Dataskyddsombud
Lyssna

Integritetspolicy

I vår integritetspolicy informerar vi om hur Svenska kyrkan Hässelby behandlar personuppgifter.

Integritetspolicyn beskriver hur Svenska kyrkan Hässelby hanterar personuppgifter inom ramen för församlingens verksamhet i relation till de krav som ställs på skydd av enskilda personers integritet i enlighet med Dataskyddsförordningen inom EU.

Integritetspolicyn beskriver vilka personuppgifter som kan komma att behandlas och på vilken laglig grund det sker. Ändamålet för behandlingen av personuppgifter skall vara tydlig liksom den tid under vilken personuppgifter sparas. Varje person vars personuppgifter behandlas har rätt att få information om detta och kan begära ut uppgifterna samt begära att personuppgifterna tas bort i de fall där det inte finns ett lagstadgat krav om att Svenska kyrkan Hässelby måste fortsätta att behandla en personuppgift. Församlingen ansvarar för att skydda personuppgifter som behandlas mot otillbörlig spridning utanför församlingens verksamhet.

Församlingen samlar inte in några datakakor för egna ändamål på vår webbsida. Däremot kan detta göras av Trossamfundet Svenska kyrkan, som då är personuppgiftsansvarig för den hanteringen.

1. LAGLIG GRUND FÖR BEHANDLING AV PERSONUPPGIFTER
Församlingen får behandla personuppgifter endast om något av följande sex skäl kan anges som grund för behandlingen:
1. Personens samtycke för ett bestämt ändamål.
2. Ett avtal där personen är part.
3. En rättslig förpliktelse (bestämd av riksdag/regering/myndighet eller kollektivavtal).
4. Skydd av intressen som är av grundläggande betydelse för individen (medvetslös/vårdbehov).
5. Uppgift av allmänt intresse (bestämd av riksdag/regering/myndighet eller
kollektivavtal).
6. Uppgift som för Svenska kyrkan Hässelby är ett berättigat intresse för att sköta och genomföra församlingsverksamheten och väger tyngre än personens berättigade intresse av integritetsskydd. En person har rätt att begära att ett lämnat samtycke makuleras och att personuppgifter tas bort ur församlingens behandling.

2. PERSONUPPGIFTER SOM BEHANDLAS
Svenska kyrkan Hässelby kan komma att inhämta och spara personuppgifter för
verksamhetens behov. Endas nödvändiga uppgifter skall sparas. Uppgifter skall raderas så snart de inte längre behövs i verksamheten. Personuppgifter som kommer till församlingen utan att vi bett om dem skall så snart de är färdigbehandlade raderas.

Svenska kyrkan Hässelby inhämtar och sparar (under för ändamålet relevant tidsperiod) följande personuppgifter:
– Uppgifter kopplade till medlemskap i Svenska kyrkan samt till förändring av
medlemskap.
– Uppgifter kopplade till kyrkliga handlingar som dop, vigsel, konfirmation och
begravning.
– Uppgifter kopplade till gruppverksamhet med medlemslistor i till exempel körer och andra verksamhetsgrupper.
– Uppgifter om medverkande i program kopplade till kalendarium och annonsering för verksamheten.
– Uppgifter som kommer av personlig kontakt, mailkonversation och samtal.
– Uppgifter i samband med ansökan om medel ur fonder och diakonala bidrag.
– Uppgifter kopplade till anställning i församlingen.

Personuppgifter som Svenska kyrkan Hässelby kan komma att hantera är:
– Namn
– Personnummer
– Adress
– Telefonnummer
– E-postadress
– Familjerelationer och vårdnadshavare
– Uppgifter om dop, konfirmation, civilstånd
– Hälsouppgifter (vid till exempel gruppverksamhet som resor)
– Ekonomi

Svenska kyrkan Hässelby tar emot, inhämtar och delar personuppgifter när:
– De lämnas av personen själv.
– De lämnas av vårdnadshavare, närmast anhörig, eller annan tredje part för ändamål kopplat till församlingens verksamhet.
– De skickas till och från annan församling vid församlingsverksamhet inom Svenska kyrkan, Kyrkliga handlingar/förrättningar och flyttanmälan.
– Medlemsinformation uppdateras mot Skatteverkets folkbokföringsregister.
– Servicebyrån hanterar löneutbetalningar och hanterar anställningsfrågor.
– Servicebyrån hanterar betalning av fakturor och fakturering åt församlingen.

