PRELIMINARY AGENDA SMÅLANDS NATION MEETING
MONDAY, 3rd October 2022, 18.00
Place:
Smålands Pub
Smålands
Kastanjegatan 7
22359 Lund
§1 Meeting is opened by self-elected chairperson
§2 Preamble
a) Election of:
– meeting chairperson
– meeting secretary
– meeting adjuster and vote counter 2x
– meeting facilitator
b) Information on meeting formalia
c) Meeting legitimacy
d) Adjunctions
e) Presentation rounds
f) Determination of the agenda
§3 Reports
§4 Economy
§5 SNB
§6 Motions
a) Motion for the GDPR policy at Smålands nation.
§7 Elections
§8 Other (no decisions may be made here)
§9 Messages
§10 End of meeting
§6 a) Motion for the GDPR policy at Smålands nation.
The GDPR came into force in 2018, but Smålands did not manage (primarily due to
everyone being super busy and exhausted) to write a proper document that would
address this law. Since then we used a patchwork of rules to accommodate work
within its framework but we need to adopt a proper policy and publish it on our
website.
I drafted a document for this, and asked a few people knowledgeable about the topic,
so now I am moving it at the nation meeting to approve.
The short version is: this document specifies why certain data is collected (personal
data of members, personal data that is included in the protocols etc), as well as which
basis outlined in GDPR is used for collection, and for how long the data can be
stored. It also outlines how archiving of protocols and other relevant documents is
done at Smålands, and, when applicable, when this data should be deleted. For
example interviews that are performed by the election committee will be deleted after
the election period one year after. Protocols, on the other hand, will be kept
indefinitely and so will be the email archive.
Additionally, GDPR requires that each organization has a “Data Controller” which is
legally responsible for handling the data and in Smålands it should be the board.
I move
THAT Smålands nation accepts the attached guidelines as the official GDPR policy.
Attachment:
i) Guidelines for the handling and archiving of personal data for
Smålands Nation in Lund University (EN)
These guidelines describe how Smålands Nation handles and archives personal data in its operations
and in social events in accordance with the GDPR. The guideline also regulates who is responsible for
handling and archiving personal data, as well as when and how this data is used. The guideline
regulates all of Smålands Nation’s activities, and must be easily accessible to members and people who
sign up for one of Smålands Nation’s events.
Definitions
GDPR – The personal data law.
Personal data – All information that can be linked to a person, for example name, address, social
security number or pictures.
Processing – Everything you do with the personal data you have, including storing them.
Personal data controller (PdC) – The person who decides on the purposes and means for the processing
of personal data.
Personal data assistant (PdA) – The person who processes personal data on behalf of personal data
controller.
Personal data processor agreement – Agreement between personal data controller and personal data
processor which essentially regulates how the personal data processor may process the data.
GDPR
The General Data Protection Regulation (GDPR) applies since 25 May 2018, and replaces the Personal
Data Protection Act (PUL). The law regulates the processing of personal data and is technology neutral,
which means it applies to data in all forms, e.g. in running text, digitally and on paper.
In accordance with the GDPR, personal data may be stored in case of:
– Agreements, when the personal data is necessary to fulfill an agreement.
– Legitimate interest, as the storage is a well-motivated interest for the organization.
– Legal obligations, as the storage is necessary to comply with other laws.
– Protection of the individual’s vital interests, e.g. in case of risk to life or health.
– General interest, e.g. authorities’ work or review thereof.
– Consent, which must be informed and possible to withdraw.
Follow-up of the processing of personal data must take place regularly, and this follow-up must be
documented. These follow-ups are the responsibility of the data controller.
Personal data controller
The board is the nation’s body that decides which personal data is to be collected and what it is to be
used for. So it is the board that is responsible for personal data in the sense of the law. All questions
concerning the processing of personal data must be directed to the board.
Member register
Smålands Nation uses the Terminsräkningföreningen’s (TRF) membership system, which is regulated
by agreements between the unions, the nations and the Academic Association (Akademiska Föreningen
– AF). Students become members of Smålands by paying a membership fee to TRF, and by paying the
members approve that Smålands Nation can handle their membership data.
