Stiftelsen Världsnaturfonden WWFs riktlinjer för hantering av den personliga integriteten enligt GDPR
Inledning
Stiftelsen Världsnaturfonden WWF (WWF Sverige) värnar om enskildas integritet och är mån om att enskilda ska känna sig trygga i alla kontakter med oss.
Denna integritetspolicy är utarbetad efter de lagkrav som ställs enlighet med bland andra Dataskyddsförordningen1 (även kallad GDPR2), men också efter de krav som vår branschorganisation Giva Sverige ställer på sina medlemmar. WWF Sveriges utgångspunkt är att organisationen på ett rättvist, öppet, klart och tydligt sätt ska kunna redovisa vilka personuppgifter som samlas in, varför och med vilken rättslig grund. WWF Sverige skyddar data på bästa möjliga sätt.
1. Syfte och omfattning
I denna integritetspolicy beskrivs vilka uppgifter WWF Sverige samlar in, i vilket syfte de samlas in och på vilket sätt den enskilde kan ha kontroll över sina uppgifter samt hur man kan ta kontakt med WWF Sverige.
Den gäller i alla sammanhang; när den enskilde deltar i WWF Sveriges verksamhet, besöker hemsidan, använder sig av någon av WWF Sveriges tjänster, när den enskilde är aktiv på WWF Sveriges sociala medier eller kommer i kontakt med WWF Sverige på annat sätt via exempelvis e-post eller en applikation som WWF Sverige står bakom, uppgifter som inkommer via telefon, post eller om uppgifter lämnas på annat sätt.
Integritetspolicyn gäller oavsett om den enskilde kommer i kontakt med WWF Sverige som givare, deltagare eller som intresserad av vår verksamhet. Den gäller också den enskilde som kommer i kontakt med WWF Sverige i sin yrkesroll eller som anställd hos WWF Sverige. Policyn beskriver också den enskildes rättigheter gentemot WWF Sverige och hur enskilda kan göra sina rättigheter gällande. Policyn gäller även uppgifter som WWF Sverige får in via telefon, post eller om den enskilda lämnar uppgifter till WWF Sverige på annat sätt, samt personuppgifter som WWF Sverige får in via tredje part.
2. Roller och ansvarsfördelning
Verksamhetsjuristen för WWF Sverige har ansvar för att dokumentation uppdateras och rutiner skapas samt att WWF Sverige hålls informerad om utveckling i relation till dataskyddsförordningen.
Därutöver finns en arbetsgrupp inom WWF Sverige, GDPR-gruppen, med representanter från olika delar av verksamheten som ska säkerställa att hela organisationen kontinuerligt bevakar och anpassar behandling av personuppgifter på ett korrekt sätt. Praktiskt kan behandlingen genomföras och ansvaras av andra personer i verksamheten.
3. Begrepp
Personuppgifter är information som direkt eller indirekt kan kopplas till en levande person. Det är till exempel namn och personnummer, men även uppgifter som den enskildes IP-adress eller inspelade röst är personuppgifter som kan kopplas till den enskilde.
Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Den registrerade den enskilde vars personuppgifter behandlas.
Behandling innefattar allt som kan göras med personuppgifter. Till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring.
4. Personuppgifter WWF Sverige samlar in
WWF Sverige får i första hand in personuppgifter direkt från den registrerade. Exempel på personuppgifter som samlas in är namn och kontaktuppgifter så som mobilnummer, e-postadress, fysisk adress, kontonummer eller personnummer. WWF Sverige kan komma att med hjälp av personnummer uppdatera den registrerades uppgifter från andra offentliga register om det är nödvändigt för att upprätthålla god registervård. WWF Sverige kan också utifrån ett mobilnummer ta fram namn eller på annat sätt komplettera den registrerades uppgifter. Ibland inkommer uppgifter från andra och då informeras den registrerade varifrån vi har fått dem. Det görs i vid första kontakten med denne.
