Den 1. juni 2018 trådte persondataforordningen i kraft, hvilket skærper foreningens pligt til at dokumentere og oplyse om hvordan persondata behandles. Dette dokument beskriver Foreningen SLM Københavns politik for behandling af persondata, og er bestemt af bestyrelsen. Det er medlemssekretærens ansvar som dataansvarlig, at processer beskrevet i dette dokument efterleves. Det er bestyrelsens ansvar som dataejer, at foreningens politik for behandling af persondata opdateres, hvis der sker ændringer i behandlingen af de persondata, som opbevares.
Foreningen SLM København er en klub, hvor der kræves medlemskab for at få adgang til klubbens arrangementer. Minimumsalderen for medlemskab er 18 år. Følgende stamoplysninger registreres på et nyt medlem ved indmeldelse i foreningen:
Alle medlemmer modtager et personligt medlemskort (fysisk eller elektronisk) med et fortløbende medlemsnummer, som forevises ved hvert besøg af klubbens arrangementer. Da kassevagten i klubben ikke har adgang til medlemsoplysninger i medlemsdatabasen, er medlemskortet i udgangspunktet medlemmets eneste bevis for et gyldigt medlemskab. Ved oplysning af medlemsnummer og samtidig identificering, kan kassevagten dog kontrollere et medlemskabs gyldighed og eventuelt udstede et nyt medlemskort.
For at kunne opstille til foreningens bestyrelse, er det et krav, at man har været A-medlem af foreningen i minimum ét år. Derfor opbevares ovenstående medlemsoplysninger for indeværende samt sidste kalenderår. Hvert år senest den 31. januar, slettes/destrueres alle medlemsoplysninger for det forrige kalenderår (dvs. senest 31. januar 2019 slettes/destrueres alle medlemsoplysninger for året 2017 og så fremdeles). Klubbens medlemssekretær har via udtræk fra medlemssystemet ansvaret for at trække en liste manuelt over medlemmerne og derefter slette oplysningerne manuelt
Hvis et medlem har forlænget sit medlemskab ind i det aktuelle kalenderår, så bevares medlemmets stamdata (fulde navn, e-mailadresse, fødselsdato og for A-medlemmer foto), men historikken om tidligere medlemskaber slettes på samme måde som beskrevet ovenfor. Dette betyder, at foreningen ikke gemmer oplysninger om hvem, der var medlemmer af foreningen længere tilbage end sidste kalenderår.
Ud over stamoplysninger, registreres visse aktiviteter vedr. arrangementer, som et medlem deltager i. Fortegnelsen over disse oplysninger er som følger:
Medlemmers check-ins gemmes i 4 uger hvorefter disse slettes. Formålet med dette er primært smitteopsporing i tilfælde af rapportering om gæster, som har været smittebærer af en smitsom sygdom. I et sådan tilfælde kan den medlemsansvarlige sende information til deltagerne ved et givent arrangement via e-mail.
Frivilliges historiske vagtplaner følger stamoplysninger og slettes når stamoplysninger slettes.
Alle medlemsoplysninger gemmes i en medlemsdatabase i foreningens medlemssystem. Systemet er installeret på en webserver, som driftes af serviceudbyderen Simply.com. Serviceudbyderen er ansvarlig for backup af systemet, og foreningen tager ikke yderligere backup af systemet eller data i systemet.
Følgende personer har adgang til foreningens medlemsdata:
Personer, som har adgang til medlemsdata, har alle underskrevet en tavshedsklausul, som opbevares i papirform af foreningens GDPR-ansvarlige (pt. vicepræsidenten). Det er medlemssekretæren, der har ansvar for at medlemsdatabasen opdateres ved indmeldelser, ændringer og evt. udmeldelser. Foreningens præsident og vicepræsident kan i øvrigt få behov for at søge oplysninger i medlemsdatabasen i tilfælde af eksklusionssager i henhold til foreningens forretningsorden, og i sådanne sager kan der af foreningens systemansvarlige gives midlertidig adgang til medlemsdatabasen. Det er dog vigtigt at pointere, at præsidenten og vicepræsidenten, ligesom medlemssekretæren og revisorer også har underskrevet foreningens tavshedsklausul. Personer med adgang til persondata har tavshedspligt om person- og medlemsoplysninger og må kun tilgå og bruge disse oplysninger i foreningstjenstlig sammenhæng. Ingen oplysninger må under nogen omstændigheder udleveres til nogen tredjepart, som ikke er eksempelvis leverandør af medlemsdatabase. Det er afgørende at disse leverandører kan behandle vores data i overensstemmelse med lovens rammer.
