Datasäkerhet

Dataskyddspolicy: medlemsregister för Fria fackföreningen – VALO rf

Fria fackföreningen – VALO rf sekretesspolicy grundar sig på skyldigheten att informera de registrerade (artiklarna 12-14 i dataskyddsförordningen) i EU:s allmänna dataskyddsförordning (2016/679, ”GDPR”), den registeransvariges skyldighet att föra register över de behandlingar som han/hon ansvarar för i enlighet med artikel 30 i dataskyddsförordningen samt skyldigheterna i den nationella dataskyddslagen (1050/2018) som kompletterar dataskyddsförordningen.

Fria fackförbundet – VALO rf är en registrerad förening som enligt föreningslagen är skyldig att föra en förteckning över sina medlemmar. Fria fackföreningen – VALO rf behandlar personuppgifter i enlighet med de lagar och förordningar som gäller vid den aktuella tidpunkten för insamling av personuppgifter och upprätthållande av register över personuppgifter samt i enlighet med god dataskyddspraxis. Denna sekretesspolicy förklarar hur dina personuppgifter i Fria fackföreningen – VALO rf:s medlemsregister behandlas och skyddas. Med behandling av personuppgifter avses verksamhet i samband med insamling, lagring och organisering av personuppgifter. Kontrollören är Fria fackföreningen – VALO rf.

1 Registrets namn

Medlemsregister för Fria fackföreningen – VALO rf

2 Registrator

Fria fackföreningen – VALO rf

Postadress Viimatie 14, 282190 Björneborg

Dataskyddsombudet är den person som ansvarar för den registeransvarige.

Förfrågningar om behandlingen av personuppgifter ska skickas till den personuppgiftsansvarige på följande adress: senni.nieminen@ammattiliittovalo.fi.

3 Ändamål och rättslig grund för behandling av personuppgifter

Syftet med behandlingen av personuppgifter:

1 Upprätthållande och administration av medlemskapet i Fria fackföreningen – VALO rf samt fakturering och uppbörd av medlemsavgifter.
2 Upprätthållande och förvaltning av föreningens medlemmars arbeten, yrken, utbildningar och juridiska kvalifikationer.
3 Upprätthållande av kontaktuppgifter för fackföreningsmedlemmar och möjliggörande av masskommunikation och automatiserad distribution av information.
4 Föra statistik över unionens medlemmar och studerande medlemmar
5 Förvaltning och upprätthållande av medlemskap i föreningar som betalar avgifter samt fakturering och uppbörd av medlemsavgifter. Rättslig grund för behandlingen av personuppgifter:

Fria fackföreningen – VALO rf samlar in personuppgifter som är nödvändiga för föreningens verksamhet och som har samband med föreningens syfte och uppgifter. Behandlingen av personuppgifter i medlemmarnas personregister grundar sig på lag, avtal eller den registrerade medlemmens samtycke. Insamlingen av personuppgifter kan också baseras på ett legitimt intresse. Fria fackföreningen – VALO rf har en lagstadgad skyldighet att upprätthålla en förteckning över sina medlemmar.

4 Kategorier av personuppgifter i registret

De registrerade i personregistret över medlemmarna i Fria fackföreningen – VALO rf är medlemmarna i fackföreningen. Den personuppgiftsansvarige behandlar de personuppgifter som är nödvändiga för de syften som beskrivs i denna sekretesspolicy. Syftet med användningen avgör vilka uppgifter som används vid varje given tidpunkt. Följande personuppgifter lagras i registret över personuppgifter:

GRUNDLÄGGANDE INFORMATION OCH KONTAKTUPPGIFTER

Namn (för- och efternamn)

Personligt identifikationsnummer

Adressuppgifter (e-postadress och postadress)

Telefonnummer

Yrke

Uppgifter om arbetet (huvudsysselsättning och bisyssla)

Utbildningsuppgifter

Andra yrkesexamen

Modersmål

Uppgifter om eventuella tidigare fackföreningar som personen flyttar från

Bruttoinkomst

Kategori av medlemsavgift

Startdatum för medlemskap

Uppgifter om prenumeration på tidskrifter

förtroendeuppdrag

5 Regelbundna källor till personuppgifter

Personuppgifter erhålls från den registrerade medlemmen själv.

