Så här hanterar Melodifestivalklubben dina personuppgifter

Fr o m den 25 maj gäller den nya dataskyddsförordningen GDPR inom hela EU. GDPR är en förkortning för General Data Protection Regulation och ersätter nuvarande svenska PUL.

Detta är version 2 (uppdaterad den 19 september 2018).
Tillägg har gjorts i detta dokument och godkänts av styrelsen den 19 september 2018 i samband med att OGAE International ingått avtal kring digitala medlemskort med företaget Cardskipper AB.

Genom klubbens Ordförande, Vice Ordförande och sekreterare, beslutat av styrelsen

Vem är personuppgiftsansvarig?

Den juridiska person som ansvarar för behandling av dina personuppgifter är Melodifestivalklubben. Klubbens styrelse har ett kollektivt ansvar gentemot medlemmar. Undantag för huvudansvar gäller när personuppgifter lämnas till tredje part med vilken föreningen har ingått ett biträdesavtal. Exempel ges nedan.

Vilka personuppgifter hanteras av Melodifestivalklubben?

Vi samlar in följande uppgifter:

Personnamn
Email adress
Mobiltelefonnummer
Födelsedatum (dock ej hela personnumret)
Bostadsort
Land
Personfoto (passfoto)*

Dessa uppgifter är obligatoriska för medlemskap. Födelsedata avgör kategori för ditt medlemskap (vuxen eller junior) och dessutom krävs detta av OGAE International för medlemskort och vid beställning av evenemangsbiljetter. Bostadsort och land för att kunna koppla samman dig till ett lokalt distrikt. E-post används framförallt för kommunikation med dig som medlem. För att kunna ladda ner OGAE Internationals app för digitalt medlemskort krävs i första hand ditt mobiltelefonnummer, alternativet till mobiltelefonnummer är e-post adress för att ladda ner ett medlemskort till sin stationära dator.

* Personfoto hanteras direkt av företaget Cardskipper, läs mer om detta under lagring och under vilka externa parter som hanterar våra uppgifter.

Följande uppgifter är frivilliga men viktiga för att underlätta vår kommunikation, och för att du som medlem kan få ut det mesta möjliga av att vara med i klubben:

Gatuadress

Det har tidigare varit frivilligt för medlem att lämna sina uppgifter om ICQ-nummer, MSN adress och ESN prenumeration.
De här uppgifterna används inte mer och är därför inte längre aktuella. Av tekniska skäl ligger de kvar i databasen – men vi jobbar nu med att ta bort detta så snabbt som möjligt. Vi vill inte orsaka skada i databasen därför är vi försiktiga med sättet vi tar bort datan.

Hur samlar klubben in mina personuppgifter?

Nya medlemmar uppger ovanstående uppgifter när man går med i föreningen. Samtidigt accepterar du föreningens villkor för medlemskap, inkl hantering av dina personuppgifter.

Befintliga medlemmar informeras per mejl i samband med uppdateringar i vår personuppgiftspolicy. Då har man alltid möjlighet att meddela om man i fortsättningen önskar ett personligt avsteg från denna hantering.

* Det har tidigare förekommit att uppgifter samlas in på andra sätt, t.e.x via mejl, för medlemskort eller i samband med något evenemang och liknande. Även andra uppgifter än de vanliga ovanstående kan ha samlats in. (Detta gjordes bl.a. i samband med ansökningar för Euro Cafe 2018).  I och med den nya lagstiftningen kommer vi inte tillåta den typen av insamlingar utan att fråga medlemmar om samtycke i förväg. Den tidigare hanteringen av OGAE medlemskort med mejl och kort har nu i och med den nya lagstiftningen nu upphört. Alla platser med den typen av i närtid historiskt ostrukturerad insamlad persondata som Melodifestivalklubben själva fortfarande förfogar över ska ha raderats.

Var lagras mina uppgifter?

Dina personuppgifter hos Melodifestivalklubben OGAE Sweden lagras för närvarande på tre platser:

  • Vår egen databas
  • Cardskippers databas för medlemskort
  • Mailchimp

Vår egen databas:
Melodifestivalklubbens databas ligger under http://medlem.melodifestivalklubben.se
Databasen genereras ut för att kopplas ihop med inloggning på klubbens hemsida: www.melodifestivalklubben.se
Databas och hemsida hostas på server som ligger på webbhosting företaget One.com (De hostar server men har inte tillgång till innehåll på den).

