INTEGRITETSPOLICY
Trossamfundet Svenska kyrkans verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medlemmar och allmänhet ska ha möjlighet att få insyn i verksamheten. De ska kunna känna sig trygga med att information som samlas in får ett tillräckligt skydd och att informationen hanteras på ett korrekt sätt.
Svenska kyrkan i Enköpings pastorat (i det följande ”pastoratet”) månar om din personliga integritet och eftersträvar en hög nivå av dataskydd. I vår integritetspolicy informerar vi om hur vi som personuppgiftsansvariga behandlar personuppgifter om de som på olika sätt kommer i kontakt med oss och som vi registrerar personuppgifter om.
Genom integritetspolicyn lämnar vi information enligt reglerna i EU:s dataskyddsförordning, som oftast förkortas GDPR, baserat på förordningens engelska namn; General Data Protection Regulation.
Informationen innehåller följande delar:
- Ändamål: Varför vi behandlar personuppgifter. Det kan handla om övergripande syften med verksamheter som pastoratets verksamhet, begravningsverksamhet, församlingarnas verksamhet som t.ex. grupper, bokföring eller administration.
- Laglig grund: Vi informerar också om vilken laglig grund vi stödjer oss på. Dessa är avtal (t.ex. anställningsavtal och våra stadgar, kyrkoordningen), samtycke, berättigat intresse (vi beskriver också hur vi har gjort en intresseavvägning), allmänt intresse eller rättslig förpliktelse.
- Mottagare och vilka vi lämnar uppgifter till, inklusive information om utlämnande av uppgifter till tredje land (utanför EU/EES) eller till internationella organisationer (sällan förekommande).
- Hur länge vi behåller uppgifterna och varför.
- Förekomst av automatiserade beslut och/eller profilering.
- Dina rättigheter
Om förändringar i vår integritetspolicy
Vi kan komma att löpande gör ändringar av integritetspolicyn. Senaste versionen
kommer alltid att ligga på vår webbplats www.svenskakyrkan.se/enkoping.
Definitioner
Det finns några begrepp som hela tiden återkommer i detta sammanhang och som särskilt används för att beskriva dataskydd enligt dataskyddsförordningen. För tydlighets skull förklarar vi dessa begrepp här, baserat på artikel 4 i
dataskyddsförordningen.
Personuppgift
Varje upplysning som avser en identifierbar fysisk person (i fortsättningen kallad ”den registrerade”), t.ex. ett namn, en adress, ett identifikationsnummer eller andra faktorer som är specifika för personens identitet.
Behandling
En åtgärd eller kombination av åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat (det vill säga med hjälp av dator, mobiltelefon, surfplatta eller liknande) eller inte. Exempel på behandling är insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, läsning, utlämning, överföring, spridning, justering, begränsning, radering eller förstöring.
Register
En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier och sökbar, oavsett om samlingen är centraliserad eller spridd på flera funktioner eller geografiska platser.
Personuppgiftsansvarig
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Grundläggande principer
För Enköpings pastorats personuppgiftsbehandling ska de grundläggande principer som anges nedan vara styrande. Vid varje övervägande och tolkning av principerna har vi både individens integritet och offentlighetsprincipen i fokus.
Laglighet, korrekthet och öppenhet
Alla personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Med laglig menas bland annat att det måste finnas en laglig grund för behandlingen, med korrekt menas dels att uppgifterna ska vara korrekta, dels att behandlingen ska ske på ett korrekt sätt och med öppet menas att den registrerade ska vara informerad om hur personuppgifterna behandlas.
Ändamålsbegränsning
Personuppgifter får bara behandlas om det finns tydligt beskrivna, dokumenterade och berättigade ändamål.
Uppgiftseliminering
Personuppgifter som behandlas ska vara relevanta och inte för omfattande i förhållande till det ändamål för vilket de behandlas.
Lagringsminimering
Personuppgifter ska inte sparas på ett sätt som möjliggör identifiering av den registrerade längre än vad som är nödvändigt för ändamålet med behandlingen.
Skydd för personuppgifter
Personuppgifter ska skyddas mot såväl obehörig som otillåten behandling som mot förlust, förstöring eller skada genom olyckshändelse.
Ansvarsskyldighet
Enköpings pastorat ska för alla behandlingar kunna påvisa att principerna för
behandling av personuppgifter följs.