Ethvert medlem kan efter udløbet medlemskab eller ved udmeldelse, anmode om at alle egne persondata slettes/destrueres. Hermed frasiger medlemmet sig samtidig sin eventuelle ret til at opstille til bestyrelsen det kommende år, da al historik for medlemmet slettes. Anmodning om udmeldelse og sletning af persondata rettes til medlemssekretæren på secretary@slm-cph.dk.
Ethvert medlem kan ved henvendelse til medlemssekretæren få indsigt i egne persondata samt medlemsforhold i foreningen. Referater fra arbejdsgruppemøder, udvalgsmøder, bestyrelsesmøder og generalforsamlinger gemmes uendeligt som dokumentation for de vedtagne beslutninger.
SLM København har følgende eksterne samarbejdspartnere i forhold til GDPR-påvirkede områder:
Der er lavet en konkret sikkerhedsvurdering af alle firmaer forud for indgåelse af aftaler. Alle disse vurderes ikke at være en risiko for læk af data, da alle er anerkendte virksomheder og selv har udarbejdet GDPR-politik i overensstemmelse med gældende regler. I foreningens arkiv opbevares disse politikker.
Simply.com er foreningens serviceudbyder af serverkapacitet til det webbaserede medlemssystem samt bagvedliggende infrastruktur.
Der udsendes nyhedsbreve til de medlemmer, som ønsker det via leverandøren MailChimp. Kun e-mailadresser overføres til en database hos MailChimp – ikke øvrige personoplysninger. Det er muligt at tilmelde sig nyhedsbrevet selvom man ikke er medlem af foreningen, og man kan til enhver tid afmelde nyhedsbrevet via link i bunden af nyhedsbrevet. Databasen over e-mailadresser hos MailChimp er derfor uafhængig af foreningens medlemsdatabase. Et medlem kan undgå at få sin e-mailadresse delt med leverandøren MailChimp ved at undlade at tilmelde sig nyhedsbrevet ved indmeldelse af foreningen.
Paylike er foreningens serviceudbyder for online betalinger. I forbindelse med en online betaling, registreres navn og medlemsnummer i selve betalingstransaktionen. Kun klubbens kasserer og systemansvarlige har adgang til betalingstransaktioner hos Paylike.
Den systemansvarlige har pligt til at sikre, at SLM Københavns systemer lever op til en høj sikkerhedsstandard, hvor ingen personlige oplysninger deles mellem medlemmer, og hvor systemet er beskyttet mod eksterne sikkerhedsbrud. Alle sikkerhedsbrud anmeldes omgående til Datatilsynet. Ansvaret for dette lægges hos foreningens GDPR-ansvarlige. Efterfølgende orienteres foreningens præsident, vicepræsident, medlemssekretær, dataansvarlige og revisorer.
Eksempler på sikkerhedsbrud er følgende:
Som led i revisionen af foreningens regnskab er der mulighed for at føre kontrol med, at bestyrelsen opfylder ovenstående regelsæt i forhold til GDPR.
Når revisorerne ønsker at lave denne kontrol, rettes henvendelse til foreningens GDPR-ansvarlige (pt. vicepræsidenten), som skal sikre, at de rette adgange og muligheder for at føre en grundig kontrol er til stede. I gennemgangen forpligtes bestyrelsen til at være til stede med enten præsident, vicepræsident eller medlemssekretær. Der er også mulighed for at foreningens systemansvarlige deltager i gennemgangen.
Foreningens revisorer må i lighed med foreningens medlemssekretær, præsident, vicepræsident og systemansvarlige underskrive en tavshedsklausul, når der er adgang til foreningens medlemsdatabase.
Vedtaget af SLM Københavns bestyrelse