3. ÄNDAMÅL FÖR BEHANDLING AV PERSONUPPGIFTER
Svenska kyrkan Hässelby behandlar personuppgifter för att ge medlemmar i Svenska kyrkan relevant information om medlemskapet och om verksamheten. Utöver detta behandlar Svenska kyrkan Hässelby personuppgifter för ickemedlemmar i de fall där man är anmäld till en aktivitet eller en grupp som faller under församlingens verksamhet. Syftet är att ge relevant information om aktiviteten som man på något sätt har en anknytning till. Syftet kan även vara att garantera en deltagares säkerhet och hälsa i gruppverksamheten och för att få kontakt med viktiga anhöriga i händelse av tillbud. Syftet kan vara att informera om kommande evenemang samt att inbjuda till dessa evenemang. Syftet kan vara att samla in anonym/avidentifierad information om antal deltagare för att föra statistik över verksamheterna.

4. HUR LÄNGE LAGRAS INFORMATIONEN
Svenska kyrkan Hässelby sparar medlemsinformation så länge som medlemskapet i församlingen är aktivt samt under den tid som lagstadgade krav ställs på att församlingen skall spara personuppgifter. Annan personuppgiftsbehandling sparas endast så länge som den behövs för att genomföra verksamheten som personen är involverad i och raderas därefter.

5. HUR DELAS PERSONUPPGIFTER
Svenska kyrkan Hässelby lämnar inte ut personuppgifter annat än om det föreligger lagstadgade krav för detta. Personuppgifter skall skyddas på ett relevant sätt, så att de inte kommer till någon annan än den som har den berättigade grunden för behandlingen inom verksamheten. Vid byte av församling och vid uppdatering av medlemsinformation kan personuppgifter komma att delas mellan församlingar inom Svenska kyrkan samt Skatteverket.

6. KÄNSLIGA PERSONUPPGIFTER
Svenska kyrkan Hässelby kan komma att behandla känsliga personuppgifter i
verksamheten. Känslig personuppgift kan vara: religiös övertygelse, politisk övertygelse, facklig tillhörighet, etniskt ursprung, hälsa, medlemskap i en fackförening, sexuell läggning, genetisk (dna) eller biometrisk uppgift (fingeravtryck) som entydigt identifierar en person. När verksamhetens natur är sådan att dessa uppgifter är nödvändiga att behandla kommer det att ske med särskild uppmärksamhet.

Dataskyddslagen säger, precis som dataskydsförordningen, att det är tillåtet att behandla känsliga personuppgifter inom områdena arbetsrätt, social trygghet och socialt skydd. Dataskyddslagen förtydligar dock att den som behandlar känsliga personuppgifter bara får lämna ut dessa till en utomstående om det finns en uttrycklig skyldighet att göra det i en lag, i ett myndighetsbeslut eller på grund av ett avtal. Eller med ett uttryckligt samtycke.

