PERSONUPPGIFTSPOLICY

FÖRENINGEN VIPASSANA SVERIGE

Policy, omfattning och ändamål

 

1.1      Avsiktsförklaring

 

Styrelsen för Föreningen Vipassana Sverige, Sverige, avser att uppfylla all relevant EU-lagstiftning som gäller personuppgifter och skydda enskildas “rättigheter och friheter” vid hantering av personuppgifter inom föreningens verksamhet, såsom föreskrivs i dataskyddsförordningen (GDPR).

 

1.2    Åtagande

Föreningens styrelse åtar sig att följa all lagstiftning om personuppgifter och etablerad praxis som gäller tillämpning av sådan lagstiftning, vilket omfattar:

 

  1. att behandla personuppgifter endast när detta är helt nödvändigt för legitima syften inom ramen för föreningens verksamhet;
  2. att samla in endast information som är nödvändig för att uppfylla föreningens syften och att inte behandla personuppgifter i onödan;
  3. att lämna klar information till enskilda om hur deras information kommer att användas och av vem;
  4. att endast behandla relevanta och adekvata personuppgifter;
  5. att behandla information på ett rättvist och lagligt sätt;
  6. att hålla en förteckning över vilka slags personuppgifter som behandlas av styrelsen;
  7. att se till att personuppgifter som behandlas är korrekta och, när det behövs, uppdaterade;
  8. att behandla personuppgifter endast så länge som det behövs för juridiska eller regulatoriska syften, eller annars för legitima organisatoriska syften;
  9. att respektera individers rättigheter när det gäller deras personuppgifter, inklusive deras rätt till tillgång till uppgifterna;
  10. att säkerställa att personuppgifter behandlas på ett säkert sätt; att tillgången till uppgifterna begränsas till ett minimum, hanteras av så få personer som möjligt och endast när detta är absolut nödvändigt;
  11. att överföra personuppgifter till utanför EU endast när uppgifterna kan skyddas på ett adekvat sätt;
  12. att tillämpa de undantag som anges i lagstiftning om skydd för personuppgifter.

 

1.3            Syftet med att samla in och lagra uppgifter

Styrelsen och de frivilliga som hjälper till inom föreningens verksamhet (för definition av ”servare”, se definitioner nedan) samlar in och bedömer informationen med följande syften:

 

  1. att göra det möjligt för assistentläraren eller en servare som agerar på uppdrag av assistentläraren att bedöma om en elev lämpligen bör antas till en kurs;
  2. att göra det möjligt att planera boende, mat och ibland transport för eleven;
  3. att göra det möjligt att ge korrekt vägledning och stöd till en elev före, under och efter en kurs i Vipassanameditation;
  4. av juridiska skäl eller för att uppfylla föreningens åtagande i förhållande till eleven eller servaren, dvs. att erbjuda eleven eller servaren den tjänst eller hjälp som denne har begärt;
  5. att på annat sätt kunna stödja elever och servare på något sätt som har anknytning till kursen, under förutsättning att denne har samtyckt till detta eller föreningen kan visa att det finns berättigat intresse för detta;
  6. att erbjuda nyhetsbrev eller bokföra finansiell information (inklusive donationer).

 

När det gäller användningen av personuppgifter som omfattas av stiftelsen Calms programvara (se nedan) ska Calms personuppgiftspolicy och relevanta instruktioner ha företräde.

 

Underrättelser

Europeiska center har valt att använda Calm som generellt kursregistreringsprogram. Calm är huvudsaklig personuppgiftsansvarig för ansökningsprocessen liksom för stöd- och spärrlistan (RSL), ansökningar till långkurser och användningen av ytterligare programvara. Calm har underrättat tillsynsmyndigheten, “De Autoriteit Persoonsgegevens”, i Haag, Nederländerna, om att Calm är personuppgiftsansvarig och att Calm behandlar vissa personuppgifter.

 

Calm har identifierat alla personuppgifter som det behandlar, vilket närmare anges i ett register. Dataskyddsombud (Data Protection Officer, DPO) har utsetts för Calm och för denna förening.

