GDPR Policy
Vi värnar om dina data
Hantering av persondata
Vi värnar alltid om våra medlemmaras privatliv och har alltid följt de riktlinjer som finns i PUL. I och med introduktionen av GDPR den 25:e maj 2018 kom även krav på att vi ska dokumentera vad vi hanterar för information samt hur den hanteras och varför. Här är vår beskrivning av hur vi hanterar användardata idag, här finns säkert en hel del att förbättra och förtydliga så ni är mer än välkommna att lämna feedback till vårt dataskyddsombud på johan@citypolarna.se.
Laglig grund för behandling
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Insamling av data
Vår datahantering baserar sig på "Avtal med den registrerade" som grund för laglig behandling. Dock är största delen av informationen vi hanterar, information som medlemmarna frivilligt matar in.
Data vi samlar in om användarna är information som användare själva matar in i registreringsformulär. Vi sparar även ip-adresser för att kunna spåra hackingförsök och andra oegentligeheter. Personlig information används för att vi ska kunna tillhandahålla tjänsten till användaren, så som tjänsten är ämnad att användas. Det är därför viktigt att information som kön och ålder är korrekt, då denna informationen används som en del i tjänsten.
Eftersom tjänsten enbart riktar sig till personer över 18 samlar vi inte in data på personer under 18 år. Är man under 18 år kan man gå på aktiviteter i vuxens sällskap men har då inget aktivt konto på siten.
Förvaring av data
- Data förvaras i en databas som befinner sig på två speglade RAID diskar.
- Data förvaras även på en backupserver där en kopia sparas i 10 dagar innan den raderas.
- Servern är skyddad med SSL.
- Lösenord är krypterade med algoritmen bCrypt men är även hashade med både salt och peppar för extra säkerhet.
- Mailadresser är krypterade med AES-128-CTR.
- Mjukvaran som systemet drivs med uppdateras regelbundet (minst 1 gång i kvartalet) samt vid rapport om brister i mjukvara för att säkersställa att informationen är skyddad på bästa sätt
Rensning av data
- När en användare avslutar sitt konto raderas all personlig information i profilen.
- När en profil raderas sparar vi information om födelse år och kön för att kunna ta ut statistik, men månad och dag raderas.
- Vi har per den 24 sept 2019 aktiverat automatisk utrensing av gamla inaktiva konton. Konton som varit inaktiva i 3 år kommer automatiskt raderas från systemet 30 dagar efter att en sista påminnelse skickats ut till medlemmen. En gång per år skickar vi även ut ett mail till alla inaktiva användare och frågar om de fortfarande vill ha sitt konto kvar. De kan då själva gå in och ta bort sitt konto om de så önskar.
Vad vi klassar som persondata i våra system
- Användarnamn, förnamn, efternamn, lösenord, födelsedatum, telefonnummer, mail, adress, ip-adress och profilbild. (Lösenordet är krypterat och finns inte tillgängligt i klartext någon stans i systemet)
- Systemloggen sparas i 60 dagar, här kan personlig information förekomma. Den kan vi ta bort i förtid vid specifik begäran.
- Sessionsloggen håller reda på din inloggning om du valt att stänga ner sida utan att logga ut. Väljer du att aktivt logga ut raderas sessionen efter 30 dagar. Om du inte loggar ut raderas sessionen automatiskt efter 6 månader.
- Apacheloggen (på servern) innehåller ip-adresser och sparas i ca 10 dagar.
- Mailloggen (på servern) sparar mailadresser i ca 10 dagar dagar.
- I mailutskicksloggen (i databasen) sparas mail i ca 20 dagar. Utifall ett fel skulle uppstå som gör att vi måste återsända mail.
- Enligt GDPR innefattas även ostrukturerade data i lagstiftningen. Det gäller information som finns i eventtexter, kommentarer, bilder mm på sidan men även mail som har skickats till Citypolarna.se. (Kommentarer som har skickats i mail till andra användare har vi ingen möjlighet att radera.)
Information som är ostrukturerad är inte lika lätt att administrera automatiskt, därför krävs en separat begäran för att vi ska ta bort sådan information från systemet. Begäran görs via mail till johan@citypolarna.se.
Varför har vi uppgifterna
- Primära syftet med uppgifterna är för att kunna tillhandahålla vår tjänst Citypolarna.se
Användarnamn är din unika identifiering för att komma åt systemet.
Mail är precis som användarnamnet en unik nyckel för att identifiera användare. Mailen används även för att verifiera att du är ägare till kontot.
Förnamn, efternamn och telefonnummer och adress är frivilliga. Det är för att underlätta för användarna att dela denna informationen med andra medlemmar.
Ålder och kön används för att kunna visa segmenterade aktiviteter där ålder och/eller kön har begränsats.
- Vi loggar ip-adresser, bland annat för att förutsäga vart nya besökare kommer ifrån, för att kunna visa relevanta aktiviteter innan de registrerat sig. Men även för att kunna spåra hackingförsök på siten, loggen sparas i 30 dagar.
Vem har tillgång till datan
- Ägare och eventuella anställda på Citypolarna. Dataskyddsombud är Johan Broddfelt.
- Cygrids hostar servern och har tillgång till hårdvaran, men behandlar inte någon information på servern.
- Medlemmar har tillgång till den informationen som andra delar med dem, samt information som visas öppet. (Eg. användarnamn, ålder och kön.)
Delning av data med andra parter
Vi säljer/delar inte någon personlig information som har registrerats i systemet med andra parter.
- De som betalar via Payson när de köper Plusmedlemskap registreras med mail i paysons transaktionslogg. Likaså registreras inbetalningar till plusgirot i bankens system och vid Swishbetalningar lagras även telefonnumret i bankens transaktionslogg. Men ingen av den informationen lagras på siten utöver att beloppet registreras på användarkontot. I övrigt hänvisar vi till deras policy då vi inte har något inflytande över deras tjänst.
På vilka sätt behandlar vi persondata
- Filtrera aktiviteter som är segmenterade på ålder och kön
- Delar personlig information med andra medlemmar utifrån användarens önskemål
- Använder information om vilka typer av aktiviteter medlemmar besöker för att rekommendera kommande aktiviteter i veckomail. (Endast om detta tillval aktivt gjorts av medlemmen)
en kick-start efter
separationen.