För behandling av känslig personuppgift måste ett av följande vara uppfyllt:
– Uttryckligt samtycke för ändamålet.
– Inom arbetsrätt, social trygghet och socialt skydd – när det behövs för arbetet.
Exempelvis om arbetsgivaren ska betala ut sjuklön eller genomföra rehabilitering av en arbetstagare, om arbetsgivaren ska lämna vissa personuppgifter till
fackföreningar enligt diskrimineringslagen och liknande.
– I händelse av att personen inte kan samtycka och det gäller personens grundläggande intressen (t ex vid medvetslöshet).
– Icke vinstdrivande religiöst syfte inom ramen för berättigad verksamhet (medlemmar, tidigare medlemmar och personer som har regelbunden kontakt i verksamheten).
– Uppgifterna har tydligt offentliggjorts av personen.
– Rättsliga anspråk – exempelvis där ett försäkringsbolag behöver samla uppgifter om en persons sjukdom, för att kunna bedöma rätten till försäkringsersättning enligt ett försäkringsavtal.
– Allmänt intresse enligt svensk grundlag, exempelvis handlingar som Svenska kyrkan har kvar från sin tid som statskyrka och handlingar som uppkommer i den
verksamhet som Svenska kyrkan Hässelby utför, exempelvis begravningar,
kulturminnesvård och liknande.
– Förebyggande sjuk och hälsovård. Exempelvis bedömningen av en arbetstagares
arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller annan typ av vårdbehandling.
– Arkivändamål av allmänt intresse, vetenskaplig forskning, historisk forskning, statistik.

SVENSKA KYRKANS ARKIVHÅLLNING
Lagen om Svenska kyrkan innehåller, i 12 §, en bestämmelse som motsvarar arkivlagens (1990:782) bestämmelse om arkivbildning och dess syften. I förarbetena till lagen om Svenska kyrkan angav regeringen att det var en förutsättning för att rätten att ta del av kyrkans handlingar skulle ha något värde, att handlingarna var välordnat och säkert arkiverade. Vidare angavs att arkiveringen givetvis också skulle tillgodose behovet av information för rättsskipning och förvaltning samt forskningens behov. (se prop. 1997/98: 116, sid. 67) I specialmotiveringen till 12 § angavs att kyrkans arkiv därför
skulle behandlas på i princip samma sätt som myndighetsarkiv (prop. 1997/98:116, sid. 113).

7. PERSONUPPGIFTSBEHANDLING I SVENSKA KYRKAN HÄSSELBYS VERKSAMHET
När Svenska kyrkan Hässelby behandlar känsliga personuppgifter görs det främst på grund av ett icke vinstdrivande religiöst syfte, inom ramen för berättigad religiös verksamhet som är ett signum för Svenska kyrkans tro och uppdrag. Som medlem i Svenska kyrkan är man en del av en religiös organisation och när man deltar i verksamheten kan det uppfattas som en uppgift om religiös övertygelse. Dessa uppgifter är då ett berättigat intresse som utgör grund för behandlingen av personuppgifter. Medlemmarna i nomineringsgrupperna för församlingens styrelseuppdrag har själva offentliggjort sin politiska övertygelse och den uppgiften behandlas med grund i detta. Uppgifter om hälsa behandlas för att säkerställa den enskildes säkerhet som en förebyggande hälsovårdsåtgärd vid läger och servering av mat i gruppverksamhet. Personuppgifter om barn behandlas i församlingens verksamheter där barn är anmälda till verksamheten av sina vårdnadshavare. På en sådan anmälan till verksamheten grundar församlingen sitt berättigade intresse att behandla personuppgifterna om barn.

Personuppgifter som kan behandlas i verksamheten:

1. Vid kyrkliga handlingar; dop, vigsel, konfirmation, begravning samt vid bokningav dessa och ekonomihantering efter kyrkliga handlingar.
2. Vid gruppverksamhet som körer, studiegrupper, och verksamhetsgrupper för barn, exempelvis förskola.
3. Vid själavård och stödsamtal samt andra diakonala verksamheter.
4. Vid hjälp att söka medel ifrån externa fonder.
5. Vid användning av telefon.  
6. Vid mailkonversation (se text nedan, e-brev).
7. I nationella system (se text nedan, nationella system). 
8. I Servicebyråns verksamhet med fakturahantering, samt lönehantering för förtroendevalda och anställda.
9. Vid anställningsförhållande och till det anknutna personuppgiftsbehandlingar.
10. Vid hantering av inkomna ärenden.
10. Kommunikation och digitala möten.
11. Vid in- och utträden.
12. Styrning och ledning.