Cardskippers databas:
Namn, medlemsnummer, email adress och mobiltelefonnummer samt vilken nationell klubb medlemmen tillhör exporteras även ut av vår medlemsansvarig till en databas hos företaget Cardskipper AB. Cardskipper är ett svenskt företag som också lyder under den Europeiska datalagstiftningen. Cardskipper hanterar de elektroniska medlemskorten och medlemsappen åt OGAE International. Uppgifterna hos Cardskipper får enbart användas för OGAE-appen och de elektroniska medlemskorten – dessa uppgifter ges därmed inte vidare till andra företag eller organisationer. Cardskipper har ett system för digitala medlemskort och kommunikation till medlemmar i klubbar via en app. Melodifestivalklubben kan kommunicera viktig information lokalt till våra medlemmar men även OGAE International kan gå ut med viktig information i samband med händelser under Eurovision via denna app.
Cardskipper hanterar även medlemsfoton för medlemskorten. Fotot laddas upp direkt av medlemmen själv till Cardskipper och hanteras därmed av Cardskipper och inte av den svenska klubben.
Läs mer om Cardskipper på https://www.cardskipper.com/sv/

Mailchimp:
Namn, mailadress och medlemsnummer exporteras även ut till och lagras på klubbens system för att skicka ut mejl till medlemmar: Mailchimp. Detta är en extern plattform, men endast klubbens förtroendevalda kan initiera kommunikation med medlemmarna i registret.

Vem har tillgång till mina uppgifter?

I första hand är det medlemsansvarig och webbansvarig som arbetar direkt i databasen för administrationen av databasen.

Namn, medlemsnummer, email adress och mobiltelefonnummer samt vilken nationell klubb medlemmen tillhör exporteras även ut av vår medlemsansvarig till en databas hos företaget Cardskipper AB. Där hanteras våra medlemsuppgifter av ett personuppgiftsbiträde som ansvarar för uppgifternas hantering på uppdrag av den svenska klubben likväl som av OGAE International. Personuppgiftsbiträdet är skyldig att följa EU-lagstiftningen.

Styrelsen och lokala samordnare kan vid behov ta fram medlemsuppgifter ur medlemslistan för att kunna ta kontakt med medlemmar vid behov  – men de jobbar inte inne i själva databasen och administrerar den.

Tävlingsansvarig administrerar klubbens tävlingar och uppdaterar resultat.

Vi arbetar kontinuerligt för att öka säkerheten och minska antalet personer i Melodifestivalklubben som behöver ha tillgång till databasen men eftersom vi jobbar ideellt måste tidskrävande uppgifter fördelas ut.

Öppen medlemslista

Dina uppgifter publiceras i en medlemslista som är synlig för alla så länge man är medlem.
Du kan själv styra över vilka uppgifter som är synliga för övriga medlemmar, eller uppdatera/ ändra, på http://medlem.melodifestivalklubben.se/kontoinformation.php

Skyddat identitet

Vill du inte synas på medlemslistan kan dina uppgifter döljas. I så fall kontakta medlemsansvarig@melodifestivalklubben.se Tänk på att om du väljer att vara anonym är det inte möjligt att gå med i en biljettgrupp. Då kanske du går miste om chansen att sitta bredvid dina vänner vid evenemang.

Hur ändrar jag mina uppgifter och hur kan de tas de bort?

Du kan själv uppdatera /komplettera dina personuppgifter på http://medlem.melodifestivalklubben.se/kontoinformation.php

Du kan även begära utdrag om vad som finns lagrad om dig i vårt register och eventuellt på hemsidan från medlemsansvarig@melodifestivalklubben.se
Du vänder dig till medlemsansvarig om du vill bli anonym. Endast medlemsnumret blir då kvar. Alla nyhets- och bloggposter söks igenom och omnämns medlem tas då vid eventuell förekomst även dessa poster bort.

Om jag inte vill synas på bild?

Personfoto för digitala medlemskort
Personfoto för de digitala medlemskorten hanteras av företaget Cardskipper. Detta foto är nödvändigt för att kunna ha ett medlemskort hos klubben och OGAE-International och anses vara obligatoriskt för detta system. Medlem laddar själv upp sitt personfoto till Cardskipper och detta hanteras därmed inte av Melodifestivalklubben. Vad som gäller om medlem inte önskar ha sitt foto på sitt medlemskort är för närvarande oklart.

Redaktionellt material
När det gäller foton inom det redaktionella material på någon av klubbens digitala kanaler hemsida, epost, sociala medier gäller följande: Har medlem endast synts på bild men ej omnämnts i text så tas inte bild automatiskt bort då det inte finns något system att bildtagga personer.

Finns förekomst på bild på hemsida eller i någon av klubbens sociala medier som önskas tas bort så skickas länkar till klubbens medlemsansvarig@melodifestivalklubben.se så kan vi plocka bort detta omedelbart.

Hur används personuppgifter om jag deltar i tävlingar?

När medlem deltar i tävlingen Gissa Resultatet placeras medlems resultat i en maratontabell, synligt för andra medlemmar.
Övriga omröstningar och tävlingar på klubbens hemsida är kopplat till medlem men innehåller ingen personlig data som visas utåt i hur medlem röstat eller agerat.

Vilka utomstående kan få tillgång till mina personuppgifter?

Melodifestivalklubben lämnar inte ut personuppgifter till tredje part i kommersiellt syfte. Däremot har klubben samarbete med följande:

OGAE International och Cardskipper
Melodifestivalklubben ingår i en internationell organisation av liknande klubbar runtom i världen. Klubben är skyldig att lämna vissa uppgifter till OGAE International och Cardskipper som agerar personuppgiftsbiträde gentemot OGAE International så att du kan få ditt medlemskort och för att ha möjlighet att ta del av erbjudanden via OGAE-nätverket.
De uppgifter som lämnas ut till OGAE-International och Cardskipper är Personnamn, Email adress, Mobiltelefonnummer och medlemsklubb.

