Integritetspolicy

Integritetspolicy och hantering av personuppgifter

Thielska galleriet värnar om din personliga integritet. När du i olika situationer kommer i kontakt med oss kan dina personuppgifter (så som namn, adress, e-post, personnummer och telefonnummer) komma att behandlas av oss. I vår integritetspolicy förklarar vi hur vi samlar in och använder din personliga information. Vi lever upp till kraven i Dataskyddsförordningen, GDPR.

I denna policy berättar vi om vilka personuppgifter vi samlar in om dig och varför. Du ska också veta hur vi behandlar dem, hur länge de lagras och vilken laglig grund vi stödjer oss på vid insamlandet och behandlandet. Den beskriver också vilka rättigheter du har och hur du gör för att tillvarata dem.

Vad är en personuppgift?

Personuppgifter är all information som kan användas för att identifiera en enskild person som är i livet. Personuppgifter är t.ex. personnummer, namn, adress, e-postadress och även fotografier. Krypterade uppgifter och olika slags elektroniska identiteter (t.ex. IP-nummer och cookies) är personuppgifter om de kan kopplas till fysiska personer.

Vad är behandling av personuppgifter?

Varje åtgärd som görs med en personuppgift är att betrakta som en behandling oavsett om det sker automatiserat eller inte. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, ändring, lagring, bearbetning, spridning, överföring och radering.

Vilka personuppgifter samlar Thielska galleriet in?

Bokning av lokaler och tjänster

För att kunna hantera bokning av lokaler och tjänster, t.ex. visningar och kurser, samlas nödvändiga uppgifter in:

Namn

Kontaktuppgifter (adress, postadress, e-post, telefonnummer och organisations-/personnummer)

Betalningsinformation

De behandlingar som utförs är mottagande av bokningar, om- och avbokningar samt annan kommunikation kring bokningen.

Den lagliga grunden är fullgörande av avtal. Insamlandet är nödvändigt för att vi ska kunna fullgöra åtagandet. Uppgifterna lagras till dess tjänsten är slutförd.

Stiftelsens rättsliga förpliktelser

För att uppfylla rättsliga förpliktelser, t.ex. bokföringslagens bestämmelser samlas nödvändiga uppgifter in:

Namn

Personnummer (i förekommande fall)

Kontaktuppgifter (t.ex. e-post, adress och telefonnummer)

Betalningsinformation

Den lagliga grunden är rättslig förpliktelse och följer av olika lagbestämmelser. Uppgifterna lagras så länge som det är föreskrivet.

Serviceärenden och förfrågningar

För att kunna hantera serviceärenden och förfrågningar samlas nödvändiga uppgifter in:

Namn eller användarnamn

Kontaktuppgifter (t.ex. e-post och telefonnummer)

E-mailkorrespondens

Behandling som utförs är kommunikation i den här typen av ärenden.

Laglig grund är det allmänintresse som följer med Thielska galleriets verksamhet.

Uppgifterna sparas så länge ärendet pågår.

Information till särskilda intressenter

För att kunna informera om verksamheten till de som anmält intresse av att få ta del av sådan samlas nödvändiga uppgifter in:

Namn

Adress

E-postadress och telefonnummer

Behandling som utförs är insamling av personuppgifter från dem som vill prenumerera på nyhetsbrev eller ta emot andra typer av utskick såsom nyhetsbrev, pressmeddelanden och evenemangsinbjudningar.

Laglig grund är samtycke. Behandlingen behövs för att kunna förmedla informationen och uppgifterna sparas så länge man önskar få del av den.

Information till allmänheten

För att kunna informera om Thielska galleriets verksamhet till allmänheten.

Namn och yrkestitel

Bilder

Ljud- och videoupptagningar

Kontaktuppgifter

Behandling som utförs är information om aktuella föreläsare, utställande konstnärer, kurser och konferensarrangörer samt bilder och videoupptagningar på konstnärer, utställningspersonal och i förekommande fall publik. Uppgifterna används på museets officiella kommunikationskanaler som webbplats, utskick och i sociala medier.

Laglig grund är det allmänintresse som följer med galleriets verksamhet och uppgifterna sparas så länge som de är aktuella och behövs. Raderas därefter.

Tillgängliggöra Thielska galleriets samlingar

För att kunna visa, tillgängliggöra och förmedla galleriets samlingar.