WWF Sverige samlar in personuppgifter bland annat i samband med att den registrerade:
- inleder anställning eller praktik,
- anmäler sig som WWF Vän eller medlem i Pandaklubben,
- anmäler sig som fadder/månadsgivare,
- skänker en gåva,
- anmäler sig som mottagare av nyhetsbrev,
- anmäler sig till evenemang som WWF Sverige anordnar,
- kontaktar WWF Sverige via e-post, post, telefon, våra webbplatser eller sociala medier,
- besöker någon av WWF Sveriges domäner,
- ingår ett avtal med WWF Sverige
5. Rättslig grund
I och med att den registrerade lämnar sina personuppgifter till WWF Sverige, registreras, lagras och behandlas uppgifterna för angivna ändamål (se avsnitt 7 nedan)
Som rättslig grund för personuppgiftsbehandling kommer WWF Sverige i huvudsak hänvisa till uppfyllande av avtal, berättigat intresse, rättslig förpliktelse eller samtycke.
Den registrerade har alltid rätt att återkalla sitt samtycke om behandlingen av personuppgifterna grundar sig på dennes samtycke. En återkallelse av samtycke kan mejlas till WWF Sveriges arbetsgrupp för GDPR-frågor: gdpr@wwf.se.
6. Varför WWF Sverige behöver behandla personuppgifter (våra ändamål)
WWF Sverige behandlar personuppgifter i huvudsak för de ändamål som anges nedan samt för de eventuella ytterligare ändamål som anges vid insamlingstidpunkten. Personuppgifter samlas endast in för angivna ändamål och kommer inte användas till något som inte ligger i linje med dessa ändamål.
- För att informera om WWF Sveriges arbete och verksamhet via olika kanaler som till exempel telefon, brev, SMS och mejl.
- För att hantera deltagande i tävlingar och evenemang som anordnas.
- För att genomföra interna revisioner
- För att genomföra kundnöjdhetsundersökningar.
- För att hantera och förebygga säkerhetsincidenter.
- För att möjliggöra god service, som att hantera givarfrågor, rätta felaktiga uppgifter eller för att tacka för inkomna gåvor och informera om hur insamlade medel används.
- För att fullgöra beställningar av premier, gåvobevis och telegram.
- För att nå ut till givare och potentiella givare med generell och riktad marknadsföring.
- För systemadministration och för att kunna upprätthålla god registervård.
- För att ta fram statistiska data om våra givares givarbeteende och givarmönster på en aggregerad nivå (d.v.s. utan att identifiera enskilda personer).
- För att notera intresse och engagemang i våra initiativ och nätverk.
- För att uppfylla lagkrav gällande lagring av avtal.
- För att uppfylla rättsliga förpliktelser.
7. Behandling av barns personuppgifter
WWF Sverige behandlar som huvudregel inte personuppgifter för barn under 18 år. Om WWF Sverige ändå behandlar barns personuppgifter, exempelvis i samband med publika evenemang där barn deltar, så begärs alltid vårdnadshavares samtycke för att få behandla barnets uppgifter.
Om barnet är över 16 år begärs också samtycke från barnet. Uppgifterna behandlas bara så länge som det behövs för ändamålet med behandlingen och därefter raderas personuppgifterna.
8. Vilka kan WWF Sverige komma att dela personuppgifter till?
I de flesta fall är WWF Sverige personuppgiftsansvarig för behandlingen av personuppgifter. Det är därmed WWF Sveriges ansvar att skydda personuppgifterna och att informera den registrerade om hur uppgifterna behandlas.
WWF Sverige kan dela med sig av information till andra företag som behandlar personuppgifter på uppdrag av WWF Sverige. Detta för att WWF Sverige ska kunna utföra våra tjänster, exempelvis analys, distribution eller andra tjänster som upprätthåller och tillämpar användarvillkor och leveransvillkor. Vid all hantering av personuppgifter iakttas dock alltid hög säkerhet och sekretess. WWF Sverige förbinder sig till att ha giltiga personuppgiftsbiträdesavtal med samtliga leverantörer som behandlar personuppgifter på uppdrag åt WWF Sverige.