Uppgifter om yrkesexamen och legalisering kan också samlas in från skolor och licens- och legaliseringsorgan.

Medlemmarna kan själva uppdatera sina uppgifter med hjälp av den särskilda tjänsten på webbplatsen Fria fackföreningen – VALO rf.

Den registrerade medlemmens samtycke till elektronisk direktmarknadsföring kommer att registreras i registret om uppgifterna i registret används för detta ändamål.

6 Behandling av personuppgifter

Uppgifterna i personregistret för medlemmarna i Fria fackföreningen- VALO rf behandlas i flera olika informationssystem som förvaltas antingen av den registeransvarige eller av dess uppdragstagare. Programvaran som körs på VALO rf:s egen server används för att elektroniskt utföra underhållsfunktionerna för medlemsregistret med hjälp av en loggsida för webbtrafik i realtid.

Uppgifterna om nya medlemmar som har antecknat sina uppgifter i registret registreras centralt i medlemshanteringssystemet.

7 Mottagare eller kategorier av mottagare av uppgifter och regelbundna utlämningar

Föreningen är enligt lag skyldig att föra en förteckning över sina medlemmar, vilket innebär att utlämnande av personuppgifter är ett villkor för medlemskap. Regelbundet utlämnande av uppgifter grundar sig på avtal mellan parterna eller på lagstadgade krav. Innehållet i den information som lämnas ut varierar från fall till fall, men baseras på medlemskap i föreningen eller medlemmens egen yrkesverksamhet. På grundval av ett avtal kan information lämnas ut till följande parter:

Offentliga myndigheter, skatteförvaltning

Posttjänster och banker

Försäkringsbolag samt producent och distributör av medlemstidningen.

VALO rf:s personuppgifter kommer vid behov att göras tillgängliga (med hjälp av så kallade administratörsreferenser, t.ex. vid tekniska fel, för systemadministratören/administratörerna i de system som anges nedan). Alla leverantörer av de system/hårdvara/mjukvara som används (de företag som står bakom dem) kan tolkas som mottagare av personuppgifter och som mottagare av registrets regelbundna utlämnande av uppgifter.

För de system som VALO rf använder har avtal om behandling av personuppgifter i enlighet med artikel 28 i GDPR ingåtts/ska ingås med följande partner:

Seclan Oy.

ITC Solution Group Oy

Finvoicer Group Oy se separat bilaga om dataskydd

VALO rf:s egen serverprogramvara används för att elektroniskt implementera programvaran MariaDB-databasapplikationen medlemsregister.

För behandlingen av personuppgifter kan underleverantörer och tjänsteleverantörer användas, som har rätt att behandla uppgifterna i den utsträckning som krävs för de överenskomna tjänsterna. Tjänsteleverantörerna får inte använda uppgifterna för sina egna syften. Underleverantörer och tjänsteleverantörer är avtalsmässigt bundna att säkerställa ett adekvat dataskydd och att behandlingen av uppgifter är laglig.

8 Överföring av uppgifter utanför EU eller EES eller till internationella organisationer

Personuppgifter i VALO rf:s personregister överförs i regel inte utanför EU eller EES eller till internationella organisationer.

Personuppgifter i personregistret kan överföras utanför EU eller EES för att tillhandahålla IT-tjänster som är nödvändiga för att utföra arbete eller studier, från fall till fall. Det destinationsland till vilket personuppgifterna överförs bestäms från fall till fall. Den internationella överföringen av personuppgifter från VALO rf:s personuppgiftsregister till USA och/eller andra platser utanför EU/EES skyddas främst av de skyddsåtgärder som anges i artikel 46 i kapitel V i EU:s allmänna dataskyddsförordning (GDPR), de så kallade standardavtalsklausulerna. Standardavtalsklausuler ingår i avtalet med IKT-tjänsteleverantören för behandling av personuppgifter.

