1. Bakgrund och syfte

Genom medlemskap i en eller flera av Uppsalas studentnationer erbjuds studenter vid Universiteteten och högskolorna i Uppsala möjligheten att delta i ett unikt och mångfacetterat studentliv med rötter ända tillbaka i 1600-talet, organiserat av studenter för studenter. I och med ett medlemskap i någon av Uppsalas nationer kommer nationerna att samla in och behandla personuppgifter om den enskildes medlemskap i syfte att denne ska få ta del av nationslivet. Beroende på vilka delar av nationernas verksamhet som den enskilde medlemmen deltar i, kommer olika typer av information att samlas in och behandlas. Kuratorskonventet och dess medlemsorganisationer tar den personliga integriteten på allvar och syftet med den här datapolicyn är säkerställa att de personuppgifter som behandlas av nationerna används endast för avsedda ändamål, samt att medlemmarna skyddas mot obehörig åtkomst och användning av deras personuppgifter. Bestämmelserna i den här datapolicyn gäller behandlingen av personuppgifter i både medlemsregister, databaser, ärende- och dokumenthanteringssystem, men också ostrukturerat material i form av t.ex. text i ordbehandlingsprogram och på internet, bilder samt e-post. Den här datapolicyn beskriver den information Uppsalas studentnationer behandlar, vilka som har rätt att ta del av medlemsinformationen samt vilka rättigheter den registrerade har i samband med behandling av personuppgifter. Denna datapolicy har antagits enhälligt av nationernas samarbetsorgan, Kuratorskonventet och gäller för Kuratorskonventet samt de tretton studentnationerna. Nationernas bostadsstiftelser eller delföreningar som är egna juridiska personer omfattas inte av bestämmelserna i den här policyn.

2. Definitioner

Med personuppgift menas i den här datapolicyn all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med känslig personuppgift menas sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. Behandling av personuppgifter är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter t.ex. insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgiftsansvarig är den juridiska personen, i det här fallet den enskilda nationen som behandlat personuppgifter i sin verksamhet, som bestämmer vilka uppgifter som ska behandlas och hur de ska användas. Personuppgiftsbiträde är alltid någon utanför den egna organisationen som på uppdrag av den personuppgiftsansvarige får behandla personuppgifter, dock endast i enlighet med instruktioner från denne. Ett skriftligt avtal som reglerar förhållandet mellan personuppgiftsbiträdet och den personuppgiftsansvarige måste finnas där säkerhetsåtgärderna vid behandlingen av personuppgifter regleras. Med medlem avses den som i enlighet med en nations stadga är att anse som medlem i densamma eller de som tecknat tillfälligt medlemskap i enlighet med Reglemente för gästkort.

3. Medlemmar och enskilda personers rättigheter

Medlem har rätt att ta del av när dennes personuppgifter behandlas. Information om personuppgiftsbehandling ska lämnas i samband med att en person går med i nation eller när den registrerade så begär. Medlem har rätt att få felaktiga uppgifter rättade. Nationerna samlar huvudsakligen in uppgifter direkt från den registrerade. Medlem har rätt att få sina uppgifter raderade när ett medlemskap avslutats och alla förpliktelser gentemot nationen är uppfyllda i form av obetalda skulder och inlämnande av giltiga nationskort. Rätten att bli glömd gäller inte om uppgifterna fortsatt behandlas i syfte att uppfylla annan rättslig förpliktelse eller nationens berättigade intresse. Se avsnitt 4.d. Personer har rätt att bli borttagna från bilder som nationerna eller Kuratorskonventet lägger ut på hemsidor, i fotoalbum eller i sociala medier. Medlem har rätt till begränsad användning i händelse av att denne begärt rättelse under den tid det tar att utreda uppgifternas korrekthet. Begränsad användning innebär att uppgifterna inte får användas i nationens löpande verksamhet. När begränsningen upphör ska den enskilde informeras om detta. Medlem har rätt att göra invändningar mot behandling av uppgifter i de fall behandling sker enligt intresseavvägning. Om en medlem invänder mot behandling som sker enligt dessa principer, måste nationen visa att intresset är tyngre än den enskildes intressen eller att behandling sker för fastställande, utövande eller försvar av rättsliga anspråk. Medlem har rätt att lämna in klagomål till integritetsskyddsmyndigheten om denne anser att uppgifter behandlas i strid med dataskyddsförordningen.

