Personuppgift 
Med personuppgifter avses all information som direkt eller indirekt kan hänföras till en nu levande fysisk person. Exempel på personuppgifter är namn, adress, personnummer, telefonnummer, e-post, bildmaterial och uppgift om hälsa. När det går att koppla en uppgift till en viss person är det en personuppgift. Krypterade uppgifter och olika slags elektroniska identiteter (t.ex. IP-nummer) är också personuppgifter om de kan kopplas till fysiska personer.

Behandling av personuppgifter
Vi samlar in, använder och behandlar personuppgifter om exempelvis medlemmar, behovssökande, styrelse och övriga kontakter i vår verksamhet. Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller inte. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.

Personuppgiftsansvarig
Hjälpsamhetsförbundet Rodef Chesed, Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse är personuppgiftsansvariga för behandling av personuppgifter. Vi ansvarar för samtliga uppgifter som lämnas i kontakt med oss vilket kan vara på och via hemsidan, telefon, brev, e-post, direkt till någon anställd eller någon i styrelsen eller på annat sätt.

Som personuppgiftsansvarig har vi ansvaret för att personuppgifter behandlas på ett säkert sätt och att GDPR, den allmänna dataskyddsförordningen, följs. Vårt främsta syfte med att behandla personuppgifter är för att vi ska kunna fullfölja våra åtaganden mot våra medlemmar/användare/sökande men vi samlar även in uppgifter om dem som inte är det men som vill bli kontaktad av oss av olika anledningar.

Tillämplighet och omfattning
Denna integritetspolicy riktar sig till samtliga styrelsemedlemmar och anställda inom Hjälpsamhetsförbundet Rodef Chesed, Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse. Kunder, leverantörer, ombud, företrädare och andra partners till oss förväntas följa denna, eller en jämbördig policy, i den mån de behandlar personuppgifter å våra vägnar. Policyn ska vara tillgänglig för våra anställda och styrelse samt, på begäran i enlighet med tillämplig lag, från Integritetsskyddsmyndigheten, f.d. Datainspektionen. I den mån tillämplig lag fastställer ytterligare krav ska den tillämpas vid sidan av policyn. Om tillämplig lag strider mot denna policy ska Hjälpsamhetsförbundet Rodef Cheseds styrelse informeras för att kunna avgöra hur situationen ska hanteras.

Syftet med denna policy 
Syftet med policyn är att säkerställa att Hjälpsamhetsförbundet Rodef Chesed, Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse uppfyller rättsliga krav och undviker oacceptabla rättsliga risker. Policyn förklarar hur vi behandlar personuppgifter.

Policy
Hjälpsamhetsförbundet Rodef Chesed, Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse ska följa tillämpliga lagar, regler och föreskrifter som styr integritet och dataskydd och bedriva verksamhet på ett sätt som respekterar integritet i förhållande till vår behandling av personuppgifter.

Vid Hjälpsamhetsförbundet Rodef Chesed, Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse behandling av personuppgifter gäller följande i dataskyddsförordningen fastställda principer:

• Laglighet, korrekthet och öppenhet
  Insamling, användning och övrig behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt gentemot den registrerade. Vi ska underlätta för den registrerade att utöva sina rättigheter i enlighet med gällande lag. Den registrerade ska få en klar och tydlig information om hur personuppgifterna kommer att användas av oss.
• Ändamålsbegränsning
  Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål eller för obestämda framtida behov. Vi ska se till att det finns rutiner för gallring eller avidentifiering av personuppgifter vars behandling inte längre är nödvändig för det ursprungliga ändamålet.
• Endast behandling på laglig grund
  Personuppgifter ska endast behandlas om en laglig grund finns för behandlingen.
• Lagringsminimering
  Personuppgifter får bara sparas så länge som det är nödvändigt utifrån ändamålet för behandlingen. När vi inte längre har behov av uppgifterna ska de raderas, begränsas eller avidentifieras så att de inte längre kan kopplas till den registrerade.
• Känsliga personuppgifter
  Vissa personuppgifter anses extra känsliga och har därför ett starkare skydd i dataskyddsförordningen. Dit hör bl.a. medlemskap i fackförening, hälsa, etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, sexualliv eller sexuell läggning samt uppgifter om lagöverträdelser. Huvudregeln är att det är förbjudet att behandla känsliga uppgifter men det finns undantag från förbudet, t.ex. om en person uttryckligen samtyckt till behandlingen. Här ställs högre krav än bara samtycke. I dataskyddsförordningen framgår hur undantagen ska tolkas. Ett undantag är religiösa samfunds behandling för kärnverksamheten. Personnummer och samordningsnummer får endast behandlas om det är motiverat med hänsyn till ändamålet med behandlingen. Vår styrelse och anställda ska vidta särskild aktsamhet med känsliga personuppgifter.
• Information om behandling av personuppgifter
  Vi ska, i enlighet med tillämplig lag, tillhandahålla information till berörda personer om behandlingen av personuppgifter.
• Åtkomst till personuppgifter
  Vi ska ge åtkomst till personuppgifter i enlighet med tillämplig lag.
• Invändningar mot behandling
  Vi ska se till att den registrerade kan invända mot behandling som utförs på basis av ett allmänt eller berättigat intresse eller i direkt marknadsföringssyfte, och ska godta en sådan begäran när det är aktuellt.
• Dataportabilitet
  Den registrerade har rätt att på begäran få ut sina personuppgifter för att överföra dem till en annan personuppgiftsansvarig. Den registrerade har bara denna rättighet när behandlingen grundar sig på samtycke eller avtal och behandlingen sker automatiskt.
• Uppgiftsminimering och korrekthet
  Personuppgifter ska vara adekvata, relevanta och inte för omfattande för behandlingens ändamål, och ska uppdateras vid behov. Felaktiga uppgifter ska rättas eller kompletteras, antingen på vårt eget initiativ eller på den registrerades begäran.
• Anlitande av personuppgiftsbiträden
  Vi får anlita ett personuppgiftsbiträde som för vår räkning behandlar personuppgifter. Biträdet ska kunna garantera att personuppgiftsbehandlingen uppfyller kraven i denna policy samt de krav som följer av tillämplig lag. Ett särskilt biträdesavtal ska upprättas mellan partnerna med detaljerade krav på hur personuppgifterna får behandlas för att därmed kunna säkerställa att den registrerades rättigheter skyddas.
• Personuppgifter utanför EU-EES:
  Det finns restriktioner för överföring av personuppgifter till mottagare utanför EU/EES. Vi ska följa de restriktioner som ställs upp av tillämplig lag.
• Integritet och konfidentalitet
  Personuppgifter ska behandlas på ett sätt som säkerställer en lämplig säkerhet för uppgifterna. Det måste finnas en tillräcklig nivå av skydd mot att uppgifterna utsätts för otillåten eller obehörig behandling, eller att de felaktigt raderas eller skadas. Vi ska vidta lämpliga tekniska organisatoriska åtgärder i förhållande till risken med behandlingar

• Inbyggd integritet och dataskydd som standard (Privacy by Design och Privacy by Default)
  Vi ska säkerställa att system som köps in och utvecklas är integritetssäkrade. För att ett system ska anses ha ett tillräckligt bra integritetsskydd i förhållande till de uppgifter som behandlas ska de grundläggande principerna i dataskyddsförordningen vara inbyggda direkt i systemet på så sätt att användningen av systemet lever upp till dessa principer som standard.

Ansvar och överträdelse
Samtliga anställda och styrelse inom Hjälpsamhetsförbundet Rodef Chesed, Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse ska ha kännedom om policyn och följa den. Anställda och styrelse är skyldiga att rapportera misstänkta överträdelser av denna policy till Hjälpsamhetsförbundet Rodef Cheseds styrelseordförande och kassaförvaltare.

Delning av personuppgifter
Ibland behöver personuppgifter delas med andra företag och organisationer. Vissa av dessa är självständigt personuppgiftsansvariga. Att ett företag/organisation är självständigt personuppgiftsansvarig innebär att det inte är Hjälpsamhetsförbundet Rodef Chesed  Stiftelsen Lennart Skutins Minnesfond samt Bruno och Teresa Erlichs Stiftelse som styr hur informationen som lämnas till företaget ska behandlas.

