PERSONUPPGIFT
Med personuppgifter avses all information som direkt eller indirekt kan hänföras till en nu levande fysisk person. Exempel på personuppgifter är namn, adress, personnummer, telefonnummer, e-post, bildmaterial (igenkänning) och uppgift om hälsa. När det går att koppla en uppgift till en viss person är det en personuppgift. Krypterade uppgifter och olika slags elektroniska identiteter (till exempel IP-nummer) är också personuppgifter om de kan kopplas till fysiska personer.
BEHANDLING AV PERSONUPPGIFTER
Församlingen samlar in, använder och behandlar personuppgifter om exempelvis medlemmar, deltagare i grupper i våra verksamheter, anställda och affärskontakter.
Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller inte. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.
PERSONUPPGIFTSANSVARIG
Hovsta pastorat, organisationsnummer 252004-9061, med adress Kyrkvägen 4B, 703 75 Örebro, är personuppgiftsansvarig för församlingens behandling av personuppgifter.
Hovsta pastorat ansvarar för samtliga uppgifter som lämnas i kontakt med oss vilket kan vara på hemsidan, via telefon, brev, e-post, direkt till någon anställd eller på annat sätt.
Som personuppgiftsansvarig har Hovsta pastorat ansvaret för att personuppgifter behandlas på ett säkert sätt och att GDPR, den allmänna dataskyddsförordningen inom EU, följs.
Församlingens främsta syfte med att behandla personuppgifter är för att vi ska kunna fullfölja våra åtaganden mot våra medlemmar men vi samlar även in uppgifter om de som inte är det men som vill bli kontaktad av oss av olika anledningar.
TILLÄMPLIGHET OCH OMFATTNING
Denna integritetsskyddspolicy riktar sig till samtliga anställda inom Axbergs och Glanshammars församling.
Kunder, leverantörer, ombud, företrädare och andra affärspartners till församlingen förväntas följa denna, eller en jämbördig policy, i den mån de behandlar personuppgifter å församlingens vägnar.
Policyn ska vara tillgänglig för församlingens anställda samt, på begäran i enlighet med tillämplig lag, för Integritetsskyddsmyndigheten, före detta Datainspektionen.
I den mån tillämplig lag fastställer ytterligare krav ska dessa tillämpas vid sidan av policyn.
SYFTET MED DENNA POLICY
Syftet med policyn är att säkerställa att församlingen uppfyller rättsliga krav och undviker oacceptabla rättsliga risker. Policyn förklarar hur församlingen behandlar personuppgifter.
POLICY
Församlingen ska följa tillämpliga lagar, regler och föreskrifter som styr integritet och dataskydd och bedriva verksamhet på ett sätt som respekterar integritet i förhållande till församlingens behandling av personuppgifter.
Vid församlingens behandling av personuppgifter gäller följande i dataskyddsförordningen fastställda principer:
- Laglighet, korrekthet och öppenhet:
Insamling, användning och övrig behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt gentemot den registrerade. Församlingen ska underlätta för den registrerade att utöva sina rättigheter i enlighet med gällande lag. Den registrerade ska få en klar och tydlig information om hur personuppgifterna kommer att användas av församlingen. - Ändamålsbegränsning:
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål eller för obestämda framtida behov. Församlingen ska se till att det finns rutiner för gallring eller avidentifiering av personuppgifter vars behandling inte längre är nödvändig för det ursprungliga ändamålet. - Endast behandling på laglig grund:
Personuppgifter ska endast behandlas om en laglig grund finns för behandlingen. - Lagringsminimering:
Personuppgifter får bara sparas så länge som det är nödvändigt utifrån ändamålet för behandlingen. När församlingen inte längre har behov av uppgifterna ska de raderas, begränsas eller avidentifieras så att de inte längre kan kopplas till den registrerade. - Känsliga personuppgifter:
Vissa personuppgifter anses extra känsliga och har därför ett starkare skydd i dataskyddsförordningen. Dit hör bland annat medlemskap i fackförening, hälsa, etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, sexualliv eller sexuell läggning samt uppgifter om lagöverträdelser. Huvudregeln är att det är förbjudet att behandla känsliga uppgifter men det finns undantag från förbudet, till exempel om en person uttryckligen samtyckt till behandlingen. Här ställs högre krav än bara samtycke. I dataskyddsförordningen framgår hur undantagen ska tolkas. Ett undantag är religiösa samfunds behandling för kärnverksamheten. Personnummer och samordningsnummer får endast behandlas om det är motiverat med hänsyn till ändamålet med behandlingen. Anställda i församlingen ska iaktta särskild aktsamhet med känsliga personuppgifter. - Information om behandling av personuppgifter:
Församlingen ska, i enlighet med tillämplig lag, tillhandahålla information till berörda personer om behandlingen av personuppgifter. - Åtkomst till personuppgifter:
Församlingen ska ge åtkomst till personuppgifter i enlighet med tillämplig lag. - Invändningar mot behandling:
Församlingen ska se till att den registrerade kan invända mot behandling som utförs på basis av ett allmänt eller berättigat intresse eller i direkt marknadsföringssyfte, och ska godta en sådan begäran när det är aktuellt. - Dataportabilitet:
Den registrerade har rätt att på begäran få ut sina personuppgifter för att överföra dem till en annan personuppgiftsansvarig. Den registrerade har bara denna rättighet när behandlingen grundar sig på samtycke eller avtal och behandlingen sker automatiskt. - Uppgiftsminimering och korrekthet:
Personuppgifter ska vara adekvata, relevanta och inte för omfattande för behandlingens ändamål, och ska uppdateras vid behov. Felaktiga uppgifter ska rättas eller kompletteras, antingen på församlingens eget initiativ eller på den registrerades begäran. - Anlitande av personuppgiftsbiträden:
Församlingen får anlita ett personuppgiftsbiträde som för församlingens räkning behandlar personuppgifter. Biträdet ska kunna garantera att personuppgiftsbehandlingen uppfyller kraven i denna policy samt de krav som följer av tillämplig lag. Ett särskilt biträdesavtal ska upprättas mellan partnerna med detaljerade krav på hur personuppgifterna får behandlas för att därmed kunna säkerställa att den registrerades rättigheter skyddas. - Personuppgifter utanför EU-EES:
Det finns restriktioner för överföring av personuppgifter till mottagare utanför EU/EES. Församlingen ska följa de restriktioner som ställs upp av tillämplig lag. - Integritet och konfidentialitet:
Personuppgifter ska behandlas på ett sätt som säkerställer en lämplig säkerhet för uppgifterna. Det måste finnas en tillräcklig nivå av skydd mot att uppgifterna utsätts för otillåten eller obehörig behandling, eller att de felaktigt raderas eller skadas. Församlingen ska vidta lämpliga tekniska organisatoriska åtgärder i förhållande till risken med behandlingar. - Inbyggd integritet och dataskydd som standard (Privacy by Design och Privacy by Default).
Församlingen ska säkerställa att system som köps in och utvecklas är integritetssäkrade. För att ett system ska anses ha ett tillräckligt bra integritetsskydd i förhållande till de uppgifter som behandlas ska de grundläggande principerna i dataskyddsförordningen vara inbyggda direkt i systemet på så sätt att användningen av systemet lever upp till dessa principer som standard.
ANSVAR OCH ÖVERTRÄDELSE
Samtliga anställda ska ha kännedom om policyn och följa den.
Anställda är skyldiga att rapportera misstänkta överträdelser av denna policy till församlingens dataskyddsombud.
Anställd som på något sätt bryter mot denna policy kommer att ställas till svars för den överträdelse som begåtts.
DELNING AV PERSONUPPGIFTER
Ibland behöver personuppgifter delas med andra företag och organisationer. Vissa av dessa är självständigt personuppgiftsansvariga. Att ett företag/organisation är självständigt personuppgifts-ansvarig innebär att det inte är Skarpnäcks församling som styr hur informationen som lämnas till företaget ska behandlas.
När personuppgifter delas med ett företag/organisation som är självständigt personansvarig gäller det företagets integritetsskyddspolicy och personuppgiftshantering.
Självständiga personuppgiftsansvariga som vi delar personuppgifter med kan vara till exempel:
- Övriga enheter inom Svenska kyrkan.
- Statliga myndigheter (polisen, skatteverket eller andra myndigheter) om vi är skyldiga att göra det enligt lag eller vid misstanke om brott.