 

1.4 En kopia av underrättelsen som gjorts till berörd tillsynsmyndighet innehas av dataskyddsombudet. Tillsynsmyndighetens handbok för underrättelser har använts för vägledning för underrättelsen.

 

1.5 Underrättelsen till berörd tillsynsmyndighet förnyas årligen.

 

1.6 Dataskyddsombudet ska varje år omvärdera innehållet i underrättelsen till följd av att föreningens verksamhet ändrats (baserat på ändringar i registret över behandling av uppgifter och annan information som styrelsen lämnar) samt annan information som framkommit genom konsekvensbedömningar av dataskydd. Policyn omfattar alla servare och elever i denna styrelse samt alla tredje parter och leverantörer.

 

Samarbetspartners och annan tredje part som arbetar tillsammans med eller för styrelsen, och som i denna egenskap får tillgång till personuppgifter, förutsätts ha läst och förstått denna policy samt gått med på att följa den. Ingen tredje part får ges tillgång till personuppgifter av föreningen utan att först ha ingått en sekretessförbindelse, vilken ålägger tredje part samma förpliktelser som föreningen, och som ger föreningen rätt att granska att förbindelsen efterlevs.

 

2.        Bakgrund till dataskyddsförordningen

 

Dataskyddsförordningen (The General Data Protection Regulation, GDPR) från år 2016 ersätter EU:s dataskyddsdirektiv (95/46/EC) från år 1995 liksom nationell lagstiftning som antagits för att uppfylla direktivets krav. Dess syfte är att skydda individers ”rättigheter och friheter”, säkerställa att personuppgifter inte behandlas utan deras kännedom och, om det är möjligt, behandlas med deras samtycke.

 

        Definitioner som används (hämtade från GDPR)

 

Geografiskt tillämpningsområde – dataskyddsförordningen tillämpas på alla personuppgiftsansvariga som är etablerade inom EU (Europeiska Unionen och Europeiska Ekonomiska Samarbetsområdet) och behandlar personuppgifter inom ramen för sin verksamhet. Den tillämpas också på personuppgiftsansvariga utanför EU som behandlar personuppgifter med syfte att erbjuda varor och tjänster inom EU, eller övervakar beteendet hos individer som är bosatta inom EU.

Huvudsakligt verksamhetsställe – det huvudsakliga verksamhetsstället inom EU där den personuppgiftsansvarige fattar beslut om syftet med inhämtningen av personuppgifter. Det huvudsakliga verksamhetsstället för ett personuppgiftsbiträde är där denne har sin centrala förvaltning. Om en personuppgiftsansvarig är baserad utanför EU, måste denne utse en representant inom den jurisdiktion där den personuppgiftsansvarige bedriver sin verksamhet, vilken ska agera på dennes vägnar och hantera kontakter med tillsynsmyndigheter.

Personuppgifter – varje upplysning som avser en identifierad eller identifierbar fysisk person (”en registrerad”), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Särskilda kategorier av personuppgifter – Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Personuppgiftsansvarig – en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

Registrerad – en levande individ som omfattas av en organisations behandling av personuppgifter.

Behandling – en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Profilering – varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Denna definition hänger samman med den registrerades rätt att bli informerad om att profilering förekommer, liksom åtgärder som vidtas baserade på profilering och hur profileringen kan antas påverka individen.

Personuppgiftsincident – en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Det åligger den personuppgiftsansvarige att rapportera personuppgiftsincidenter till tillsynsmyndigheten samt ange hur incidenten kan antas påverka den registrerades uppgifter och personliga integritet.

Samtycke av den registrerade - varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Barn – GDPR definierar ett barn som någon som är under 16 år. Behandling av personuppgifter som rör barn under 13 år är laglig endast om förälder eller vårdnadshavare har samtyckt till detta.

Tredje part – en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.

Register – en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

 

Ytterligare definitioner

 

Elev: Någon som ansöker till eller deltar i en kurs i Vipassanameditation som hålls av en assistentlärare till S.N. Goenka.

Assistentlärare: Någon som har utsetts av S.N. Goenka eller dennes representant att hålla kurser i Vipassanameditation, inklusive lärare.

