dataskyddsombudet.

 

11.     Behållande och radering av uppgifter

Personuppgifter får inte behållas längre än vad som är nödvändigt. Så snart en servare inte längre är aktiv eller en elev slutat att ansöka till kurser, behöver det inte längre vara nödvändigt att behålla uppgifter om dem. Calms procedurer för datalagring och radering av uppgifter ska vara tillämpliga i alla situationer som rör användningen av Calm.

Radering av uppgifter

Personuppgifter måste raderas på ett sätt som skyddar de registrerades ”rättigheter och friheter” (t.ex. strimling, bortforsling av konfidentiellt avfall, säker elektronisk radering) och i enlighet med proceduren för säker radering.  

 

12.     Personuppgiftsincidenter

Calm har antagit en procedur för personuppgiftsincidenter. Varje incident måste rapporteras till den lokale kontaktpersonen för dataskydd/dataskyddsombudet enligt vad som följer av denna procedur.

 

13.     Ikraftträdande

Denna personuppgiftspolicy träder i kraft den 26 maj 2018. Calm förbehåller sig rätten att ändra och/eller återkalla policyn. Alla som använder Calm omfattas av policyn. Detta innefattar Calms styrelse och tillsynsråd, dataskyddsombudet liksom organisationer och servare som använder Calm. Även tredje länder och individer i tredje land omfattas i den omfattning de har skyldigheter enligt denna policy. Policyn har formellt antagits av Calm.

 

14.     Kommunikation

Denna policy ska kommuniceras med elever och servare som ansöker till kurser på ett begripligt och övergipande sätt. En kopia av policyn ska finnas tillgänglig för alla användare av Calm på begäran och kan läsas på hemsidan.