Namn

Kontaktuppgifter (adress, ateljéuppgifter, telefon, e-post)

Födelseår

Födelse- och verksamhetsland

Behandling som utförs är insamling och registrering av personuppgifter rörande inköpta, donerade och inlånade konstverk samt registrering av ägarhistorik. Laglig grund är allmänintresset och uppgifterna sparas så länge det är nödvändigt för att tillgängliggöra galleriets samlingar.

Donationer eller in- och utlån av konstverk

För att kunna hantera donationer eller in- och utlån av konstverk.

Namn

Kontaktuppgifter (e-post, adress, telefonnummer)

Behandling som utförs är insamling av uppgifter om institutioner och personer som lånar in och lånar ut eller donerar konstverk. Korrespondens med arkitekter, konstnärer, institutioner, donatorer, säljare och utlånare.

Insamling av personuppgifter hos företag som transporterar och hanterar verken. Laglig grund är avtal och uppgifterna sparas så länge som respektive avtal är aktuellt och giltigt.

Forskarförfrågningar

För att kunna hantera forskarförfrågningar.

Kontaktuppgift (e-post eller telefonmeddelande)

Personnummer (vid framtagning av föremål)

Institution eller dylikt

Laglig grund är allmänintresse och uppgifterna sparas till dess besöket är genomfört och föremålet är återlämnat och kontrollerat.

Deltagande i event

För att kunna genomföra och hantera deltagande i event.

Namn

E-postadress

Adress

Insamling och registrering av de som önskar komma på något av Thielska galleriets event. Uppgifterna sparas till dess eventet är genomfört.

Rekrytera personal

För att kunna rekrytera personal.

Namn

Personnummer

Kontaktuppgifter (adress, postadress, e-post, telefonnummer)

Insamling av personuppgifter vid rekryteringsförfaranden och i kommunikationer med de sökande i samband med anställningsintervjuer.

Allmänintresse och avtal. Uppgifterna sparas till dess rekryteringen är genomförd och 24 månader efter att beslutet är fattat.

Sponsring och stöd

För att kunna hantera sponsring och stöd till museet.

Namn

Adress

E-postadress

Telefonnummer

Insamling av personuppgifter från de som ingår sponsoravtal, partnerskap eller är medlem i support- och stödgrupp till Thielska galleriet.

Utskick av evenemangsinbjudningar, publikationer och information om särskilda aktiviteter. Även kommunikation kring sponsor- och medlemskap.

Laglig grund är fullgörande av avtal och uppgifterna sparas under sponsor- eller medlemskapets löptid och för en tid av 12 månader därefter.

Vem är ansvarig för personuppgifterna?

Ansvarig för att dataskyddsreglerna följs är Thielska galleriet, Sjötullsbacken 6-8, 115 25 Stockholm. Tele:08-662 5884. Organisationsnummer 802005-9245.

Varifrån hämtar vi personuppgifterna?

Utöver de uppgifter du själv lämnar till oss, eller vi samlar in från dig, kan vi också komma att samla in personuppgifter i samband med dokumentation av vår verksamhet och våra evenemang. De uppgifter vi då samlar in är fotografier samt ljud- och videoupptagningar.

Vem delar vi dina personuppgifter med?

Personuppgiftsbiträden

I de fall det är nödvändigt för att vi ska kunna erbjuda våra tjänster delar vi dina personuppgifter med företag som är s.k. personuppgiftsbiträden. Ett personuppgiftsbiträde är ett företag som behandlar information för vår räkning och enligt våra instruktioner. Galleriet har personuppgiftsbiträden som hjälper oss med:

1.     Marknadsföring och information (tjänster för nyhetsbrev och utskick, medie- och webbbyråer, distribution)

2.     Transporter (logistik och leveransföretag)

3.     Bokning och service (för att hantera olika event, visningar och kurser)

4.     IT-tjänster (företag som hanterar nödvändig drift, teknisk support och underhåll av IT-lösningar)

När dina personuppgifter delas med personuppgiftsbiträden sker det endast för ändamål som är förenliga med de syften vi har samlat in informationen för (t.ex. för att kunna uppfylla åtagande enligt avtal). Vi har skriftliga avtal med alla personuppgiftsbiträden i vilka de garanterar säkerheten för de personuppgifter som behandlas och förbinder sig att följa våra säkerhetskrav och begränsningar och vad som föreskrivs i gällande dataskyddsförordningar.