Endast nödvändiga uppgifter kommer att överföras och överföringen kommer att ske i enlighet med och inom gränserna för dataskyddslagstiftningen. Överföringens säkerhets- och dataskyddsaspekter avtalas alltid separat.

9 Lagringstid för personuppgifter

Medlemskapets varaktighet.

10 Den registrerades rättigheter

Den registrerade har rätt att få en bekräftelse från den registeransvarige om huruvida personuppgifter om honom eller henne behandlas eller inte. Den registrerade har också rätt att få tillgång till de personuppgifter som rör honom eller henne och rätt att granska och få kopior av de personuppgifter som rör honom eller henne och som är registrerade i registret. I enlighet med GDPR ska den personuppgiftsansvarige svara på en begäran om utövande av den registrerades rättigheter inom en månad från mottagandet av begäran.

A. Rätt till tillgång till personuppgifter

Den registrerade har rätt att kontrollera vilka uppgifter om honom eller henne som finns i registret över personuppgifter. Den registrerade kan göra en begäran om information genom att lämna in ett noggrant ifyllt, utskrivet och personligen undertecknat formulär för begäran om information från den registrerade som finns på VALO rf:s offentliga webbplats. Om den registrerade är en personalrepresentant kan han eller hon lämna in begäran till VALO rf:s personalavdelning. När den registrerade lämnar in sin begäran måste han/hon styrka sin identitet på ett tillförlitligt sätt (t.ex. genom att visa upp en officiell identitetshandling eller sitt körkort för den VALO rf-anställde som tar emot begäran).

VALO rf:s dataskyddsombud svarar på den registrerades begäran om information. Vid behov kan dataskyddsombudet ombeds att lämna ytterligare information om hur behandlingen av begäran fortskrider eller om innehållet i svaret.

B. Rätt till rättelse och begränsning av behandlingen

Den registrerade har rätt att av den personuppgiftsansvarige få en begränsning av behandlingen i något av följande fall:

• den registrerade bestrider att hans eller hennes personuppgifter är korrekta (rätt till rättelse), i vilket fall behandlingen ska begränsas under en tidsperiod inom vilken den personuppgiftsansvarige kan kontrollera att uppgifterna är korrekta;
• behandlingen är olaglig och den registrerade motsätter sig att hans eller hennes personuppgifter raderas och begär i stället att användningen av dem begränsas;
• den personuppgiftsansvarige inte längre behöver de berörda personuppgifterna för behandlingens ändamål, men den registrerade behöver dem för att fastställa, utöva eller försvara rättsliga anspråk.

C. Rätt till borttagning av uppgifter

Den registrerade har rätt att utan onödigt dröjsmål få sina personuppgifter om honom eller henne raderade ur VALO rf:s register, förutsatt att ett av följande villkor är uppfyllt:

• personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller på annat sätt behandlades;
• den registrerade återkallar det samtycke som låg till grund för behandlingen och det inte finns någon annan laglig grund för behandlingen;
• personuppgifterna har behandlats olagligt, eller
• personuppgifterna måste raderas för att uppfylla en rättslig skyldighet enligt unionsrätten eller nationell rätt.

En sådan begäran om radering av uppgifter i VALO rf:s register över personuppgifter kan göras genom att lämna in en begäran till VALO rf:s dataskyddsombud, där den registrerade måste bevisa sin identitet på ett tillförlitligt sätt när han eller hon lämnar in begäran.

D. Rätt till dataportabilitet

Inte tillämpligt.

E. Rätt att inte bli utsatt för en personuppgiftsincident

Den registrerade har rätt att inte utsättas för en sådan personuppgiftsincident som avses i artikel 33 i EU:s dataskyddsförordning och som grundar sig på att den personuppgiftsansvarige inte har uppfyllt sina skyldigheter i fråga om dataskydd och/eller datasäkerhet, eller på att ett personuppgiftsbiträde som den personuppgiftsansvarige anlitar inte har uppfyllt sina skyldigheter i fråga om dataskydd och/eller datasäkerhet. Den registrerade har rätt att utan dröjsmål få information om en personuppgiftsincident leder till ökad risk för att personers rättigheter och friheter hotas.

