Integritetspolicy

  1. Bakgrund

Syftet med Personuppgiftspolicyn är att fysisk person vars personuppgifter registrerats ska få veta hur Stiftelsen behandlar personuppgifterna, vad de används till, vilka som får ta del av dem samt hur personen kan ta tillvara sina rättigheter.

Stiftelsen är Personuppgiftsansvarig (PUA) för de personuppgifter som förekommer i verksamheten och är den som bestämmer ändamålen med och medlen för behandling av de personuppgifter som förekommer inom organisationen. 

  1. Definitioner

I denna Personuppgiftspolicy används följande definitioner som har den betydelse som framgår av gällande personuppgiftslagstiftning: ”behandling, ”personuppgifter”, ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”registrerad” och ”samtycke”.

  1. Uppgifter som behandlas

Stiftelsen behandlar personuppgifter i första hand för att fullfölja Stiftelsens åtaganden. Utgångspunkten är att inte behandla fler personuppgifter än vad som behövs för ändamålet och Stiftelsen strävar alltid efter att använda de minst integritetskänsliga uppgifterna.

Inom ramen för sitt uppdrag behandlar, lagrar och överför Stiftelsen personuppgifter avseende stipendiater, bidragsmottagare, förtroendevalda såsom styrelseledamöter, huvudmän inklusive valberedning, revisorer samt anställda och uppdragstagare. 

Merparten av Stiftelsens verksamhet avser ägaruppdraget, d.v.s. att främja sparsamhet genom att vara ägare av bank i Sparbankssektorn § 2 i stiftelseurkunden. En mindre del riktas till företag och föreningar. Personuppgifter förekommer framförallt vid stipendium/bidragsansökningar och förtroendevaldas uppdrag inom Stiftelsens verksamhet.  

Personuppgifter som behandlas är bland annat: 

  • personnummer
  • namn, adress, telefonnummer, e-postadress
  • fotografier
  • bankrelaterade uppgifter (kontonummer, bankgironummer)
  • uppgifter om bidrag
  • arvode eller annan ersättning
  • uppgift om innehållen skatt
  • uppgift om arbetsgivaravgifter
  • avtalsrelaterad information
  • övrig frivilligt lämnad information i fritext via kontaktformulär eller liknande

Stiftelsen behandlar dina uppgifter främst för att pröva din, eller din organisations, rätt till bidrag samt för att uppfylla Stiftelsens ändamål enligt stiftelseförordnandet.

Stiftelsen behandlar också personuppgifter för nedanstående ändamål.

  • Deltagande i möten, projekt och aktiviteter
  • Ansökningar
  • Historik, bland annat som underlag för beslut
  • Avtal och beslut

I förekommande fall behandlas även uppgift om banktillhörighet och foto.

Personuppgifterna behandlas i syfte att kunna fullgöra de förpliktelser och främja de syften som framgår av stiftelseurkunden, stadgar och styrdokument samt avtalade förpliktelser såsom att sköta bidragsadministration, betala ut bidrag, arvode och annan ersättning från Stiftelsen samt att ligga till grund för Stiftelsens löpande bokföring och redovisning. Vidare behandlas personuppgifterna i syfte att dokumentera och synliggöra Stiftelsens verksamhet i enlighet med stiftelseurkunden och därav fastställda styrdokument. Stiftelsen behandlar även personuppgifter för att kunna fullgöra lagstadgade förpliktelser såsom rapportering till myndigheter m.m. 

Personuppgifter kan komma att uppdateras och kompletteras genom inhämtning från privata och offentliga register vid exempelvis uppdatering av adressuppgifter. 

  1. Särskilt om Känsliga personuppgifter

Stiftelsens stadgar föreskriver att styrelseledamöter och huvudmän inte får vara i konkurs eller ha förvaltare enligt 11 kap 7 § föräldrabalken. Vidare förutsätts förtroendevalda vara kunder i Swedbank eller Sparbank. De får inte heller ha uppdrag vid sidan av huvudmanna- eller styrelseuppdraget i lojalitetskonflikt med uppdraget för Stiftelsen. Ett sådant sidouppdrag kan exempelvis vara styrelseledamot inom konkurrerande bank m.m. 

Ovanstående uppgifter kan således komma att inhämtas och behandlas av Stiftelsen. 

  1. Överföring av personuppgifter

Inom ramen för Stiftelsens förvaltning kan det bli nödvändigt att överföra eller koordinera personuppgifter avseende registrerade utanför Stiftelsen. 

Syftet med överföringen kan även vara att Stiftelsen ska uppfylla skyldighet att rapportera till myndigheter eller andra för att uppfylla lagkrav eller för att uppfylla Stiftelsens åtagande enligt stiftelseurkunden och andra styrdokument. Överföring av personuppgifter utanför Stiftelsen ska begränsas till sådana uppgifter som är absolut nödvändiga för den aktuella åtgärden.

  1. Personuppgiftsbiträde

Ett Personuppgiftsbiträde samt sådana personer som arbetar under Personuppgiftsbiträdets eller den Personuppgiftsansvariges ledning får enbart behandla personuppgifter i enlighet med instruktioner från Stiftelsen. 

Om ett Personuppgiftsbiträde anlitas ska detta regleras i ett skriftligt avtal. Ett sådant avtal ska särskilt ange att Personuppgiftsbiträdet enbart får behandla personuppgifter i enlighet med instruktioner från Stiftelsen och att Personuppgiftsbiträdet ansvarar för att implementera lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. 

