MONDAY, 3rd October 2022, 18.00


Smålands Pub


Kastanjegatan 7

22359 Lund

§1 Meeting is opened by self-elected chairperson

§2 Preamble

a) Election of:

– meeting chairperson
– meeting secretary
– meeting adjuster and vote counter 2x
– meeting facilitator

b) Information on meeting formalia

c) Meeting legitimacy
d) Adjunctions
e) Presentation rounds
f) Determination of the agenda

§3 Reports

§4 Economy

§5 SNB

§6 Motions

a) Motion for the GDPR policy at Smålands nation.

§7 Elections

§8 Other (no decisions may be made here)

§9 Messages

§10 End of meeting

§6 a) Motion for the GDPR policy at Smålands nation.

The GDPR came into force in 2018, but Smålands did not manage (primarily due to

everyone being super busy and exhausted) to write a proper document that would

address this law. Since then we used a patchwork of rules to accommodate work

within its framework but we need to adopt a proper policy and publish it on our


I drafted a document for this, and asked a few people knowledgeable about the topic,

so now I am moving it at the nation meeting to approve.

The short version is: this document specifies why certain data is collected (personal

data of members, personal data that is included in the protocols etc), as well as which

basis outlined in GDPR is used for collection, and for how long the data can be

stored. It also outlines how archiving of protocols and other relevant documents is

done at Smålands, and, when applicable, when this data should be deleted. For

example interviews that are performed by the election committee will be deleted after

the election period one year after. Protocols, on the other hand, will be kept

indefinitely and so will be the email archive.

Additionally, GDPR requires that each organization has a “Data Controller” which is

legally responsible for handling the data and in Smålands it should be the board.

I move

THAT Smålands nation accepts the attached guidelines as the official GDPR policy.


i) Guidelines for the handling and archiving of personal data for

Smålands Nation in Lund University (EN)

These guidelines describe how Smålands Nation handles and archives personal data in its operations

and in social events in accordance with the GDPR. The guideline also regulates who is responsible for

handling and archiving personal data, as well as when and how this data is used. The guideline

regulates all of Smålands Nation’s activities, and must be easily accessible to members and people who

sign up for one of Smålands Nation’s events.


GDPR – The personal data law.

Personal data – All information that can be linked to a person, for example name, address, social

security number or pictures.

Processing – Everything you do with the personal data you have, including storing them.

Personal data controller (PdC) – The person who decides on the purposes and means for the processing

of personal data.

Personal data assistant (PdA) – The person who processes personal data on behalf of personal data


Personal data processor agreement – Agreement between personal data controller and personal data

processor which essentially regulates how the personal data processor may process the data.


The General Data Protection Regulation (GDPR) applies since 25 May 2018, and replaces the Personal

Data Protection Act (PUL). The law regulates the processing of personal data and is technology neutral,

which means it applies to data in all forms, e.g. in running text, digitally and on paper.

In accordance with the GDPR, personal data may be stored in case of:

– Agreements, when the personal data is necessary to fulfill an agreement.

– Legitimate interest, as the storage is a well-motivated interest for the organization.

– Legal obligations, as the storage is necessary to comply with other laws.

– Protection of the individual’s vital interests, e.g. in case of risk to life or health.

– General interest, e.g. authorities’ work or review thereof.

– Consent, which must be informed and possible to withdraw.

Follow-up of the processing of personal data must take place regularly, and this follow-up must be

documented. These follow-ups are the responsibility of the data controller.

Personal data controller

The board is the nation’s body that decides which personal data is to be collected and what it is to be

used for. So it is the board that is responsible for personal data in the sense of the law. All questions

concerning the processing of personal data must be directed to the board.

Member register

Smålands Nation uses the Terminsräkningföreningen’s (TRF) membership system, which is regulated

by agreements between the unions, the nations and the Academic Association (Akademiska Föreningen

– AF). Students become members of Smålands by paying a membership fee to TRF, and by paying the

members approve that Smålands Nation can handle their membership data.