Gammal elev: Någon som har genomfört en kurs i Vipassanameditation under ledning av S.N. Goenka eller någon av hans assistentlärare.

Servare: en gammal elev som hjälper till på en kurs eller på ett center.

 

3.        Skyldigheter under dataskyddsförordningen

 

  1. Calm är personuppgiftsansvarig enligt dataskyddsförordningen.
  2. Föreningen Vipassana Sverige är gemensamt personuppgiftsansvarig enligt dataskyddsförordningen.
  3. Föreningens styrelse är ansvarig för behandling av personuppgifter utanför Calm, användningen av Calm, korrekta försäkringar för servare och samarbete med dataskyddsombudet/lokal kontaktperson för dataskydd (PCP, Privacy Contact Person).
  4. Dataskyddsombudet och den lokala kontaktpersonen för dataskydd ska ha särskilt ansvar när det gäller vissa procedurer som en registrerads begäran att få tillgång till uppgifter (Subject Access Request Procedure) samt ska vara den som elever och servare först vänder sig till vid frågor som gäller uppfyllande av krav enligt lagstiftning om personuppgifter.
  5. Alla servare som hanterar personuppgifter ansvarar för att detta sker enligt lag.
  6. Calms utbildningspolicy omfattar särskild utbildning och krav på medvetenhet beträffande olika roller som servare har när de arbetar med Calm.
  7. Servare ansvarar för att alla personuppgifter som de lägger in i Calm, eller som handlar om dem själva, är korrekta och uppdaterade.
  8. Generiska e-postadresser används inte i Calm. Lösenord får inte delas. Varje konto tilldelas individuellt.

 

4.        Konsekvensbedömning och granskning

 

Syfte: För att säkerställa att Calm har kännedom om risker som har anknytning till behandlingen av olika slags personuppgifter, har Calm skapat en process för att bedöma graden av risk för individer avseende deras personuppgifter. Bedömningar kommer också att göras i anslutning till behandling som sker av andra organisationer på uppdrag av Calm. Calm ska beakta alla risker som identifieras genom konsekvensbedömningen med syfte att reducera risken för att vad som anges i denna policy inte uppfylls.

 

När en viss slags behandling kan förutses innebära höga risker för enskildas ”rättigheter och friheter” ska Calm innan behandlingen påbörjas genomföra en konsekvensbedömning beträffande de antagna effekterna av behandlingen av personuppgifterna. Härvid ska beaktas behandlingens natur, omfattning, sammanhang och syfte liksom särskilt att ny teknik används. En konsekvensbedömning kan ta sikte på flera liknande behandlingar av uppgifter som medför liknande höga risker.

 

När, som ett resultat av en konsekvensbedömning, det står klart att Calm står i begrepp att inleda en behandling av personuppgifter som kan innebära skada eller lidande för registrerade, ska beslutet huruvida behandlingen ska genomföras eller inte hänskjutas till dataskyddsombudet. Dataskyddsombudet ska, det finns tillräcklig anledning till oro när det gäller risk för skada eller lidande och med beaktande av mängden uppgiften det är frågan om, hänskjuta frågan till stiftelsen Calms styrelse eller Calms tillsynsråd (Supervisory Board of Calm Foundation).

 

Lämpliga kontrollåtgärder ska väljas och tillämpas för att reducera risknivån för att behandla personuppgifterna till en acceptabel nivå, enligt Calms dokumenterade kriterier för riskacceptans och de krav som dataskyddsförordningen anger.

 

5.        Principer för skydd av personuppgifter

 

All behandling av personuppgifter måste ske enligt följade principer för skydd av personuppgifter vilka framgår av dataskyddsförordningen. Calms policies och procedurer har utformats för att säkerställa att dessa principer följs. 