Fakta om pastoratets ansvar för personuppgiftsbehandling
Enköpings pastorat leds av kyrkoherden och kyrkorådet, som också är ytterst
ansvarig för pastoratets personuppgiftsbehandling. Pastoratet är personuppgiftsansvarig för följande kategorier av behandlingar: i olika
kontakter och möten för att utföra arbetet i pastoratet och när pastoratet förvaltar sina egendomar och stiftelser. Vi behandlar också personuppgifter vid rekrytering av personal.
Hur vi behandlar personuppgifter i vår verksamhet
Den här texten beskriver på en övergripande nivå hur vi behandlar personuppgifter i olika verksamheter där pastoratet har ett personuppgiftsansvar. För att förtydliga det på detaljnivå finns det också ett antal processbeskrivningar i form av länkade PDFdokument där vi utgår från våra vanligaste processer. I en processbeskrivning kan du steg för steg läsa om vilka personuppgifter vi behandlar, vilket ändamål behandlingen avser samt vilken laglig grund respektive behandling baseras på.
Vilka personuppgifter
Enköpings pastorat behandlar personuppgifter i de kategorier som beskrivs i stycket ovan ”Fakta om pastoratets ansvar för personuppgiftsbehandling”. Vanligast är uppgifter om namn, kontaktuppgifter, uppgifter om medlemskap i Svenska kyrkan, anställning eller förtroendeuppdrag och grupptillhörighet. För de olika aktiviteter vi arrangerar kan vi också hämta in uppgifter om närmast anhörig och specialkost i de sammanhang där det serveras någon form av förtäring. I vissa fall kan även uppgift om sjukdomar och medicinsk behandling samlas in för att på ett ansvarsfullt sätt kunna genomföra en verksamhet.
Uppgifter som samlas in om någon annan än dig
Vid bokning av aktivitetet och vid kontakt i olika ärenden förekommer det att en
person lämnar personuppgifter om en eller flera andra personer. Vi ber dig att tänka på att i din kontakt med oss lämna så få uppgifter som möjligt om dig själv och andra och att du också informerar den person det gäller när du lämnar deras uppgifter. Vi kommer, som en del av det informationskrav som dataskyddsförordningen har på varje personuppgiftsansvarig, att informera personen i fråga om att vi har fått in uppgifter från dig senast inom en månad efter att vi har fått uppgifterna i de fall det inte finns ett medgivande eller uppgiften lämnats av vårdnadshavare.
För att kunna hålla dina personuppgifter uppdaterade och korrekta kompletterar och uppdaterar vi i vissa fall uppgifterna från Skatteverket och tillhörighetsregistret.
Ändamål och laglig grund
Alla behandlingar inom Enköpings pastorats verksamhet ska ha ett tydligt och
avgränsat ändamål och behandlas med stöd av en laglig grund. Enköpings pastorat arbetar utifrån processer där ändamål och laglig grund identifieras och utgör grund för beslut om vilka behandlingar av personuppgifter som får ske och vilket sätt det ska utföras.
Det kan förekomma att samma personuppgift behandlas med stöd av flera lagliga grunder i olika sammanhang. Det innebär att även om du skulle återkalla ett samtycke eller begära radering, så kan personuppgiften ändå finnas kvar hos oss för andra ändamål, om det t.ex. finns ett avtal eller en rättslig förpliktelse som grund.
Utlämnande av personuppgifter
Enköpings pastorat lämnar ut personuppgifter i enlighet med lagen om Svenska
kyrkan, kyrkoordningens bestämmelser om offentlighet och sekretess samt med
hänsyn till de begränsningar som dataskyddsförordningen sätter.
I de fall det är nödvändigt delar vi dina personuppgifter med företag eller organisationer som på ett eller annat sätt biträder oss i verksamheten. Dessa kallas för personuppgiftsbiträden. Ett personuppgiftsbiträde är ett företag som behandlar information för vår räkning och enligt våra instruktioner.
Vi har t.ex. personuppgiftsbiträden som hjälper oss med:
- IT-tjänster (företag som hanterar nödvändig drift, teknisk support och underhåll
av våra IT-lösningar).
- Betallösningar (kortinlösande företag, banker och andra
betaltjänstleverantörer).
När dina personuppgifter delas med personuppgiftsbiträden sker det endast för de ändamål vi har angivit. Vi kontrollerar alla personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier för säkerhet och sekretess för personuppgifter.
Vi har skriftliga avtal med alla personuppgiftsbiträden där de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra säkerhetskrav samt begränsningar och krav som gäller internationell överföring av personuppgifter.