A person who does not study at Lund University can become a support member of Smålands Nation

without using TRF’s membership system (Smålands Nation’s own membership register). By paying, the

support members agree that Smålands Nation can handle their membership data. In that case, personal

data is saved for 5 years. The same personal data is handled through TRF’s membership system and

through Småland nation’s own membership register.

Through TRF’s membership system, Smålands Nation gets access to the following information:

– Name

– Social security number

– Address

– Email address

– Telephone number (optional)

– Member ID (if TRF’s membership system is used)

– Membership fees

– Member history

Smålands nation’s administration has the right to access the membership register in order to manage the

day-to-day operations and can also change individuals’ personal data in the system upon presentation of

identification. The legal basis for this processing of personal data is legitimate interest and agreement.


The activities of the student nations are of public interest, which justifies the collection of personal data

that results in protocols from Smålands Nation’s various decision-making bodies.

Data collected through protocols:

– Name

– Social security number (when needed for special protocols)

Minutes are there to document what the meeting participants say, and this can sometimes mean that

information about e.g. health (what is said at so-called “mårdunor”) or expressed opinions on various

issues are recorded. Certain information about health affects the operations of the entire nation, e.g.

information on sick leave of paid persons, and therefore needs to be documented in minutes. Legal

basis for this processing is an activity of public interest.

Registration lists

Before certain events, Smålands Nation needs to make temporary records of personal data of the people

who will participate in the event. The registration lists are used to be able to administer who

participates in the event, which food is to be purchased, etc. The registration lists are created using

Google forms, digitally archived on Google Drive for two years and then deleted continuously. These

Google forms must be linked to Smålands Nation’s official email addresses (, as data

collected in the nation’s name must be collected through the nation’s channels.

Data that can be collected through notification lists:

– Name

– Email address

– Social security number

– Telephone number

– Food preferences

The legal basis for this processing of personal data is agreement and legitimate interest.

Election committee

Smålands nation is a democratically structured organization, where the nation is the highest decisionmaking

body. The election to the election committee is prepared by the board and managed by the

nation meeting. The election to other positions of trust is prepared by the election committee and is

decided by the nation meeting. The election committee and the board collect the following personal

data about the candidates via official email addresses (

– Name

– Email address

– Social security number

– Telephone number

– Previous involvement in and outside the nation

– Interviews about the nation’s activities

During the election period, the election committee publishes, through the nation’s channels, the names

of the candidates, previous involvement in and outside the nation and opinions about the nation’s


Information that the election committee collected about candidates is archived digitally for three years

and is then deleted on an ongoing basis. The voting record is archived digitally and physically until the

next regular election, after which it must be deleted.

The legal basis for this processing of personal data is the agreement with the candidates and legitimate



Smålands nation takes pictures at many of its social events, and the participants of the event must be

informed of this. The pictures may be published on the website or on one of the

nation’s channels on social media. If an individual has submitted a picture and wishes said picture to be

taken down, the person can contact the nation agents or the board, and the picture will be taken down


The legal basis for this processing of personal data is legitimate interest.


Smålands nation has two types of archiving: digital and physical. Physical archiving takes place and is

organized in binders, and digital archiving takes place via the cloud services Dropbox, MEGA and

Google Drive.

All protocols and documents from decision-making bodies within Smålands nation must be archived

both physically and digitally.

This includes, among other things, the nation meetings, the board, the committees and the election


Emails sent to and from the addresses are archived in the email addresses connected to Smålands nation

(, because the nation needs to be able to go back and see what contact there was

between nation agents and others, e.g. authorities and members, and how various cases have been

handled. Having access to the email archive is of legitimate interest for Smålands nation, as it is

necessary for those active within the nation to be able to carry out their work.

The legal basis for this processing of personal data is activities of public interest and legitimate interest.

ii) Riktlinje för hantering och arkivering av personuppgifter för

Smålands Nation vid Lunds Universitet (SV)

Denna riktlinje finns för att beskriva hur Smålands Nation hanterar och arkiverar personuppgifter i sin

verksamhet och i sociala evenemang i enighet med Dataskyddsförordningen GDPR. Riktlinjen reglerar

även vem som har ansvar för hantering och arkivering av personuppgifter, samt när och hur dessa

uppgifter används. Riktlinjen reglerar hela Smålands Nations verksamhet, och ska enkelt finnas

tillgänglig för medlemmar och personer som anmäler sig till något av Smålands Nations evenemang.