4. Uppgifter som nationerna samlar in och behandlar och använder

Personer som vill bli medlem i en nation godkänner i och med medlemskapet att nationen kommer behandla personuppgifter för den enskilde medlemmen. Nationen skall vid inskrivning tillhandahålla information om vilka uppgifter som kommer behandlas och i vilket syfte. Kuratorskonventet och dess medlemsorganisationer förbinder sig att inte använda de personuppgifter som samlats in i annat syfte än det som anges i den här datapolicyn utan medlemmens uttryckliga samtycke. a. Information som medlem lämnar till nationen Nationerna behandlar de uppgifter som medlemmen uppger i samband med tecknande av medlemskap och som behövs för nationernas administration t.ex. namn, adress, personnummer, telefonnummer, mejladress, förtroendeposter samt andra uppgifter som krävs för att administrera ditt medlemskap. Genom medlemskap i en, eller flera nationer godkänner studenten därmed att nationen i fråga får kontakta densamme. Uppgifterna används för kontakt med, utskick till och fakturering av medlemmarna samt vid revision av nationens verksamhet. Rättslig grund: fullgörande av avtal, intresseavvägning (nationerna har berättigat intresse av att kunna förbättra sin medlemsservice). Uppgifter för köp eller transaktioner som sker på nationerna behandlas av redovisningsskäl. Detta inkluderar betalningsinformation som numret på ditt kredit- eller betalkort och andra Kortuppgifter och information om fakturering. Den här informationen delas enbart till den tredje part som genomför själva transaktionen och används bara i enlighet med bestämmelser i lag. Rättslig grund: fullgörande av avtal, rättslig förpliktelse. Ytterligare uppgifter kan komma att behandlas i samband med att en medlem nyttjar någon annan av nationernas tjänster t.ex. biblioteken, vid stipendieansökningar, lån eller uppgifter som lämnas i samband med anmälan till arrangemang. Regler för behandling av personuppgifter bestäms i dessa fall av den aktuella nationen. Rättslig grund: samtycke. I samband med att en medlem blir förtroendevald, söker anställning eller skriver upp sig för att arbeta inom verksamheten kommer även kontaktuppgifter och ev. löneinformation att samlas in och behandlas. Rättslig grund: fullgörande av avtal (utbetalning av ersättning), intresseavvägning (nationen har berättigat intresse att kunna veta vilka beslut som fattats). b. Information som samlas in Nationerna samlar in uppgifter om vilka som är registrerade på kurser vid Uppsala universitet som krävs för tecknande av medlemskap, samt uppgifter om medlemskap i andra nationer eller studentkårer vid Uppsala universitet. Rättslig grund: intresseavvägning (nationen har berättigat intresse av att veta vilka som studerar vid Universitet och högskolorna i Uppsala som berättigar medlemskap i nation). Information samlas in när någon besöker eller använder webbplatser och applikationer som tillhör medlemsnationerna eller Kuratorskonventets sidor (cookies) En cookie är textfil som sparas på din dator av webbplatsen du besöker och används för att ge dig som besökare tillgång till viss funktionalitet. Rättslig grund: berättigat intresse. Behandling av personuppgifter får också göras efter intresseavvägning där den enskilde nationens intresse av att utföra en behandling vägs mot medlems intresse av integritetsskydd; eller genom att denne har lämnat samtycke till behandlingen. Ett samtycke lämnas separat och du kan alltid återkalla det genom att kontakta förste kurator på respektive nation. c. Känslig information Nationerna behandlar känslig information i form av uppgifter om personers hälsa så som allergier på gäster som besöker sittningsverksamheten för att säkerställa att personen i fråga inte ska riskera att bli sjuk och eventuellt i stipendieansökningar när en person vill styrka vill uppge vissa omständigheter som kan vara relevanta för stipendiebeslutet t.ex. sjukskrivning. Varje nation ska ha tydliga rutiner som garanterar att uppgifterna behandlas med extra hög säkerhet. Personer som behandlar känsliga personuppgifter är belagda med tystnadsplikt. Nationen behandlar endast känsliga personuppgifter som personen uppger. Rättslig grund: samtycke d. Delning av information Nationerna är genom samarbetet i Kuratorskonventet gemensamt personuppgiftsansvariga tillsammans med Uppsala studentkår för medlemsregistret MELOS. Övriga kårer vid Uppsala universitet är personuppgiftsbiträden genom särskilda avtal. MELOS samlar en students samtliga nations och kårmedlemskap i syfte att hantera alla uppgifter om medlemskap på samma ställe för att underlätta betalning och för att tillhandahålla gemensamma medlemskort. Rättslig grund: fullgörande av avtal. Tredjepartsföretag som hjälper Kuratorskonventet eller dess medlemsorganisationer att tillhandahålla våra tjänster, tryck och distribution av nationskort, medlemstidningar och brev tar del av information om medlemmar. Hanteringen av dessa uppgifter regleras i specifika avtal med respektive part. Rättslig grund: fullgörande av avtal. Nationerna publicerar bilder från aktiviteter och tillställningar som sker på eller i nationens regi på sociala medier. Nationen ska på begäran bort bilder på personer som inte önskar vara med på bild. Rättslig grund: samtycke (person som deltar i nationens verksamheter kan bli fotograferas i samband med dessa). Nationerna lämnar inte ut uppgifter till enskilda personer annat än till den som själv äger uppgiften. Information om medlemskap i en nation kommer att delas vidare till t.ex. nationernas bostadsstiftlerser för att medlemmar ska ha möjlighet att ansöka om bostad inom nationernas bostadsstiftelser. Rättslig grund: fullgörande av avtal, berättigat intresse e. Lagring av information Data lagras så länge det är nödvändigt för att tillhandahålla medlemsförmåner och övriga tjänster till våra medlemmar, informationen bevaras så länge medlemskapet är aktivt. Efter det bevaras endast uppgifter om medlemskap som är av intresse utifrån ett organisationshistoriskt perspektiv eller sådant som nationerna måste bevara i enlighet med annan lagstiftning. Det är nationen själv i egenskap av personuppgiftsansvarig som bestämmer vilka uppgifter som ska sparas. Uppgifter i medlemsmatriklar, fotoalbum, protokoll eller motsvarande sparas i enlighet med nationens berättigade intresse att följa sin unika organisationshistoria så länge nationen inte fattar beslut om annat. Personuppgifternas som lagras enbart för arkivändamål av allmänt intresse, vetenskapliga, historiska eller statistiska ändamål. Nationen ska tillse att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerades rättigheter. Fakturerings- och betalningsuppgifter som del av bokföringsunderlag eller för att kunna tillvarata våra intressen sparas av nationerna i upp till 10 år efter det att underlaget skapades eller så länge eventuell tvist pågår. Uppgifter om registreringar vid universitet sparas under innevarande termin. f. Borttagning av information När en medlem avslutar sitt medlemskap i nationerna kommer uppgifterna i medlemsregistret att tas bort i samband med att terminen avslutas, förutsatt att inga utestående medlemsavgifter eller andra skyldigheter gentemot nationen kvarstår.