11 Den registrerades rätt till invändningar

I enlighet med artikel 21 i EU:s dataskyddsförordning har den registrerade rätt att av skäl som rör hans eller hennes särskilda situation invända mot behandling av personuppgifter om honom eller henne på grundval av artikel 6.1 e (behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller för att utöva offentlig makt som tillkommer den registeransvarige), såsom profilering på grundval av dessa bestämmelser. Den personuppgiftsansvarige ska inte längre behandla personuppgifter om inte den personuppgiftsansvarige kan visa på tvingande legitima skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller för att fastställa, utöva eller försvara rättsliga anspråk.

12 Rätt att återkalla samtycke

Om behandlingen av personuppgifter grundar sig på den registrerades samtycke ska den registrerade ha rätt att när som helst återkalla sitt samtycke till behandlingen, utan att det påverkar lagligheten av den behandling som tidigare utförts på grundval av samtycket.

13 Rätt att lämna in ett klagomål till en tillsynsmyndighet

Den registrerade har rätt att lämna in ett klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som rör honom eller henne strider mot de tillämpliga dataskyddsreglerna.

Den nationella tillsynsmyndigheten i Finland är dataombudsmannens byrå, kontaktuppgifter:

Ombudsmannen för dataskydd

Besöksadress: Lintulahdenkuja 4, 00530 Helsingfors, Finland.

Postadress: Box 800, 00531 Helsingfors.

Telefon (växel): + 358 29 56 66700

Fax: + 358 9 56 66735

E-post: tietosuoja@om.fi

14 Principer för skydd av register

En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige vidtar för att skydda de registrerades personuppgifter och registren:

Den personuppgiftsansvarige och systemleverantörerna har kommit överens om skyddet av registret. Vid behov beskrivs ansvarsområdena tillräckligt detaljerat i lämpliga avtal.

Anställda och andra personer hos den personuppgiftsansvarige är bundna av sekretess och har åtagit sig att bevara sekretessen för information som erhållits i samband med behandlingen av personuppgifter.

Systemleverantörerna (bearbetningsföretag som agerar för den registeransvariges räkning) kommer att upprätthålla registret och relaterade uppgifter i enlighet med god databehandlingspraxis och kommer att respektera den absoluta skyldigheten till sekretess och tystnadsplikt.

Lämpliga tekniska och administrativa åtgärder ska vidtas för att garantera säkerheten i den registeransvariges personregister och sekretessen för personuppgifter i enlighet med god databehandlingsrutiner.

Den personuppgiftsansvarige har begränsat åtkomsträttigheterna och behörigheterna till informationssystem, verktyg och andra lagringsplattformar på ett sådant sätt att uppgifter endast kan nås och behandlas av personer som är nödvändiga för sitt arbete eller andra uppgifter.

Tillgång till ett system som innehåller personuppgifter ska begränsas till de anställda som på grund av sina arbetsuppgifter och/eller ansvarsområden har tillgång till systemet eller annan officiell funktion, har rätt att behandla personuppgifter. De anställda ska få lämplig utbildning för sina arbetsuppgifter.

Uppgifterna samlas i databaser som är logiskt och fysiskt skyddade.

Databaserna och deras säkerhetskopior finns i låsta lokaler och är endast tillgängliga för vissa i förväg utsedda personer.

Uppgifterna i registret bevaras endast så länge som det är nödvändigt för att uppfylla de syften som anges ovan, alltid inom de gränser som fastställs i gällande lag. När det inte längre finns något lagligt behov av att bevara uppgifterna förstörs de. ## 15 Automatiserat beslutsfattande och profilering

VALO rf:s personuppgifter och den information som finns i dem får användas för beslutsfattande, t.ex. vid bildandet av utbildningsgrupper, i samband med medlemstjänster och betalningsfrågor, men kommer inte att användas för någon annan profilering av medlemmarna.

16 Ändringar i sekretesspolicyn

Dataskyddslagstiftningen kan komma att ändras i framtiden. Free Trade Union – VALO rf kommer att utveckla sin sekretesspraxis och förbehåller sig rätten att uppdatera och ändra sekretesspolicyn