GDPR – Den nya personuppgiftslagen

Personuppgift – All information som kan knytas till en person, till exempel namn,

adress, personnummer eller bilder

Känslig personuppgift – Uppgift om hälsa (t.ex. allergier) religiös eller filosofisk övertygelse,

etniskt ursprung, sexuell läggning etc.

Behandling – Allt man gör med de personuppgifter man har, inklusive att lagra


Personuppgiftsansvarig (PuA) – Den som bestämmer över ändamål och medel för behandlingen av


Personuppgiftsbiträde (PuB) – Den som behandlar personuppgifter på uppdrag av


Personuppgiftsbiträdesavtal – Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde

som i huvudsak reglerar hur personuppgiftsbiträde får behandla



Dataskyddsförordningen – The General Data Protection Regulation (GDPR) gäller sedan den 25 maj

2018, och ersätter Personuppgiftslagen (PUL). Lagen reglerar behandlingen av personuppgifter och är

teknikneutral, vilket innebär att den gäller i alla forum, t.ex. i löpande text, digitalt och på papper.

I enighet med GDPR får personuppgifter lagras vid:

– Avtal, då personuppgifterna är nödvändiga för att fullgöra ett avtal.

– Berättigat intresse, då lagringen är ett välmotiverat intresse för organisationen.

– Rättsliga förpliktelser, då lagringen är nödvändig för att följa andra lagar.

– Skydd av den enskildes vitala intressen, t.ex. vid risk för liv eller hälsa.

– Allmänt intresse, t.ex. myndigheters arbete eller granskning av detta.

– Samtycke, som ska vara informerat och möjligt att ta tillbaka.

Uppföljning av behandlingen av personuppgifter måste ske regelbundet, och denna uppföljning måste

dokumenteras. Dessa uppföljningar är personuppgiftsansvarigs ansvar.


Styrelsen är den som bestämmer att personuppgifter ska samlas in och vad de ska användas till. Så det

är styrelsen som är personuppgiftsansvarig i lagens mening. Alla frågor som gäller behandling av

personuppgifter och personuppgiftsbiträde ska ställas till styrelsen.


Smålands Nation använder sig av Terminsräkningsföreningens (TRF) medlemssystem, som regleras

genom avtal mellan kårerna, nationerna och Akademiska Föreningen (AF). Studenter blir medlemmar i

Smålands genom att avlägga medlemsavgift till TRF, och genom betalning godkänner medlemmarna

att Smålands Nation får hantera deras medlemsuppgifter.

Dessutom kan en person som inte studerar på Lunds universitet bli stödmedlem i Smålands Nation utan

att använda TRF:s medlemssystem (Smålands nations egna medlemsregister). Genom betalning

godkänner stödmedlemmarna att Smålands Nation får hantera deras medlemsuppgifter. I så fall sparas

personuppgifter i 5 år. Samma personuppgifter hanteras genom TRF:s medlemssystem och genom

Smålands nations egna medlemsregister.

Genom TRF:s medlemssystem får Smålands Nation tillgång till följande uppgifter:

– Namn

– Personnummer

– Adress

– E-postadress

– Telefonnummer (frivilligt att ange)

– Medlems-ID (om TRF:s medlemssystem används)

– Medlemsavgifter

– Medlemshistorik

Smålands nations administration har rätt att ta del av medlemsregistret för att kunna sköta den löpande

verksamheten och kan också ändra individers personuppgifter i systemet mot uppvisande av

legitimation. Smålands nations styrelse kan begära att få tillgång till systemet i ställföreträdande roller

för Smålands Nation. Lagstödet för denna behandling av personuppgifter är berättigat intresse och



Studentnationernas verksamhet är av allmänt intresse, vilket motiverar den insamling av

personuppgifter som sker i protokoll från Smålands Nations olika beslutande organ.