 

5.1      Personuppgifter ska behandlas på lagligt, rättvist och transparent sätt.

 

Enligt dataskyddsförordningens princip om transparens ska Föreningen Vipassana Sverige ha transparenta och lätt tillgängliga policies om behandling av personuppgifter och skydd av individers ”rättigheter och friheter”. Information ska kommuniceras till elever på ett begripligt sätt med användning av klart och enkelt språk. Den specifika information som eleven ska ges måste i vart fall innehålla:

 

  1. Identitet och kontaktuppgifter till stiftelsen Calm i de fall då Calm omfattas eller till Föreningen Vipassana Sverige samt dess representant om någon sådan utsetts;
  2. Kontaktuppgifter till dataskyddsombudet;
  3. Syftet med den behandling som personuppgifterna avser liksom rättslig grund för behandlingen;
  4. Hur länge personuppgifterna kommer att lagras;
  5. Att det finns en rätt att begära tillgång till informationen, få den rättad eller raderad, eller motsätta sig att informationen behandlas;
  6. Vilka kategorier av personuppgifter som avses;
  7. Mottagare eller kategorier av mottagare av personuppgifterna;
  8. När det är tillämpligt, att Föreningen Vipassana Sverige avser att överföra personuppgifter till en mottagare i tredje land och vilken skyddsnivå som då kommer att tillämpas;
  9. Ytterligare information som är nödvändig för att garantera att uppgifterna behandlas på ett rättvist sätt.

 

5.2            Personuppgifter kan endast behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

 

Uppgifter som samlats in för särskilda ändamål får inte användas för andra ändamål än dem som omfattas av en formell underrättelse till tillsynsmyndigheten (Autoriteit Persoonsgegevens).

 

5.3      Personuppgifter måste vara adekvata, relevanta och begränsade.

 

Följande ska tillämpas:

 

  1. Dataskyddsombudet är tillsammans med Föreningen Vipassana Sverige ansvarigt för att säkerställa att information, som inte är helt nödvändig för det syfte den samlas in för, inte heller samlas in.
  2. Alla formulär för insamling av personuppgifter (elektroniska eller i pappersformat), inklusive insamling av uppgifter inom nya informationssystem, måste godkännas av dataskyddsombudet.
  3. Dataskyddsombudet ska årligen säkerställa att insamlad information även fortsättningsvis är adekvat, relevant och inte onödigt omfattande, genom att intern granskning sker beträffande metoderna för insamling av uppgifter.
  4. Om uppgifter som lämnats eller tagits emot är alltför omfattande eller annars inte nödvändig enligt Calms eller Föreningen Vipassana Sveriges dokumenterade rutiner, ska dataskyddsombudet säkerställa att uppgifterna raderas på ett säkert sätt eller på annat sätt tas bort i enlighet med policyn för radering av information.
  5. Den lokale kontaktpersonen för dataskydd har befogenhet att agera på dataskyddsombudets vägnar i anslutning till att denne informeras.

 

5.4          Personuppgifter ska vara korrekta och uppdaterade.

 

Följande ska tillämpas;

 

  1. Uppgifter som behålls en längre tid måste granskas och uppdateras om det är nödvändigt. Inga uppgifter ska behållas om det inte rimligen kan antas att de är korrekta.
  2. Föreningen Vipassana Sverige och Calm ansvarar för att säkerställa att servare utbildas om vikten av att samla in korrekta uppgifter och att uppgifter fortsatt ska vara korrekta.
  3. Det är också individernas ansvar att säkerställa att uppgifter som innehas av Calm och Föreningen Vipassana Sverige är korrekta och uppdaterade. Att ett ansöknings- eller registreringsformulär fylls i kommer t.ex. att tas som en indikation på att uppgifterna i formulären är korrekta vid den tidpunkt de ges in.
  4. Servare och elever ska underrätta Föreningen Vipassana Sverige och Calm om ändrade förhållanden som innebär att personuppgifter bör uppdateras. Instruktioner för hur uppgifter uppdateras finns. Det är Föreningen Vipassana Sveriges ansvar att i samarbete med Calm säkerställa att alla underrättelser om ändrade förhållanden noteras och att åtgärder vidtas med anledning av underrättelsen.
  5. Dataskyddsombudet ska säkerställa att ytterligare lämpliga åtgärder vidtas för att säkerställa att personuppgifter är korrekta och uppdaterade, varvid ska beaktas mängden uppgifter som samlas in, hur snabbt uppgifterna kan ändras och andra relevanta omständigheter.
  6. Dataskyddsombudet ska i vart fall årligen granska de personuppgifter som innehas av Föreningen Vipassana Sverige, med utgångspunkt från personuppgiftsregistret, för att identifiera uppgifter som inte längre behövs med beaktande av det ändamål som registrerats, och ska se till att dessa uppgifter raderas eller på annat sätt tas bort på ett säkert sätt.
  7. Dataskyddsombudet ska säkerställa att lämpliga åtgärder vidtas när felaktiga eller utdaterade personuppgifter förts över till tredje part, genom att informera tredje part att uppgifterna är felaktiga eller utdaterade och inte ska ligga till grund för beslut gällande de personer som berörs, liksom att rättade uppgifter överförs till tredje part när detta behövs.
  8. Den lokala kontaktpersonen för dataskydd har befogenhet att agera på dataskyddsombudets vägnar i anslutning till att denne informeras.