När personuppgifter delas med ett företag/organisation som är självständigt personansvarig gäller det företagets integritetspolicy och personuppgiftshantering. Självständiga personuppgiftsansvariga som vi delar personuppgifter med kan vara t.ex:

• Stockholms Judiska Församling
• Hillelskolan i Stockholm
• Judiska Hemmet i Stockholm
• Statliga myndigheter (polisen, skatteverket eller andra myndigheter) om vi är skyldiga att göra det enligt lag eller vid misstanke om brott.
• Företag som erbjuder restauranger, bostäder, läkarvård, tandvård m.m.
• Samarbetspartners och leverantörer med vilka personuppgiftsbiträdesavtal tecknats.

Säkerhet 
Vi har vidtagit särskilda säkerhetsåtgärder för att skydda personuppgifter mot olovlig eller obehörig behandling (såsom olovlig tillgång, förlust, förstörelse eller skada). Endast de personer som faktiskt behöver behandla personuppgifter för att vi ska kunna uppfylla våra angivna ändamål har tillgång till dem.

Lagring av personuppgifter
Vi sparar aldrig personuppgifter längre än vad som är nödvändigt för respektive ändamål. Vi kommer bara att behandla ditt personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något annat beaktansvärt skäl. Vi minimerar alltid användandet av personnummer i så stor utsträckning som möjligt genom att, i de fall det är tillräckligt, istället använda födelsenummer.

Cookies/Kakor 
Vi använder kakor (cookies) för att kunna se hur många som använder webbplatsen jfst.se, vilka sidor som besöks och hur våra användare rör sig mellan sidorna. Alla som använder webbplatsen förblir ändå anonyma för oss.  I vissa fall använder vi kakor för att komma ihåg inställningar som görs när en person besöker oss så att personen inte behöver göra om dem vid ditt nästa besök. Syftet är helt och hållet att förbättra och förenkla för användarna.

Rättigheter som registrerad 
Rätt till tillgång (s.k. registerutdrag). Vi är alltid öppna och transparenta med hur vi behandlar personuppgifter och ifall du vill få en djupare insikt i vilka personuppgifter vi behandlar om just dig kan du begära att få tillgång till uppgifterna (information lämnas i form av ett registerutdrag med angivande av ändamål, kategorier av personuppgifter, kategorier av mottagare, lagringsperioder, information om varifrån informationen har samlats in och förekomsten av automatiserad beslutsfattande).

Ifall vi mottar en begäran om tillgång kan vi komma att fråga om ytterligare uppgifter för att säkerställa en effektiv hantering av begäran och att informationen lämnas till rätt person.

Rätt till rättelse. Registrerade personer kan begära att få sina personuppgifter rättade ifall uppgifterna är felaktiga. Inom ramen för det angivna ändamålet har de också rätt att komplettera eventuellt ofullständiga personuppgifter.

Tänk på att vi kan ha rätt att neka en begäran ifall det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning, men också från konsumenträttslagstiftning.

Det kan också hända att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk. Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi istället att blockera personuppgifterna från att kunna användas till andra syften än det syfte som hindrar den begärda raderingen.

Incidenter 
En personuppgiftsincident är en säkerhetsincident som leder till en oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om det bedöms sannolikt att en sådan incident medför en risk för fysiska personers rättigheter och friheter ska incidenten rapporteras till Integritetsmyndigheten inom 72 timmar. Om det är sannolikt att incidenten medför en hög risk för fysiska personers rättigheter och friheter ska berörda personer informeras om incidenten utan onödigt dröjsmål.

Integritetsmyndigheten är tillsynsmyndighet 
Integritetsmyndigheten är ansvarig för att övervaka tillämpningen av lagstiftningen. Den som anser att ett företag/organisation hanterar personuppgifter på ett felaktigt sätt kan lämna in ett klagomål till Integritetsmyndigheten.

Kontakt i dataskyddsfrågor:
För frågor kontakta info@rodefchesed.se