Personuppgifter överförs normalt inte till tredje land utanför EU/EES (där dataskyddsförordningen inte gäller) eller till internationella organisationer. Skulle en sådan överföring behövas i enstaka fall, kommer vi att informera dig om detta.
Lagring av personuppgifter
Uppgifterna lagras i enlighet med regler om diarieföring och arkivering i allmän
lagstiftning, kyrkoordningen och i Svenska kyrkans bestämmelser. Svenska kyrkan har också en tradition av att bevara information som kan vara av ett historiskt intresse, som ett sätt att dokumentera verksamheten. För övrigt lagras personuppgifter inte längre än vad som är nödvändigt för att uppfylla ändamålet med behandlingen.
Samma personuppgift (t.ex. ditt namn) kan lagras på flera olika ställen för olika ändamål. Det kan innebära att en uppgift som har raderats ur ett system för att den inte längre är nödvändig kan finnas kvar i ett annat system eller register där den lagras för ett annat ändamål där personuppgiften fortfarande behövs.
Automatiserade beslut och profilering
Automatiserade beslut innebär att personuppgifter ligger till grund för vissa
automatiska beslut där ingen människa är involverad i beslutet. Den typen av
beslutsfattande används inte inom Enköpings pastorats verksamhet. Profilering är en automatisk behandling av personuppgifter som används för att bedöma vissa egenskaper hos en fysisk person t.ex. för att förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet etc. Profilering utförs inte av Enköpings pastorat.
För andra församlingars eller organisationers verksamhet
I vissa fall behandlar vi personuppgifter även för andra organisationer eller församlingar som inte ingår i pastoratets räkning som personuppgiftsbiträde. Där är det deras ansvar att informera, men vi kommer även ha information om de behandlingarna i våra processbeskrivningar.
Våra anställdas personuppgifter
I alla processer inom verksamheten behandlas våra anställdas personuppgifter (t.ex. namn, kontaktuppgifter, mejladresser, telefonnummer, titel, befattning) när de utför sina arbetsuppgifter, t.ex. när de svarar på en fråga eller kontaktar någon.
Olika ändamål med behandlingar beskrivs i varje process och gäller också för anställdas personuppgifter. Den lagliga grunden för behandling är avtal (anställningsavtalet) och ibland kan en rättslig förpliktelse tillkomma (den beskrivs då i respektive process). I enstaka fall är det ett samtycke som utgör laglig grund, t.ex. vid publicering av bilder där personalen förekommer som identifierbara personer.
Hantering av dokument och e-post
Hanteringen av e-post och dokument ingår i beskrivningen av verksamhetens
processer. För att göra bilden helt komplett redovisar vi också de principer vi har för hantering av personuppgifter i e-postmeddelanden och dokument:
- De bestämmelser om diarieföring och gallring som finns i kyrkoordningen och Svenska kyrkans bestämmelser (länk) är styrande för hanteringen.
- För dokument som inte är färdigställda eller annars inte omfattas av punkt 1 gäller följande: Pastoratet ska ha en tydlig dokumenthanteringsstruktur som innebär att flera versioner av dokumentet undviks (dokumentet ska sparas på ett sätt i en mapp).
- Om e-postmeddelanden ska diarieföras ska det sparas i pappersformat och
tillföras arkivet och i övrigt sparas i rätt mapp enligt punkt 2.
- När ett dokument/sparat meddelande inte längre behövs för det ändamål det sparats för ska det raderas. Om det finns behov att spara ett dokument som mall ska dokumentet rensas på alla personuppgifter innan mallen sparas.
- Det ska finnas en tydlig behörighetsstyrning både i diarieföringssystemet och i dokumenthanteringssystemet så enbart de personer som har rätt att få tillgång till personuppgifterna har tillgång.
Nationella system
Svenska kyrkan på nationell nivå har tagit fram flera nationella IT-system och stöd som vi använder i pastoratets verksamhet. I många av processerna ovan kan därför ett gemensamt personuppgiftsansvar föreligga eftersom vi inte helt kan bestämma över hur de systemen utformats.
Vårt ansvar som personuppgiftsansvariga är vilka urval vi gör ur systemen och de registreringar som vi tillför. I de delar registrering sker i enlighet med ett gemensamt regelverk föreligger enligt vår mening ett gemensamt personuppgiftsansvar. Detta styr också hur vi kan arbeta i våra processer. Närmare beskrivning finns i de processbeskrivningar där det är relevant.