 

    1.      Identifiering och uppgiftsminimering

 

  1. När personuppgifter behålls efter att de har behandlats, ska denna hantering minimeras för att skydda elevens identitet in händelse av en personuppgiftsincident.  
  2. Personuppgifter får behållas i enlighet med föreningens lagringspolicy (Retention of records procedure) och ska, när tiden för detta har gått ut, raderas eller på annat sätt tas bort på ett säkert sätt enligt vad som följer av denna policy.
  3. Dataskyddsombudet måste specifikt godkänna att uppgifter behålls under längre tid än vad som följer av denna pöocy och ska säkerställa att detta tydligt kan motiveras och att skälen för att behålla uppgifterna har stöd i lagstiftning om skydd av personuppgifter. Detta godkännande måste ske skriftligen (vilket innefattar e-post).

 

5.6      Personuppgifter måste behandlas på ett säkert sätt.

 

  1. Kontrollåtgärder ska beslutas med beaktande av identifierade risker som gäller personuppgifter liksom potentiell skada eller liknande som kan antas drabba de individer vars uppgifter behandlas.
  2. Calm uppfyller denna princip genom tillämpning av Calms System för hantering av informationssäkerhet (Information Security Management System, ISMS), vilket har utvecklats enligt ISO/IEC 27001:2013. Beslutade kontrollåtgärder ska vara föremål för granskning och omvärdering.
  3. Föreningen Vipassana Sveriges hantering av personuppgifter utanför Calm ska omfattas av lämpliga säkerhetsåtgärder vilka ska godkännas av dataskyddsombudet och den lokale kontaktpersonen för dataskydd. Detta omfattar hantering av donationer, nyhetsbrev, m.m.

 

5.8     Överföring av personuppgifter till utanför EU

 

  1. Överföring av personuppgifter till utanför EU ska vara förbjuden, om inte en eller flera specifika skyddsåtgärder eller undantag är tillämpliga.
  2. Vid bedömningen av om en överföring är adekvat ska Föreningen Vipassana Sverige beakta följande omständigheter: vilka slags uppgifter som ska överföras; var uppgifterna härrör från och dess slutliga destination; hur uppgifterna ska användas och hur länge; lag och sedvana i mottagarlandet, inklusive uppförandekoder och internationella åtaganden.
  3. Bindande företagsbestämmelser: Calm kommer att anta bindande företagsbestämmelser för överföring av uppgifter till utanför EU och/eller andra åtgärder som Privacy Shield i förhållande till USA. Föreningen Vipassana Sverige kommer att anta bindande företagsbestämmelser för överföring av uppgifter när detta behövs.
  4. Standardiserade avtalsklausuler; Calm kan anta godkända standardiserade avtalsklausuler för att överföra uppgifter till utanför EU. Om Calm antar standardiserade avtalsklausuler som godkänts av tillsynsmyndigheten ska dessa automatiskt anses adekvata. Föreningen Vipassana Sverige kommer att anta avtalsklausuler när det behövs för att överföra uppgifter till länder utanför EU.
  5. Undantag:

Så länge det inte finns något beslut om överföring på ett adekvat sätt, inklusive bindande företagsbestämmelser, kan överföring av personuppgifter till tredje land, eller en internationell organisation, ske endast om någon av följande förutsättningar är uppfylld:

  • Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.
  • Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran;
  • Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse.
  • Överföringen är nödvändig av viktiga skäl som rör allmänintresset.
  • Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
  • Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
  • Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

 

En lista över länder som uppfyller kraven på adekvat skyddsnivå enligt EU-kommissionen har publicerats i Europeiska Unionens Officiella Tidning.