A person who does not study at Lund University can become a support member of Smålands Nation
without using TRF’s membership system (Smålands Nation’s own membership register). By paying, the
support members agree that Smålands Nation can handle their membership data. In that case, personal
data is saved for 5 years. The same personal data is handled through TRF’s membership system and
through Småland nation’s own membership register.
Through TRF’s membership system, Smålands Nation gets access to the following information:
– Name
– Social security number
– Address
– Email address
– Telephone number (optional)
– Member ID (if TRF’s membership system is used)
– Membership fees
– Member history
Smålands nation’s administration has the right to access the membership register in order to manage the
day-to-day operations and can also change individuals’ personal data in the system upon presentation of
identification. The legal basis for this processing of personal data is legitimate interest and agreement.
Protocols
The activities of the student nations are of public interest, which justifies the collection of personal data
that results in protocols from Smålands Nation’s various decision-making bodies.
Data collected through protocols:
– Name
– Social security number (when needed for special protocols)
Minutes are there to document what the meeting participants say, and this can sometimes mean that
information about e.g. health (what is said at so-called “mårdunor”) or expressed opinions on various
issues are recorded. Certain information about health affects the operations of the entire nation, e.g.
information on sick leave of paid persons, and therefore needs to be documented in minutes. Legal
basis for this processing is an activity of public interest.
Registration lists
Before certain events, Smålands Nation needs to make temporary records of personal data of the people
who will participate in the event. The registration lists are used to be able to administer who
participates in the event, which food is to be purchased, etc. The registration lists are created using
Google forms, digitally archived on Google Drive for two years and then deleted continuously. These
Google forms must be linked to Smålands Nation’s official email addresses (@smalands.org), as data
collected in the nation’s name must be collected through the nation’s channels.
Data that can be collected through notification lists:
– Name
– Email address
– Social security number
– Telephone number
– Food preferences
The legal basis for this processing of personal data is agreement and legitimate interest.
Election committee
Smålands nation is a democratically structured organization, where the nation is the highest decisionmaking
body. The election to the election committee is prepared by the board and managed by the
nation meeting. The election to other positions of trust is prepared by the election committee and is
decided by the nation meeting. The election committee and the board collect the following personal
data about the candidates via official email addresses (@smalands.org)
– Name
– Email address
– Social security number
– Telephone number
– Previous involvement in and outside the nation
– Interviews about the nation’s activities
During the election period, the election committee publishes, through the nation’s channels, the names
of the candidates, previous involvement in and outside the nation and opinions about the nation’s
activities.
Information that the election committee collected about candidates is archived digitally for three years
and is then deleted on an ongoing basis. The voting record is archived digitally and physically until the
next regular election, after which it must be deleted.
The legal basis for this processing of personal data is the agreement with the candidates and legitimate
interest.
Pictures
Smålands nation takes pictures at many of its social events, and the participants of the event must be
informed of this. The pictures may be published on the website www.smalands.org or on one of the
nation’s channels on social media. If an individual has submitted a picture and wishes said picture to be
taken down, the person can contact the nation agents or the board, and the picture will be taken down
immediately.
The legal basis for this processing of personal data is legitimate interest.
Archiving
Smålands nation has two types of archiving: digital and physical. Physical archiving takes place and is
organized in binders, and digital archiving takes place via the cloud services Dropbox, MEGA and
Google Drive.
All protocols and documents from decision-making bodies within Smålands nation must be archived
both physically and digitally.
This includes, among other things, the nation meetings, the board, the committees and the election
committee.
Emails sent to and from the addresses are archived in the email addresses connected to Smålands nation
(@smalands.org), because the nation needs to be able to go back and see what contact there was
between nation agents and others, e.g. authorities and members, and how various cases have been
handled. Having access to the email archive is of legitimate interest for Smålands nation, as it is
necessary for those active within the nation to be able to carry out their work.
The legal basis for this processing of personal data is activities of public interest and legitimate interest.
ii) Riktlinje för hantering och arkivering av personuppgifter för
Smålands Nation vid Lunds Universitet (SV)
Denna riktlinje finns för att beskriva hur Smålands Nation hanterar och arkiverar personuppgifter i sin
verksamhet och i sociala evenemang i enighet med Dataskyddsförordningen GDPR. Riktlinjen reglerar
även vem som har ansvar för hantering och arkivering av personuppgifter, samt när och hur dessa
uppgifter används. Riktlinjen reglerar hela Smålands Nations verksamhet, och ska enkelt finnas
tillgänglig för medlemmar och personer som anmäler sig till något av Smålands Nations evenemang.