Uppgifter som samlas in genom protokoll:

– Namn

– Personnumret (när det behövs för särskilda protokoll)

Protokoll är till för att det mötesdeltagarna säger ska dokumenteras, och detta kan ibland innebära att

uppgifter om t.ex. hälsa (det man säger vid så kallade ”mårundor”) eller uttryckta åsikter i olika frågor

nedtecknas. Vissa uppgifter om hälsa påverkar hela nationernas verksamhet, t.ex. information om

sjukskrivningar av arvoderade personer, och behöver därför dokumenteras i protokoll. Lagstöd för

denna behandling är verksamhet av allmänt intresse.


Inför vissa evenemang behöver Smålands Nation göra tillfälliga register över personuppgifter hos de

personer som kommer att delta på evenemanget. Anmälningslistorna används för att kunna

administrera vilka som deltar på evenemanget, vilken mat som ska köpas in etc. Anmälningslistorna

upprättas med hjälp av Google-formulär, arkiveras digitalt på Google Drive i två år och raderas sedan

löpande. Dessa Google-formulär ska vara kopplade till Smålands Nations officiella mejladresser

(, eftersom uppgifter som samlas in i nationens namn ska samlas in genom nationens


Uppgifter som kan samlas in genom anmälningslistor:

– Namn

– E-postadress

– Personnummer

– Telefonnummer

– Matpreferenser

Lagstödet för denna behandling av personuppgifter är avtal och berättigat intresse.


Smålands nation är en demokratiskt uppbyggd organisation, där nationsmötet är det högsta beslutande

organet. Valet till valberedningen förbereds av styrelsen och sköts av nationsmötet. Valet till andra

förtroendeposter förbereds av valberedningen och sköts av nationsmötet. Valberedningen och styrelsen

samlar in följande personuppgifter om kandidaterna via officiella mejladresser (

– Namn

– E-postadress

– Personnummer

– Telefonnummer

– Tidigare engagemang i och utanför nationen

– Intervjuer om nationens verksamhet

Under valperioden offentliggör valberedningen, genom nationens kanaler, kandidaternas namn, tidigare

engagemang i och utanför nationen och åsikter om nationens verksamheter.

Information som valberedningen har insamlat om kandidater arkiveras digitalt i tre år och raderas

därefter löpande. Röstlängden arkiveras digitalt och fysiskt fram till nästkommande ordinarie val, varpå

den ska raderas.

Lagstödet för denna behandling av personuppgifter är avtal med de kandiderande och berättigat



Smålands nation tar bilder på många av sina sociala evenemang, och deltagarna på evenemanget ska

vara informerade om detta. Bilderna kan komma att publiceras på hemsidan eller på

någon av nationens kanaler på sociala medier. Om en individ har kommit med på en bild och önskar att

sagda bild tas ner kan personen kontakta nationsombud eller styrelsen, så tas bilden ned omedelbart.

Lagstödet för denna behandling av personuppgifter är berättigat intresse.


Smålands nation har två typer av arkivering: digital och fysisk. Fysisk arkivering sker och organiserat i

pärmar, och digital arkivering sker via molntjänsterna Dropbox, MEGA och Google Drive.

Samtliga protokoll och handlingar från beslutande organ inom Smålands nation ska arkiveras såväl

fysiskt som digitalt.

Detta innefattar bland annat nationsmötet, styrelsen, utskotten och valberedningen.

I de mejladresser som är kopplade till Smålands nation ( arkiveras mejl skickade till

och från adresserna, eftersom nationen behöver kunna gå tillbaka och se vilken kontakt som funnits

mellan nationsrepresentanter och andra, t.ex. myndigheter och medlemmar, och hur olika ärenden har

hanterats. Att ha tillgång till mejlarkivet är ett berättigat intresse för Smålands nation, då det är

nödvändigt för att de aktiva inom nationen ska kunna utföra sitt arbete.

Lagstödet för denna behandling av personuppgifter är verksamhet av allmänt intresse och berättigat