 

5.9          Ansvarsskyldighet

Enligt dataskyddsförordningen gäller principen om ansvarsskyldighet, vilket innebär den personuppgiftsansvarige inte endast ansvarar för att reglerna efterlevs utan ska också kunna visa att varje behandling uppfyller dataskyddsförordningens krav.

 

Mer specifikt innebär detta att personuppgiftsansvariga som Calm men också Föreningen Vipassana Sverige måste bevara tillräcklig dokumentation beträffande all sin behandling av personuppgifter, införa lämpliga skyddsåtgärder, genomföra konsekvensbedömningar avseende dataskydd, uppfylla kraven på att underrättelser ska lämnas eller att godkännande ska ske av tillsynsmyndigheten, och utse ett dataskyddsombud. Det betyder att varje förening eller stiftelse i Europa måste utse ett eget dataskyddsombud eller utse Calms dataskyddsombud. De lokala kontaktpersonerna för dataskydd fungerar som ställföreträdande dataskyddsombud och agerar på uppdrag av denne. Föreningar eller stiftelser utanför EU kan utse en lokal kontaktperson för dataskydd.

 

6.        Elevers rättigheter

 

Elever har följande rättigheter när det gäller behandling av uppgifter och de uppgifter som avser dem:

 

  1. Att begära att få kännedom om vilken slags information som hanteras och vem som haft tillgång till den.
  2. Att förhindra behandling av uppgifter på ett sätt som orsakar skada eller lidande.
  3. Att förhindra att behandling sker på ett sätt som innebär direkt marknadsföring.
  4. Att informeras om automatiserat beslutsfattande, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
  5. Att viktiga beslut som rör dem inte fattas genom automatiserat beslutsfattande.
  6. Att ge in stämning vid domstol med krav på ersättning om de lidit skada genom överträdelse av dataskyddsförordningen.
  7. Att kunna vidta åtgärder för att få uppgifter korrigerade, blockerade och raderade, inklusive rätten att bli bortglömd, eller att på annat sätt få felaktiga uppgifter eliminerade.
  8. Att begära att tillsyndmyndigheten (Autoriteit Persoonsgegevens) bedömer om dataskyddsförordningen har överträtts.
  9. Ha rätt att få ut personuppgifter i ett format som är strukturerat, vanligen tillämpat och elektroniskt läsbart, och ha rätt att få uppgifter överförda till en annan personuppgiftsansvarig.
  10. Rätt att motsätta sig all automatiserad profilering som sker utan samtycke.

 

Elever kan begära att få tillgång till uppgifter. Det finns en procedur som visar hur Calm och Föreningen Vipassana Sverige ska säkerställa att deras respons till en sådan begäran uppfyller dataskyddsförordningens krav.

 

Elever har rätt att motsätta sig behandling av uppgifter. När det gäller stöd- och spärrlistan (RSL) finns en Kommitté för särskilda fall (Special Cases Committee) som har till uppgift att granska noteringar på listan enligt Calms procedurer. Om det behövs kommer Föreningen Vipassana Sverige att hänvisa en elev till dataskyddsombudet, som kan kontakta Kommittén för särskilda fall för granskning av noteringen på listan.

 

Klagomål

En registrerad som vill klaga på Calm eller Föreningen Vipassana Sverige beträffande hur deras personuppgifter har behandlats kan ge in sitt klagomål till dataskyddsombudet.