Definitioner
GDPR – Den nya personuppgiftslagen
Personuppgift – All information som kan knytas till en person, till exempel namn,
adress, personnummer eller bilder
Känslig personuppgift – Uppgift om hälsa (t.ex. allergier) religiös eller filosofisk övertygelse,
etniskt ursprung, sexuell läggning etc.
Behandling – Allt man gör med de personuppgifter man har, inklusive att lagra
dem.
Personuppgiftsansvarig (PuA) – Den som bestämmer över ändamål och medel för behandlingen av
personuppgifter.
Personuppgiftsbiträde (PuB) – Den som behandlar personuppgifter på uppdrag av
personuppgiftsansvarig.
Personuppgiftsbiträdesavtal – Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde
som i huvudsak reglerar hur personuppgiftsbiträde får behandla
uppgifterna.
GDPR
Dataskyddsförordningen – The General Data Protection Regulation (GDPR) gäller sedan den 25 maj
2018, och ersätter Personuppgiftslagen (PUL). Lagen reglerar behandlingen av personuppgifter och är
teknikneutral, vilket innebär att den gäller i alla forum, t.ex. i löpande text, digitalt och på papper.
I enighet med GDPR får personuppgifter lagras vid:
– Avtal, då personuppgifterna är nödvändiga för att fullgöra ett avtal.
– Berättigat intresse, då lagringen är ett välmotiverat intresse för organisationen.
– Rättsliga förpliktelser, då lagringen är nödvändig för att följa andra lagar.
– Skydd av den enskildes vitala intressen, t.ex. vid risk för liv eller hälsa.
– Allmänt intresse, t.ex. myndigheters arbete eller granskning av detta.
– Samtycke, som ska vara informerat och möjligt att ta tillbaka.
Uppföljning av behandlingen av personuppgifter måste ske regelbundet, och denna uppföljning måste
dokumenteras. Dessa uppföljningar är personuppgiftsansvarigs ansvar.
Personuppgiftsansvarig
Styrelsen är den som bestämmer att personuppgifter ska samlas in och vad de ska användas till. Så det
är styrelsen som är personuppgiftsansvarig i lagens mening. Alla frågor som gäller behandling av
personuppgifter och personuppgiftsbiträde ska ställas till styrelsen.
Medlemsregister
Smålands Nation använder sig av Terminsräkningsföreningens (TRF) medlemssystem, som regleras
genom avtal mellan kårerna, nationerna och Akademiska Föreningen (AF). Studenter blir medlemmar i
Smålands genom att avlägga medlemsavgift till TRF, och genom betalning godkänner medlemmarna
att Smålands Nation får hantera deras medlemsuppgifter.
Dessutom kan en person som inte studerar på Lunds universitet bli stödmedlem i Smålands Nation utan
att använda TRF:s medlemssystem (Smålands nations egna medlemsregister). Genom betalning
godkänner stödmedlemmarna att Smålands Nation får hantera deras medlemsuppgifter. I så fall sparas
personuppgifter i 5 år. Samma personuppgifter hanteras genom TRF:s medlemssystem och genom
Smålands nations egna medlemsregister.
Genom TRF:s medlemssystem får Smålands Nation tillgång till följande uppgifter:
– Namn
– Personnummer
– Adress
– E-postadress
– Telefonnummer (frivilligt att ange)
– Medlems-ID (om TRF:s medlemssystem används)
– Medlemsavgifter
– Medlemshistorik
Smålands nations administration har rätt att ta del av medlemsregistret för att kunna sköta den löpande
verksamheten och kan också ändra individers personuppgifter i systemet mot uppvisande av
legitimation. Smålands nations styrelse kan begära att få tillgång till systemet i ställföreträdande roller
för Smålands Nation. Lagstödet för denna behandling av personuppgifter är berättigat intresse och
avtal.
Protokoll
Studentnationernas verksamhet är av allmänt intresse, vilket motiverar den insamling av
personuppgifter som sker i protokoll från Smålands Nations olika beslutande organ.