Studieförbund
Vid de tillfällen Melodifestivalklubben ingår ett samarbete med ett studieförbund, t ex för att få ekonomiskt stöd för arrangemang eller viss gruppverksamhet, är föreningen skyldig att lämna namn, adress och personnummer till samarbetspartnern.
Detta är inget nytt. Sedan drygt 10 år tillbaka har studieförbunden fått samla in dessa uppgifter om sina kurs- och arrangemangsdeltagare för att kunna erhålla bidrag från stat och kommun.

SVT/EBU
Vissa uppgifter krävs av TV-bolag om man ansöker om ackreditering.

Styrelsens tolkning av lagen är att i de fall personuppgifter lämnas till tredje part är det denna som övertar ansvar för hantering av uppgifterna. Samarbetspartner betraktas då som personuppgiftsbiträde. Klubben kommer därför att kräva att ingå ett avtal om ansvar med samarbetspartners i förekommande fall.

Finns det särskilda regler om epost?

Lagen är inte helt tydlig och det går att tolka på flera sätt. I väntan på mer konkreta exempel på hur man kan göra har vi valt att hantera frågan om mejl på följande sätt:

Innehåller epost systematiska personuppgifter ska dettaa kastas så snabbt som möjligt när det inte längre finns behov av att spara detta.
I övriga fall strävar vi efter att enbart behålla nödvändig epost, det som behövs för utförande av våra uppgifter.  All annan korrespondens ska rensas ut så snabbt som möjligt. Endast mejl som bedömts som viktiga för framtida referens kommer att lagras. Möjligheten att all epost automatiskt raderas efter sex månader i fortsättningen utreds också för närvarande.

Med anledning av de hårdare kraven ska framöver all mejlkommunikation ske över @melodifestivalklubben.se för att tydlig separera vad som sker i klubbens namn och vad som är privat mejl i fortsättningen. Alla förtroendevalda i klubben ska använda klubbens epost i fortsättningen. Övergång sker under sommaren och hösten 2018.

Vad händer med mina uppgifter om jag lämnar klubben?

När medlemskap avslutas blir automatiskt personuppgifter om medlemmen ej synliga för flertalet av klubbens medlemmar och förtroendevalda. Däremot har klubbens medlemsansvarige, tävlingsansvarige och delar av webbgrupp med access till databasen fortfarande tillgång till personuppgifterna vid inloggning till databasen. Vi sparar detta för att underlätta återaktivering vid återinträde till klubben. Vi kommer inte att per automatik genast ta bort personuppgifter om f d medlemmar i vår klubb eftersom vi har så många som varje år återinträder i klubben efter frånvarotid. Styrelsen har dock tagit ett viktigt beslut om att medlemsdata i fortsättningen enbart ska sparas i två år efter ett avslutat medlemskap. 

OBSERVERA DENNA VIKTIGA FÖRÄNDRING KRING MEDLEMSNUMMER: Det här innebär att en fd. medlem som efter två år vill gå med i klubben igen nu får ett nytt medlemsnummer! Är du alltså utanför klubben längre än två år i rad blir du i fortsättningen av med ditt medlemsnummer!

Har medlem deltagit i medlemsaktiviteter och i Gissa Resultatet, syns detta fortfarande på klubbens hemsida. Likaså omnämnanden i eventuella nyhetsartiklar och sociala medier. Har medlem varit förtroendevald finns oftast ytterligare information och mer artiklar på hemsida och sociala medier.

Om medlem eller f d medlem önskar att bli helt borttagen från register samt på andra platser på hemsidan kan vi ordna detta snabbt.

Medlemsuppgifterna hos Cardskipper AB försvinner efter två månader efter att medlem inte förnyar sitt medlemsskap i samband med att medlemsåret upphör.

Detta är styrelsens inriktningsdokument kring GDPR beslutat vid styrelsemöte den 24 april 2018 och reviderat den 22 maj 2018. Tillägg har gjorts i samband med OGAE Internationals avtal med Cardskipper AB och har antagits av styrelsen den 19 september 2018.

Om du har mer frågor eller synpunkter på Melodifestivalklubbens personuppgiftshantering – kontakta medlemsansvarig@melodifestivalklubben.se

Är du intresserad av de här frågorna i allmänhet och skulle kunna tänka dig att jobba för att förbättra personuppgiftshanteringen, kommunikationen av detta eller jobba med att förbättra säkerheten i databasen och annat kontakta då webbansvarig@melodifestivalklubben.se

Det här är den andra versionen (2.0 av vår policy kring personuppgiftshantering.

Styrelsen och webbgruppen kommer att jobba kontinuerligt med att uppdatera och förbättra rutiner och beskrivningar av hur vi behandlar personuppgifter,

Styrelsen 19 september 2018