 

Den registrerade kan också klaga direkt till tillsynsmyndigheten (de Autoriteit Persoonsgegevens). När en registrerad önskar klaga på hur deras klagomål har behandlats, eller överklaga ett beslut som fattats med anledning av deras klagomål, kan de ge in ytterligare klagomål till dataskyddsombudet. Rätten att göra detta ska omfattas av proceduren för klagomål vilket ska kommuniceras med elever och servare.

 

7.        Samtycke

 

Föreningen Vipassana Sverige förstår ”samtycke” att innebära varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke kan när som helst återkallas.

 

Föreningen Vipassana Sverige förstår med ”samtycke” att den registrerade blivit fullt ut informerad om den avsedda behandlingen och gett uttryck för att detta godtas, samt att denne gjort så vid sina sinnens fulla bruk och utan att ha utsatts för påtryckning. Samtycke som erhålls under press eller som grundas på vilseledande information utgör inte en giltig grund för behandling av uppgifter. Det måste ha förekommit någon form av aktiv kommunikation mellan parterna som visar på ett aktivt samtycke. Samtycket kan inte grundas på ett uteblivet svar på ett kommunicerat meddelande. När det gäller känsliga uppgifter måste det finnas ett uttryckligt skriftligt samtycke av den registrerade, såvida inte det finns en annan rättslig grund för behandlingen av uppgifterna.

 

I de flesta fall inhämtas samtycke rutinmässigt av Calm och Föreningen Vipassana Sverige genom användning av standardiserade dokument, t.ex. i samband med att en elev ansöker till en kurs eller en servare ansöker att serva. När Calm erbjuder möjlighet att ansöka online för barn, krävs godkännande av förälder eller vårdnadshavare. Detta gäller barn som är under 16 år, såvida inte medlemsstaten bestämt en lägre åldersgräns, dock lägst 13 år. Samma principer tillämpas beträffande Föreningen Vipassana Sveriges användning av information som hanteras utanför Calm.

 

8.        Dataskydd

Alla servare ansvarar för att säkerställa att personuppgifter som de hanterar, i Calm och utanför Calm, förvaras säkert och under inga förhållanden görs tillgängliga för tredje part, såvida inte tredje part uttryckligen fått tillåtelse av Calm att ta emot informationen och har ingått en sekretessförbindelse. Personuppgifter måste förvaras:

 

  • i ett låsbart rum med kontrollerat tillträde; och/eller
  • i ett låst skåp eller arkiveringsskåp; och/eller
  • lösenordsskyddat, om uppgifterna lagras elektroniskt, i enlighet med de krav som gäller i Policyn för kontroll av tillgång till uppgifter (Access Control Policy); och/eller
  • lagras på (flyttbart) datamedia som är krypterat och ska vara anonymiserat eller pseudonymiserat när detta är möjligt.  

 

Dataskärmar och terminaler ska inte vara läsbara för andra än auktoriserade användare.  

 

Uppgifter som lagras i fysisk form får inte lämnas så att icke-auktoriserade personer ges tillgång till dem, och får inte förflyttas från ordinarie arbetsplats utan att detta godkänts. Så snart manuellt lagrade uppgifter inte längre behövs på daglig basis, måste de förflyttas till säker arkivering.

 

Personuppgifter får endast raderas eller rensas i enlighet med föreningens lagringspolicy. Fysiska bärare av uppgifter i pappersform ska strimlas och bortforslas som ”konfidentiellt avfall”. Hårddiskar till uttjänta datorer ska tas bort och omedelbart destrueras innan de bortforslas som avfall.

 

Hantering av personuppgifter utanför center innebär en större risk för att personuppgifter förloras, stjäls eller skadas. Servare måste ha fått ett särskilt godkännande att hantera uppgifter utanför center samt vara medveten om proceduren för personuppgiftsincidenter och tillämpa den när det behövs.

 

9.        Rätten till tillgång till uppgifter

Den registrerade har rätt att få tillgång till alla personuppgifter (dvs. uppgifter om dem) som hanteras elektronsikt i Calm liksom på fysiska bärare av uppgifter som utför del av ett relevant register. Detta innefattar en rätt att granska konfidentiella personliga referenser som Calm har tagit emot, och information som tagits emot av tredje part och gäller den personen.