- Företag som ombesörjer allmänna person- och varutransporter (transport- och logistikföretag).
- Företag som erbjuder researrangemang, hotell, konferenscenter, restauranger m.m.
- Företag som erbjuder betallösningar (kortinlösande företag, banker och andra betaltjänstleverantörer).
- Samarbetspartners och leverantörer med vilka personuppgiftsbiträdesavtal tecknats.
SÄKERHET
Församlingen har vidtagit särskilda säkerhetsåtgärder för att skydda personuppgifter mot olovlig eller obehörig behandling (såsom olovlig tillgång, förlust, förstörelse eller skada). Endast de personer som faktiskt behöver behandla personuppgifter för att vi ska kunna uppfylla våra angivna ändamål har tillgång till dem.
Hovsta pastorat är ansluten till en server som delas av flera församlingar och som använder ett system för att identifiera personuppgifter. Församlingens data är dock helt avgränsad från övriga församlingar.
LAGRING AV PERSONUPPGIFTER
Församlingen sparar aldrig personuppgifter längre än vad som är nödvändigt för respektive ändamål.
Församlingen kommer bara att behandla personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något annat beaktansvärt skäl. Vi minimerar alltid användandet av personnummer i så stor utsträckning som möjligt genom att, i de fall det är tillräckligt, istället använda födelsenummer.
COOKIES/KAKOR
Församlingen använder kakor (cookies) för att kunna se hur många som använder webbplatsen svenskakyrkan.se, vilka sidor som besöks och hur våra användare rör sig mellan sidorna. Alla som använder webbplatsen förblir alltid anonyma för oss.
I vissa fall använder vi kakor för att komma ihåg inställningar som görs när en person besöker svenskakyrkan.se, så att personen inte behöver göra om dem vid ditt nästa besök. Syftet är helt och hållet att förbättra och förenkla för användarna.
Läs mer på: www.svenskakyrkan.se/kakor
RÄTTIGHETER SOM REGISTRERAD
Rätt till tillgång (s.k. registerutdrag). Församlingen är alltid öppna och transparenta med hur vi behandlar personuppgifter och ifall du vill få en djupare insikt i vilka personuppgifter vi behandlar om just dig kan du begära att få tillgång till uppgifterna (information lämnas i form av ett registerutdrag med angivande av ändamål, kategorier av personuppgifter, kategorier av mottagare, lagringsperioder, information om varifrån informationen har samlats in och förekomsten av automatiserad beslutsfattande).
Ifall vi mottar en begäran om tillgång kan vi komma att fråga om ytterligare uppgifter för att säkerställa en effektiv hantering av begäran och att informationen lämnas till rätt person.
Rätt till rättelse. Registrerade personer kan begära att få sina personuppgifter rättade ifall uppgifterna är felaktiga. Inom ramen för det angivna ändamålet har de också rätt att komplettera eventuellt ofullständiga personuppgifter.
Tänk på att vi kan ha rätt att neka en begäran ifall det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning, men också från konsumenträttslagstiftning. Det kan också hända att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk. Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi istället att blockera personuppgifterna från att kunna användas till andra syften än det syfte som hindrar den begärda raderingen.
INCIDENTER
En personuppgiftsincident är en säkerhetsincident som leder till en oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om det bedöms sannolikt att en sådan incident medför en risk för fysiska personers rättigheter och friheter ska incidenten rapporteras till Integritets-myndigheten inom 72 timmar. Om det är sannolikt att incidenten medför en hög risk för fysiska personers rättigheter och friheter ska berörda personer informeras om incidenten utan onödigt dröjsmål.
INTEGRITETSSKYDDSMYNDIGHETEN ÄR TILLSYNSMYNDIGHET
Integritetsskyddsmyndigheten (öppnas i nytt webbförnster) är ansvarig för att övervaka tillämpningen av lagstiftningen. Den som anser att ett företag/organisation hanterar personuppgifter på ett felaktigt sätt kan lämna in ett klagomål till Integritetsmyndigheten.
KONTAKT I DATASKYDDSFRÅGOR
Hovsta pastorat tar dataskydd på stort allvar och har särskilda medarbetare på församlingsexpeditionen som hanterar just dessa ärenden. För frågor kontakta expeditionen, 019-20 93 00.