Dina rättigheter
Om du tycker att vi har behandlat dina personuppgifter på ett felaktigt sätt eller att de behöver kompletteras, har du rätt att begära att vi rättar dem och om du inte vill att vi ska fortsätta behandla personuppgifter har du rätt att begära att vi ska radera dem. Vi kommer att rätta och radera personuppgifterna om det är möjligt i förhållande till vårt ändamål med behandlingen, de lagregler vi är skyldiga att följa och de avtal som vi ingått med dig som registrerad (till exempel anses kyrkoordningen, som motsvarar Svenska kyrkans stadgar, vara ett avtal mellan Svenska kyrkan och dess medlemmar).
Om du gett samtycke till behandling har du alltid rätt att återkalla samtycket och då kommer vi att radera personuppgifterna som omfattas av samtycket. Den behandling som har skett av uppgifterna innan samtycket återkallades är dock fortfarande giltig.
Du kan också invända mot behandling vi gör beträffande marknadsföring och om du har egna personliga skäl för att inte vilja få uppgifterna behandlande. Om du invänder kommer vi att pröva om vi ska radera dem. Självklart kommer vi alltid att radera personuppgifter om du inte längre önskar ta emot information från oss. Vi är också skyldiga att självmant radera i flera fall.
Om du är i en rättslig tvist och behöver dina personuppgifter som bevis kan du också begära att vi inte raderar dina uppgifter (kallas begränsning). Du har också rätt att begära begränsning när du ber oss rätta/radera uppgifter, vilket innebär att vi inte får använda uppgifterna under den tid vi undersöker om vi kan rätta/radera dem.
Slutligen har du rätt att få besked om vilka behandlingar vi gör om dig (kallas ibland registerutdrag). Ett sådant ska bl.a. innehålla beskrivning av ändamål och laglig grund med behandlingarna och vilka kategorier personuppgifter det berör. Sådan information har vi redan sammanställt på övergripande nivå, se ovan under Hur vi behandlar personuppgifter, vilket är ett enkelt sätt för dig att få information hur vi arbetar med personuppgifter.
Ett registerutdrag innebär att du ska få en överblick av de behandlingar så du förstår var dina personuppgifter eventuellt behandlas (du har dock inte en ovillkorlig rätt att ta del av handlingar där dina personuppgifter finns - den frågan får prövas enligt kyrkoordningens regler om offentlighet och sekretess). Observera också att vi inte kan lämna ut registerutdrag om detta kommer i konflikt med lagstadgade krav på tystnadsplikt (gäller bland annat vårt dataskyddsombud).
Säkerhet
Enköpings pastorat vidtar löpande åtgärder för att uppfylla principerna om ”inbyggt dataskydd och dataskydd som standard”. Vi utvärderar kontinuerligt riskerna med den personuppgiftsbehandling som sker och vidtar nödvändiga säkerhetsåtgärder för att minska riskerna.
Vi utbildar kontinuerligt vår personal i dataskyddsfrågor och vi har utsett dataskyddsombud.
Kontakta oss
Det är viktigt för oss att du känner förtroende för hur vi behandlar personuppgifter om dig. Har du frågor eller synpunkter kan du kontakta Britt-Marie Sundin, tfn 0171-257 38. Detsamma gäller om du vill utöva dina rättigheter (se ovan).
Du kan också kontakta vårt dataskyddsombud Teresia Nordenborg, tel. 0171-257 51. Dataskyddsombudet har tystnadsplikt och kan självständigt vidta åtgärder i syfte att verka för ett gott inbyggt dataskydd i pastoratet. Om du lämnar uppgifter till henne kommer hon att använda dem i det syftet och lagra dem för att kunna visa vilken grund det finns för hennes rekommendationer och åtgärder, eftersom detta är en viktig del i pastoratets inbyggda dataskydd. Uppgifter som inte behövs för detta ändamål kommer att gallras.
Kontakta Datainspektionen
Du har alltid rätt att kontakta Integritetsskyddsmyndigheten (IMY) (fd Datainspektionen) om du har synpunkter på vår behandling. Detta får du givetvis göra utan att kontakta oss först, men vi värdesätter förstås om du också berättar för oss vad du tycker, så att vi kan rätta till felaktigheter och ta med synpunkterna i vårt kontinuerliga förbättringsarbete.
Fastställd av kyrkorådet 2020-03-02