Umeå Studentkår
Umeå Studentkår

GDPR

Så hanterar vi dina personuppgifter

Sedan 25 maj 2018 gäller en ny lagstiftning i Sverige; Dataskyddsförordningen, även känd som GDPR. Du har sannolikt fått mail och sms från många olika företag, föreningar eller andra organisationer.

Syftet med GDPR är att göra ditt skydd som enskild individ starkare. Sverige har sedan tidigare ett starkt skydd kring hur personuppgifter får hanteras. Detta skydd stärks ytterligare i och med GDPR och Datainspektionen har till uppgift att se till att förordningen följs.

I denna text vill vi kort berätta om hur vi som medlemsorganisation och företrädare för dig som student hanterar dina personuppgifter i alla led i vår organisation. Vare sig du är i kontakt med en av våra föreningar, förtroendevalda eller tjänstemän så ska du alltid känna en trygghet i att ingen personuppgiftsinsamling görs som inte är ändamålsenlig. Det är Umeå studentkår som är personuppgiftsansvarig och tveka inte att kontakta oss på dataskyddsombud@umeastudentkar.se om du vill uppmärksamma oss om en hantering som inte är ändamålsenligt. Du kan också rikta dig till Datainspektionen med eventuella klagomål på: https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/klagomal-och-tips/.

Inhämtande av personuppgifter

Umeå studentkår är utsedd av Umeå universitet som företrädare för studenter vid Humanistisk fakultet, Samhällsvetenskaplig fakultet samt Lärarhögskolan. Med detta följer mycket rättigheter men också skyldigheter.

Vi hämtar in uppgifter om dig som student på främst två sätt:

  1. Digitalt från universitetets studieregister: Denna får vi för att kunna kontrollera vilka som har rätt till medlemskap i studentkåren. Detta gör vi mot bakgrund av ”Förordning (1993:1153) om redovisning av studier m.m. vid universitet och högskolor”. Då utlämnande av information är reglerat i förordning så är det något du som student inte har kontroll över, däremot så är det viktigt att vi som organisation endast använder den information som vi behöver för verksamheten och det är även statligt reglerat vilken information som får registreras om dig.

  2. När du själv lämnar information: Detta gör du då du lämnar dina uppgifter vid tecknande av medlemskap, om du fyller i en enkät, talar med ett av våra studentombud, blir förtroendevald till ett uppdrag osv. Den information du i detta fall lämnar ska endast vara ändamålsenlig, du ska alltså aldrig behöva lämna mer uppgifter än vad som krävs för uppgiften som ska utföras.

Utlämnande av personuppgifter

Skyddet för dig som person har stärkts ytterligare med GDPR och utlämning av personuppgifter. Därför är det viktigt att du vet om hur och till vilka vi lämnar ut information.

Vi gör detta på fyra sätt:

  1. Till dig som student: Du har alltid rätt att, via kårexpeditionen, få reda på vilka uppgifter vi har lagrade rörande dig och du har också rätt att få uppgifterna utlämnade till dig som person eller rättade om det skulle finans felaktigheter.

  2. Internt inom organisationen: När personuppgifter lämnas internt till en av kårens föreningar, förtroendevalda eller tjänstemän, så lämnas endast de uppgifter som är nödvändiga för ändamålet, t.ex. om kontroll ska göras av vilka som är medlemmar, för statistiska ändamål, nyhetsbrevutskick till medlemmar eller för att nå en studentgrupp för ett visst syfte. En bedömning görs från fall till fall vilka uppgifter som ska lämnas ut och antalet uppgifter som lämnas ska minimeras för att ge dig ett starkt skydd.

  3. Till externa system kopplade till medlemskap: Umeå studentkår använder sig av ett medlemsregister med hög säkerhet från Montania System AB som lever upp till gällande lagstiftning. Vi lämnar även uppgifter till Mecenat och Studentkortet då dessa är ombud för studentkåren i utfärdande av medlemskort. Dessutom levererar vi uppgifter veckovis till universitetets medgivandetjänst där du som student kan medge att vissa företag får kontrollera huruvida du är student och i vissa fall även medlem.

  4. Till samarbetspartners: Som medlem godkänner du att vi lämnar ut uppgifter till våra samarbetspartners. Däremot så får vi endast lämna de uppgifter som är till för ändamålet för vårt samarbete. Den som ej tecknat medlemskap kommer aldrig få sina uppgifter utlämnande till samarbetspartners.

Gallring av personuppgifter/anonymisering

Utöver vår inhämtning och utlämnande av personuppgifter, så är gallring och anonymisering minst lika viktigt.

Detta görs på två sätt:

  1. Gallring av uppgifter efter att de ej längre fyller ett ändamål: Vi kommer aldrig lagra dina personuppgifter längre än för det ändamål de har samlats in. Denna tidsperiod varierar beroende på ändamål:

    • Dina personuppgifter som student och medlem gallras inom ett par år efter att du slutat studera.

    • Om du har varit i kontakt med ett av våra studentombud och i efterhand vill att de uppgifter du lämnat ska raderas så respekterar vi det beslutet och agerar enligt ditt önskemål.