 

Elever har också rätt att få tillgång till uppgifter om dem som hanteras av Föreningen Vipassana Sverige. Detta innefattar filer om frivilligt arbete, donationer (om tillämpligt), nyhetsbrev, kvarglömda saker, samåkning, barnkurser, klagomål och annan information som lagras av föreningen utanför Calm. För att få tillgång till uppgifter i Calm kan den lokale kontaktpersonen för dataskydd eller dataskyddsombudet kontaktas.

 

10.            Utlämning av uppgifter

Föreningen Vipassana Sverige ska säkerställa att personuppgifter inte lämnas ut till icke-auktoriserade tredje parter, vilket omfattar familjemedlemmar, vänner, myndigheter och, under vissa förhållanden, polisen. Alla servare ska iaktta försiktighet när någon begär att få personuppgifter som rör en annan person utlämnade och ska utbildas i hur de effektivt kan hantera en sådan risk. Det är viktigt att beakta huruvida det är nödvändigt eller relevant för hållandet av kurser att uppgifterna lämnas ut.

 

Enligt dataskyddsförordningen får uppgifter lämnas ut utan samtycke när informationen begärs med något av följande ändamål:

 

  • att skydda nationell säkerhet;
  • att förhindra eller upptäcka brott, inklusive att den som begått brott grips eller åtalas;
  • utredning om och indrivning av skatt
  • åtgärder för att säkerställa regelefterlevnad (inklusive åtgärder som gäller individers hälsa, säkerhet och välfärd på sin arbetsplats);
  • att förhindra att tredje part lider allvarlig skada;
  • att skydda individers vitala intressen; detta syftar på situationer som gäller liv och död.

 

Varje begäran att få ut uppgifter med stöd av något av dessa ändamål måste stödjas av lämplig dokumentation och måste särskilt godkännas av dataskyddsombudet.

 

11.     Behållande och radering av uppgifter

Personuppgifter får inte behållas längre än vad som är nödvändigt. Så snart en servare inte längre är aktiv och en elev slutat att ansöka till kurser, behöver det inte längre vara nödvändigt att behålla uppgifter om dem. Calms procedurer för behållande och radering av uppgifter ska vara tillämpliga i alla situationer som rör användningen av Calm. I tillägg till detta får formulär i pappersform inte behållas längre än tio år, såvida det inte finns tydliga indikationer på att rättegång kommer att inledas.

 

Radering av uppgifter

Personuppgifter måste raderas på ett sätt som skyddar de registrerades ”rättigheter och friheter” (t.ex. strimling, bortforsling av konfidentiellt avfall, säker elektronisk radering) och i enlighet med proceduren för säker radering.  

 

12.               Personuppgiftsincidenter

Föreningen Vipassana Sverige har antagit en procedur för personuppgiftsincidenter. Varje incident måste rapporteras till den lokale kontaktpersonen för dataskydd/dataskyddsombudet enligt vad som följer av denna procedur.

 

13.               Ikraftträdande

Denna personuppgiftspolicy träder i kraft den 26 maj 2018. Föreningen Vipassana Sverige förbehåller sig rätten att ändra och/eller återkalla policyn. Alla som servar inom ramen för föreningens verksamhet omfattas av policyn. Detta innefattar styrelseledamöter, tillfälliga servare, långtidsservare, assistentlärare och besökande assistentlärare.

 

14.               Kommunikation

Denna policy ska kommuniceras med elever och servare som ansöker till kurser på ett begripligt och övergripande sätt. En kopia av policyn ska finnas tillgänglig för elever och servare på begäran samt kan läsas på Föreningen Vipassana Sveriges hemsida.

 

15                 Försäkringar

Föreningen Vipassana Sverige ska granska sin försäkringspolicy för servare för att undersöka om den omfattar felaktig användning av personuppgifter. Om det behövs bör policyn ändras.  

 

16.                Manualer

Föreningen Vipassana Sverige ska granska tillämpliga manualer samt informera respektive arbetsgrupp och lärare om ändringar.