Företag som är självständigt personuppgiftsansvariga

Galleriet delar även dina personuppgifter med vissa företag som är självständigt personuppgiftsansvariga. Att företaget är självständigt personuppgiftsansvarig innebär att det inte är vi som styr hur informationen som lämnas till företaget ska behandlas.

1.     Statliga myndigheter (polisen, skatteverket eller andra myndigheter) om vi är skyldiga att göra det enligt lag eller vid misstanke om brott.

2.     Företag som erbjuder betallösningar (kortinlösande företag, banker och andra betaltjänstleverantörer)

Var behandlar vi dina personuppgifter?

Vi strävar alltid efter att behandla dina personuppgifter inom EU/EES-området och alla våra egna IT-system samt de personuppgiftsbiträden vi anlitar finns inom EU/EES. Vid systemmässig support och underhåll kan dina uppgifter användas av någon av våra tjänsteleverantörer. Då säkerställer vi alltid att det finns dataskyddsavtal på plats så att mottagarna behandlar uppgifterna på samma sätt som vi gör

I de fall dina uppgifter skulle användas utanför EU, till exempel av någon av våra tjänsteleverantörer, säkerställer vi alltid att det finns skyddsåtgärder, t.ex. dataöverföringsavtal, på plats så att mottagarna behandlar uppgifterna på samma sätt som vi gör.

Vad har du för rättigheter?

Rätt till tillgång

Du har när som helst rätt att få veta vilka personuppgifter galleriet behandlar om dig genom ett s.k. registerutdrag.

Rätt till rättelse

Du kan begära att dina personuppgifter rättas ifall uppgifterna är felaktiga. Du har också rätt att komplettera eventuella ofullständiga personuppgifter.

Rätt till radering

Du kan begära radering av personuppgifter vi behandlar om dig ifall:

Uppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller behandlats.

Personuppgifterna behandlas på ett olagligt sätt.

Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse vi omfattas av.

Vi kan ha rätt att neka din begäran ifall det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Det är skyldigheter enligt bokförings- och skattelagstiftning, bank- och pennningtvättslagstiftning, men också från konsumenträttslagstiftning.

Det kan också hända att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk. Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi istället att blockera personuppgifterna från att kunna användas för andra syften än det syfte som hindrar den begärda raderingen.

Rätt till begränsning

Du har rätt att begära att vår behandling av dina personuppgifter begränsas. Om du bestrider att personuppgifterna vi behandlar är korrekta kan du begära en begränsad behandling under den tid vi behöver för att kontrollera huruvida personuppgifterna är korrekta.

Rätt till dataportabilitet

Om vår rätt att behandla dina personuppgifter grundar sig antingen på samtycke eller fullgörande av ett avtal har du rätt att begära att få de uppgifter som rör dig och som du har lämnat till oss överförda till en annan personuppgiftsansvarig (så kallad dataportabilitet). En förutsättning för dataportabilitet är att överföringen är teknisk möjlig och kan ske automatiserad.

Rätt till klagomål

Du har rätt att inge klagomål över vår hantering av dina personuppgifter till Datainspektionen som är tillsynsmyndighet i Sverige.

Hur hanterar vi personnummer?

Personnummer behandlar vi bara när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något annat beaktansvärt skäl. Annars använder vi bara år, månad och dag och utelämnar de fyra sista siffrorna.

Hur skyddas dina personuppgifter?

Vi använder IT-system för att skydda sekretessen, integriteten och tillgången till personuppgifter. Vi har vidtagit särskilda säkerhetsåtgärder för att skydda dina personuppgifter mot olovlig eller obehörig behandling (såsom olovlig tillgång, förlust, förstörelse eller skada). Endast de personer som faktiskt behöver behandla dina personuppgifter för att vi ska kunna uppfylla våra angivna ändamål har tillgång till dem.

Hur kontaktar du oss om dataskydd?

Har du frågor om hur vi använder dina personuppgifter eller vill ha annan information i dataskyddsfrågor är du välkommen att kontakta oss. Dataskyddsombud är museichef Patrik Steorn som nås på tele: 0709-797954, e-post: patrik.steorn@thielskagalleriet.se, adress: Sjötullsbacken 6-8, 115 25 Stockholm