Personuppgifter kan även komma att lämnas ut om det är nödvändigt för att:
- tillmötesgå tillämplig lag, förordning, juridisk process eller begäran från verkställande myndighet,
- tillvarata WWF Sveriges rättsliga intressen,
- upptäcka och förebygga bedrägeri, säkerhets- eller tekniska problem.
WWF Sverige kommer inte att sälja, hyra eller hyra ut de personuppgifter som samlats in. WWF Sverige samarbetar endast med partners som behandlar personuppgifter inom EU/EES eller med företag som upprätthåller samma skyddsnivå som inom EU/EES.
9. Register för behandling samt konsekvensbedömning
I enlighet med dataskyddsförordningen ska WWF Sverige i vissa fall föra register för behandling av personuppgifter samt genomföra konsekvensbedömningar. En särskild mall för konsekvensbedömning och ett formulär för register för behandling har upprättats och används i tillbörliga fall.
10. Hur länge sparar vi personuppgifterna?
Behandlingen sker enligt gällande lagstiftning och innebär att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det finns interna rutiner för att säkerställa detta. WWF Sverige kommer att lagra den registrerades personuppgifter så länge denne har en relation med WWF Sverige, till exempel är givare eller avtalspart, samt en tid därefter beroende på ändamål. Detta innebär rent praktiskt att uppgifter gallras ut då de inte längre är aktuella eller nödvändiga för analyser eller direktmarknadsföring för de ändamål som de har samlats in för. Viss information kan behållas längre när så krävs i annan lagstiftning, som exempelvis bokföringslagen. Vid all hantering av personuppgifter iakttas dock alltid hög säkerhet och konfidentialitet.
11. Om kakor (Cookies)
Vid användning av WWF Sveriges webbplats och applikationer så samlas uppgifter in via kakor. Detta görs dock endast efter ett separat godkännande. En kaka är en textfil som består av bokstäver och siffror som den webbplats enskilda besöker sparar på dennes enhet. Kakan fungerar som ett tekniskt stöd som på olika sätt underlättar användningen av WWF Sveriges webbplats och följaktligen lagras informationen om användningen och vilka sidor som användaren besöker. Vid besök på vår webbplats där våra tjänster tillhandahålls, kan olika tekniker användas för att känna igen användaren i syfte att lära oss mer om användarna. Detta kan ske direkt eller genom användning av teknik från tredje part. Om cookies inte godkänns kan det medföra att vissa tjänster inte kan tillhandahållas.
12. Den registrerades rättigheter
Enligt dataskyddslagstiftningen har den registrerade rätt till kontroll över sina egna personuppgifter och få information om hur WWF Sverige behandlar dessa uppgifter. Nedan beskrivs vissa av dessa samt hur de kan utövas hos WWF Sverige.
12.1 Information
Rätten till information innebär att den registrerade i regel ska få information både när uppgifterna samlas in och när denne begär det. Om det händer något med den registrerades personuppgifter som kan påverka denne negativt har hen rätt att få veta det.
Den registrerade har rätt att få veta
- varför personuppgifterna kommer att användas,
- i vissa fall den rättsliga grunden till att behandla personuppgifterna,
- hur länge personuppgifterna kommer att lagras,
- vem som kommer att ta del av personuppgifterna,
- dennes rättigheter enligt dataskyddsförordningen,
- om dennes uppgifter kommer att överföras till ett så kallat tredjeland (land utanför EU/EES),
- dennes rätt att lämna in klagomål,
- hur denne tar tillbaka sitt samtycke, om hen har lämnat det,
- kontaktuppgifterna till den organisation som ansvarar för att behandla dennes uppgifter och till dess eventuella dataskyddsombud.
En begäran om ytterligare information kan skickas till WWF Sveriges arbetsgrupp för GDPR-frågor: gdpr@wwf.se
12.2 Rätt till tillgång (registerutdrag)
Rätten till tillgång, det vill säga att ta del av sina personuppgifter, innebär att den registrerade har rätt att vända sig till WWF Sverige för att få veta ifall WWF hanterar dennes personuppgifter. I så fall ska hen få tillgång till dem, ett så kallat registerutdrag, och information om hur de används.