Stiftelsen behandlar uppgifter genom Personuppgiftsbiträde bland annat enligt följande:

Mottagning av ansökningar om stipendier via webben

Webbredaktörstjänster

Redovisningstjänster inklusive lönehantering m.m.

Datatjänster, såsom e-postprogram och datalagring på server

  1. Grund för behandling

Stiftelsens behandling av personuppgifter grundas på samtycke från de registrerade samt behandling som är nödvändig för att fullgöra avtal i vilken den registrerade är part eller vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Vidare behandlas personuppgifter för att fullgöra rättsliga förpliktelser som åvilar Stiftelsen. 

  1. Information till registrerade i samband med att personuppgifterna lämnas

Information om hur personuppgifterna behandlas lämnas till de personer vars personuppgifter behandlas inom ramen för Stiftelsens verksamhet. 

I första hand ges information när uppgifterna insamlas och den registrerade själv lämnar uppgifterna och samtycker till Stiftelsens behandling av dem. 

Normalt sker detta i tre typfall som Stiftelsen identifierat. 

1. Vid stämman i maj i samband med att nya styrelseledamöter, huvudmän, valberedningen och revisorer väljs. 

2. I samband med att stipendiater/bidragsmottagare självmant lämnar sina personuppgifter för att göra en ansökan om bidrag genom stiftelsens webformulär. 

3. Då personer som Stiftelsen ämnar anställa lämnar sina uppgifter för att kunna erhålla lön m.m.

Vid dessa tre tillfällen lämnas information om Stiftelsens behandling av den registrerades personuppgifter.

De personuppgifter som inhämtas av Stiftelsen själv rör i regel sådant som den registrerade redan känner till och inte behöver informeras om. För det fall Stiftelsen inhämtar personuppgifter som den registrerade inte känner till skickas information om hur personuppgifterna behandlas till den registrerade i samband med att Stiftelsen vidtar åtgärder som rör den registrerade i anledning av uppgifterna. 

  1. Information till redan registrerade 

Den registrerade har även att begära ut och få information om vilka personuppgifter om den registrerade som behandlas av Stiftelsen oberoende av hur dessa uppgifter har samlats in. 

Om den registrerade vill ha sådan information ska han eller hon lämna in en skriftlig begäran till Stiftelsens kansli. Begäran ska vara undertecknad av den registrerade samt skickas per post (e-post är således inte tillräckligt). 

När någon ansökt om ett registerutdrag ska Stiftelsen i första hand lämna ett besked om huruvida personuppgifter som rör den sökande behandlas eller inte. 

För det fall personuppgifter rörande den sökande behandlas ska Stiftelsen skriftligen lämna den sökande information om vilka personuppgifter som behandlas. De personuppgifter som avses innefattar även de uppgifter som organisationer som Stiftelsen anlitar behandlar för Stiftelsens räkning.  

Informationen ska omfatta ändamålen med behandlingen, de kategorier av personuppgifter som behandlas, mottagare av personuppgifterna, lagringstid, möjligheten att begära rättelse eller radering av personuppgifterna, rätt att klaga hos tillsynsmyndighet och information om varifrån personuppgifter som den sökande själv inte lämnat kommer. 

Den registrerade har även rätt till en kopia av de personuppgifter som är under behandling. 

Om en registrerad begär information om sina personuppgifter ska Stiftelsen verka för att informationen lämnas utan onödigt dröjsmål och under alla omständigheter senast en månad efter att Stiftelsen har mottagit begäran. 

Information till den registrerade ska på dennes begäran lämnas utan kostnad i vart fall en gång per kalenderår. Om personen i fråga onödigtvis belastar Stiftelsen med upprepade frågor som är uppenbart ogrundade och Stiftelsen kan bevisa det får Stiftelsen i undantagsfall vägra att lämna ut information. 

  1. Rättelse

Stiftelsen ska verka för att de personuppgifter som den behandlar är korrekta. 

Den registrerade har rätt att begära att dennes personuppgifter rättas, blockeras eller raderas om de är felaktiga eller om de behandlas i strid med gällande personuppgiftslagstiftning.  

  1. Säkerhet

Stiftelsen strävar efter att obehörig tillgång till personuppgifter inte kommer att ske. Stiftelsen försöker i största möjliga mån försäkra sig om att alla som behandlar Stiftelsens personuppgifter upprätthåller säkerheten avseende en registrerads personuppgifter, lämplig teknologi och interna rutiner för att undvika att obehöriga får tillgång till personuppgifter används.

Stiftelsen vidtar lämpliga tekniska åtgärder för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, de särskilda risker som finns med behandlingen och hur känsliga personuppgifterna är. 

Åtgärder som förekommer idag är byte av lösenord halvårsvis. Stiftelsen har även en förteckning över vilka som har åtkomst till uppgifterna. 

Stiftelsen arbetar även för att säkerställa att det finns tekniska och praktiska förutsättningar att utreda eventuella misstankar om att någon haft obehörig åtkomst till personuppgifterna.  

  1. Lagring av personuppgifter 

Personuppgifterna lagras bara så länge det är nödvändigt med hänsyn till ändamålet med behandlingen samt för att Stiftelsen ska kunna fullgöra sina skyldigheter enligt lag eller avtal. 

Stiftelsen har rätt att lagra personuppgifter under den period då en tvist med en registrerad pågår eller för att fullgöra lagstadgade rapporteringar till myndigheter inklusive bevarandekrav. 

Lagring och gallring av personuppgifter sker i enlighet med Stiftelsens arkivplan.