    • Personuppgifter över förtroendevalda kommer sparas över en längre period då de är nödvändiga för utfärdandet av intyg och statistiskt underlag. Du har däremot rätt att få dina uppgifter raderade om du så begär.

    • I det fall att en student avlider så gallrar vi information om denna person omedelbart efter att vi fått information om det som hänt.

  2. Anonymisering av dina uppgifter:

    • Om du har skyddad identitet så säkrar vi behandlingen av dina personuppgifter i alla led. Vi skickar inte ut dina uppgifter till samarbetsparters och har upparbetade rutiner i medlemsregistret för att du ska känna dig säker.

    • Då du kontaktar studentkåren om att du upplever att du blivit felaktigt behandlad och vill vara anonym mot universitetet, en annan myndighet eller privat aktör så är det något vi ska sträva efter att tillgodose fullt ut.

How we handle your personal information

Since 25 May 2018, a new legislation is in force in Sweden known as The General Data Protection Regulation (GDPR).

The purpose of GDPR is to make your protection as a single individual stronger. Sweden has traditionally had a strong protection over how personal data may be handled. This protection is further strengthened as the GDPR and The Swedish Data Protection Authority (DPA) are responsible for ensuring compliance with the regulations.

In this text we would like to briefly tell you how, as a member organisation and representative of you as a student, we handle your personal data at all stages of our organization. Whether you are in contact with one of our associations, elected officials or civil servants, you should always feel confident that no personal data collection is made that is inappropriate. It is the Umeå Student Union that is responsible for the handling of your personal information and do not hesitate to contact us at dataskyddsombud@umeastudentkar.se if you want to alert us about a handling of your personal information that is not appropriate. You can also address DPA with any complaints https://www.datainspektionen.se/other-lang/in-english/the-general-data-protection-regulation-gdpr/notification-of-personal-data-breaches/.

Obtaining personal Data

Umeå Student Union is appointed by Umeå University as a representative of students at the Faculty of Humanities, Social Sciences and the School of Education. With this appointment follows both rights and obligations.

We collect data about you as a student in two main ways:

  1. Digitally from the university's study registry: We collect this data in order to be able to control who is entitled to membership of the Student Union. We do this in accordance with national regulations. Since disclosure of information is regulated nationally, it is something you as a student do not have control of. However, it is important that we as an organization only use the information that we need for the purpose of checking who has a right to membership and it is also nationally regulated which information that may be registered about you.

  2. When you as a person provide information: You do this when you provide your information as you sign up as a member, if you fill in a survey, speak with one of our student ombudsman, become elected as a student representative, etc. The information you provide in this case should only be limited to information that is necessary for the task to be performed.

Disclosure of personal Data

The protection and disclosure of personal data for you as a person has been further strengthened with GDPR. Therefore, it is important that you know about how and to whom we disclose information.

We do this in four ways:

  1. To you as a student: You are always entitled, through the Student union office, to find out what information we have stored about you and you also have the right to have the information extradited to you as a person or corrected if there would be any inaccuracies.

  2. Internally within the student union: When personal data is submitted internally to one of the Union's associations, elected officials or officers, only the information necessary for the purpose is provided, such as checking who are members, for statistical purposes, newsletter mailings to members or to reach a student group for a particular purpose. An assessment is made on a case-by-case basis which information is to be disclosed and the data submitted should be minimised to give you strong protection.

  3. To external systems linked to membership: Umeå Student Union uses a member registry with a high level of security from Montania System AB, which lives up to current legislation. We also provide information to Mecenat and Studentkortet as these are representatives of the Student Union in the issuance of membership cards. In addition, we deliver weekly data to the University's consent service where you as a student can admit that some companies may check whether you are a student and in some cases also a member of the Student Union.

  4. To partners: As a member you agree to that we disclose information to our partners. However, we must only provide the information that is necessary for the purpose of our cooperation with an external partner. If you have not signed up as a member, we will never have your personal information disclosed to partners.

Deletion of personal data/anonymization

In addition to our collection and disclosure of personal data, deletion and anonymization are just as important.

This is done in two ways:

  1. Deletion of data after they no longer fulfil their purpose: We will never store your personal information any longer than necessary for the purpose for which they were collected. This time period varies depending on the purpose:

    • Your personal information as a student and a member is culled within a couple of years after you have stopped studying.

    • If you have been in contact with one of our student ombudsmen and in retrospect want the information you have provided to be deleted, we respect that decision and will do so accordingly.

    • Personal data of elected student representatives will be stored over a longer period since they are necessary for the issuance of certificates and statistical data. However, you have the right to have your information deleted if you so request.

    • In the event that a student dies, we are detracting information about this person immediately after we have received information about what has happened.

  2. Anonymization of your information:

    • If you have a protected identity, we will secure the processing of your personal data at all stages. We do not send your information to partners and have established procedures in the member registry for you to feel safe.

    • When you contact the Student Union regarding that you feel that you have been wrongly treated and want to be anonymous towards the University, another authority or a private operator, it is a wish we strive to meet in full.