Om den registrerades personuppgifter behandlas har denne rätt att få en kopia på uppgifterna och information om bland annat:
- vilka kategorier av personuppgifter som behandlas,
- vad personuppgifterna används till,
- hur länge uppgifterna kommer att sparas,
- vilka personuppgifterna har delats med,
- varifrån uppgifterna kommer.
Rätten att ta del av sina personuppgifter innebär inte att den registrerade har rätt att få ut själva handlingen där dennes personuppgifter förekommer. Ofta kan det vara tillräckligt att den registrerade får en begriplig sammanställning av de personuppgifter som förekommer i handlingen eller i övrigt är under behandling så att det går att kontrollera uppgifternas riktighet och laglighet.
En begäran om att få ta del av sina personuppgifter som behandlas hos WWF Sverige kan mejlas till WWF Sveriges arbetsgrupp för GDPR-frågor: gdpr@wwf.se
12.3 Rättelser, radering (”rätten att bli bortglömd) och begränsningar
Om något har blivit fel i den registrerades personuppgifter har hen rätt att begära att de rättas. Den registrerade har även rätt att begära radering av sina personuppgifter, göra invändningar mot behandlingen och begära begränsning av behandlingen av dem.
I vissa fall kan det vara så att WWF Sverige inte kommer kunna fullfölja en begäran, på grund av legala skyldigheter. I sådana fall kommer vi att informera den registrerade om varför, och begränsa behandlingen av personuppgifterna till att bara uppfylla den legala skyldigheten.
För en begäran om rättelse, radering eller begränsningar av personuppgifter som behandlas hos WWF Sverige kontaktas arbetsgrupp för GDPR-frågor: gdpr@wwf.se.
12.4 Dataportabilitet
Den registrerade har rätt att få ut och överföra sina personuppgifter från en personuppgiftsansvarig till en annan. En förutsättning för det är dock att WWF Sverige behandlar personuppgifterna med stöd av ett samtycke från den registrerade, eller för att uppfylla ett avtal med denne, och det bara gäller sådana personuppgifter som hen själv har lämnat till WWF Sverige.
En begäran om överföring till någon annan kan kontaktas arbetsgrupp för GDPR-frågor: gdpr@wwf.se
13. Incidenthantering
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.
WWF Sverige måste anmäla vissa typer av personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY). Det ska göras en anmälan om det är sannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. WWF Sverige ska därför göra en bedömning om incidenten ska anmälas till IMY eller inte. WWF Sveriges verksamhetsjurist ansvarar för att hantera och utreda incidenten samt föreslå beslut för generalsekreteraren. Om bedömningen landar i att incidenten ska anmälas så ska det ske utan onödigt dröjsmål. WWF Sverige måste då också informera de registrerade så fort som möjligt.
14. Klagomål hos tillsynsmyndighet
Vid synpunkter på WWF Sveriges behandling av personuppgifter kontaktas arbetsgrupp för GDPR-frågor: gdpr@wwf.se
Det registrerade har även rätt att lämna in klagomål till tillsynsmyndigheten. I Sverige är det Integritetsskyddsmyndigheten IMY (tidigare Datainspektionen). Mer information finns att läsa på myndighetens hemsida: www.imy.se.
15. Säkerhetsåtgärder
WWF Sverige vidtar de tekniska och organisatoriska säkerhetsåtgärder som behövs för att skydda personuppgifter mot otillbörlig åtkomst, förändring och radering. Dataskydd ingår i WWF Sveriges upphandlingar av nya leverantörer och utveckling av nya funktioner och tjänster.
16. Frågor
WWF Sverige kommer regelbundet att se över och vid behov uppdatera denna policy med hänsyn tagen till förändringar i lag, organisation och processer. Vid frågor gällande policyn kan ni ta kontakt med GDPR-gruppen: gdpr@wwf.se.
Dela gärna:
Senast ändrad 06/09/24