5. Säkerhet

I och med den här datapolicyn förbinder sig samtliga nationer att ha utarbetade rutiner som säkerställer att personuppgifter behandlas på ett sådant sätt att inga obehöriga får del av informationen. Vidare ska nationen utbilda de förtroendevalda gällande personuppgiftshantering i samband med att de tillträder sitt ämbete samt för alla minst en gång per termin. Nationerna ska verka för att systematiskt informera om hur informationssäkerhet säkerställs, analysera och säkerhetsklassa information och system för att tillse att säkerhetsrisker minimeras samt förebygga händelser som kan leda till att negativa konsekvenser. Varje nation är i egenskap av personuppgiftsansvarig den som bestämmer hur personuppgifter ska användas och av vem. Den enskilda nationen har ansvar för att utarbeta rutiner och instruktioner för hur uppgifterna får användas samt säkerställa att enbart dessa har åtkomst till behandlingen av personuppgifter. Nationerna ska ha utarbetade rutiner för insamling och radering av uppgifter så att uppgifter inte förvaras längre än nödvändigt. Vidare ska registerna uppfylla de tekniska krav som de måste uppfylla enligt svensk lag. I händelse av personuppgiftsincidenter har nationen skyldighet att inrapportera detta till integritetsskyddsmyndigheten inom 72 timmar. Om det inte är osannolikt att medlem riskerar att ta skada är nationen skyldig att informera de registrerade så de kan vidta nödvändiga åtgärder. Alla personuppgiftsincidenter ska dokumenteras.

6. Kontakt

Vid frågor gällande personuppgiftsbehandling eller om medlem vill utöva sina rättigheter så kontakta förste kurator på respektive nation som ansvarar för medlemsärenden. Frågor gällande Kuratorskonventets personuppgiftsbehandling riktas de till Kommunikationsansvarig.

7. Ändringar av datapolicyn Ändringar av den här datapolicyn beslutas i enlighet med bestämmelserna i Kuratorskonventets stadgar och träder omedelbart i kraft. Kuratorskonventet meddelar om ändringen genom uppdatering av information på kuratorskonventets hemsida.