Uppgifter som samlas in genom protokoll:
– Namn
– Personnumret (när det behövs för särskilda protokoll)
Protokoll är till för att det mötesdeltagarna säger ska dokumenteras, och detta kan ibland innebära att
uppgifter om t.ex. hälsa (det man säger vid så kallade ”mårundor”) eller uttryckta åsikter i olika frågor
nedtecknas. Vissa uppgifter om hälsa påverkar hela nationernas verksamhet, t.ex. information om
sjukskrivningar av arvoderade personer, och behöver därför dokumenteras i protokoll. Lagstöd för
denna behandling är verksamhet av allmänt intresse.
Anmälningslistor
Inför vissa evenemang behöver Smålands Nation göra tillfälliga register över personuppgifter hos de
personer som kommer att delta på evenemanget. Anmälningslistorna används för att kunna
administrera vilka som deltar på evenemanget, vilken mat som ska köpas in etc. Anmälningslistorna
upprättas med hjälp av Google-formulär, arkiveras digitalt på Google Drive i två år och raderas sedan
löpande. Dessa Google-formulär ska vara kopplade till Smålands Nations officiella mejladresser
(@smalands.org), eftersom uppgifter som samlas in i nationens namn ska samlas in genom nationens
kanaler.
Uppgifter som kan samlas in genom anmälningslistor:
– Namn
– E-postadress
– Personnummer
– Telefonnummer
– Matpreferenser
Lagstödet för denna behandling av personuppgifter är avtal och berättigat intresse.
Valberedningen
Smålands nation är en demokratiskt uppbyggd organisation, där nationsmötet är det högsta beslutande
organet. Valet till valberedningen förbereds av styrelsen och sköts av nationsmötet. Valet till andra
förtroendeposter förbereds av valberedningen och sköts av nationsmötet. Valberedningen och styrelsen
samlar in följande personuppgifter om kandidaterna via officiella mejladresser (@smalands.org)
– Namn
– E-postadress
– Personnummer
– Telefonnummer
– Tidigare engagemang i och utanför nationen
– Intervjuer om nationens verksamhet
Under valperioden offentliggör valberedningen, genom nationens kanaler, kandidaternas namn, tidigare
engagemang i och utanför nationen och åsikter om nationens verksamheter.
Information som valberedningen har insamlat om kandidater arkiveras digitalt i tre år och raderas
därefter löpande. Röstlängden arkiveras digitalt och fysiskt fram till nästkommande ordinarie val, varpå
den ska raderas.
Lagstödet för denna behandling av personuppgifter är avtal med de kandiderande och berättigat
intresse.
Bilder
Smålands nation tar bilder på många av sina sociala evenemang, och deltagarna på evenemanget ska
vara informerade om detta. Bilderna kan komma att publiceras på hemsidan www.smalands.org eller på
någon av nationens kanaler på sociala medier. Om en individ har kommit med på en bild och önskar att
sagda bild tas ner kan personen kontakta nationsombud eller styrelsen, så tas bilden ned omedelbart.
Lagstödet för denna behandling av personuppgifter är berättigat intresse.
Arkivering
Smålands nation har två typer av arkivering: digital och fysisk. Fysisk arkivering sker och organiserat i
pärmar, och digital arkivering sker via molntjänsterna Dropbox, MEGA och Google Drive.
Samtliga protokoll och handlingar från beslutande organ inom Smålands nation ska arkiveras såväl
fysiskt som digitalt.
Detta innefattar bland annat nationsmötet, styrelsen, utskotten och valberedningen.
I de mejladresser som är kopplade till Smålands nation (@smalands.org) arkiveras mejl skickade till
och från adresserna, eftersom nationen behöver kunna gå tillbaka och se vilken kontakt som funnits
mellan nationsrepresentanter och andra, t.ex. myndigheter och medlemmar, och hur olika ärenden har
hanterats. Att ha tillgång till mejlarkivet är ett berättigat intresse för Smålands nation, då det är
nödvändigt för att de aktiva inom nationen ska kunna utföra sitt arbete.
Lagstödet för denna behandling av personuppgifter är verksamhet av allmänt intresse och berättigat
intresse.
Recent Comments