13. Ekonomihantering efter kyrkliga handlingar.

Dessa personuppgiftsbehandlingar i olika verksamheter skall kunna beskrivas utifrån dataskyddsförordningens kriterier för legitim behandling av personuppgifter.

Våra anställdas personuppgifter

I alla processer som beskrivs ovan behandlas våra anställdas personuppgifter (till exempel namn, kontaktuppgifter, e-postadresser, telefonnummer, titel och befattning) när de utför sina arbetsuppgifter, till exempel när de svarar på en fråga eller kontaktar någon. Olika ändamål med behandlingar beskrivs i varje process ovan och gäller då också för anställdas personuppgifter.

Den lagliga grunden för behandling av anställdas personuppgifter är avtal (anställningsavtalet) och berättigat intresse (både arbetsgivaren och den anställde förutsätts ha ett intresse av att för anställningen nödvändiga personuppgiftsbehandlingar genomförs och arbetsgivaren har också ett ansvar att leda och fördela arbetet). Ibland kan en rättslig förpliktelse tillkomma (den beskrivs då i respektive process).

E-brev och olika dokument

I de olika processerna hanteras e-brev och olika dokument i format som Word, Excel, Power Point och PDF. För sådan hantering gäller följande regelverk:

1. De bestämmelser om diarieföring och gallring som finns i kyrkoordningen och andra av Svenska kyrkans bestämmelser som SvKB 2019:1 iakttas av oss.

2. I övrigt har vi tagit fram interna regler om hur vi hanterar e-brev och dokument i vårt reglemente för IT- och telefonianvändning.

3. Om mejl behöver sparas ska de diarieföras i den utsträckning det krävs enligt kyrkoordningen och i övrigt sparas ner i rätt mapp enligt punkt 2.

4. När ett dokument/nedsparat mejl inte längre behövs för det ändamål det sparats för ska det gallras. Om det finns behov att spara visst dokument som mall ska dokumentet rensas på alla personuppgifter innan mallen sparas.

5. Det ska finnas en tydlig behörighetsstyrning både i diarieföringssystemet och i dokumenthanteringssystemet så enbart de personer som behöver få tillgång till personuppgifter har tillgång till dem.

6. Personuppgifter som kan avslöja känsliga personuppgifter får inte mejlas i ett okrypterat format. Vi ska också informera de som kontaktar oss om farorna med att mejla i ett okrypterat format och be dem överväga annat sätt att kommunicera.

Nationella IT-system

Svenska kyrkan på nationell nivå har tagit fram flera nationella IT-system och stöd som vi använder i församlingens verksamhet. I många av processerna ovan kan därför ett gemensamt personuppgiftsansvar föreligga med den juridiska personen trossamfundet Svenska kyrkan (Svenska kyrkan på nationell nivå), eftersom vi i församlingen  inte helt kan bestämma över hur de systemen utformats och används. Detta styr också hur vi kan arbeta i våra processer. Vi kan också få hjälp av Stockholms stift i hanteringen av våra IT-system.

Församlingen använder sig av Microsofts program i sitt arbete, vilket kan innebära viss risk för att personuppgifter överförs till USA av Microsoft. Detta kan inträffa om Microsoft får ett föreläggande från en amerikansk myndighet att lämna personuppgifter till dem. Avtalet om tjänsterna har ingåtts mellan nationell nivå och Microsoft. Enligt Microsofts hemsida används kommissionens godkända standardavtal i den relationen. Microsoft uppger även att man kommer att motsätta sig överlämnande av personuppgifter till amerikanska myndigheter och att man är beredd att försvara detta i amerikansk domstol. Församlingens bedömning är att församlingen inte behandlar några personuppgifter som kan vara av intresse för amerikanska myndigheter. Detta i kombination med Microsofts försäkringar innebär att det finns extremt liten risk att någon faktisk tredjelandsöverföring kommer att ske. Församlingen kommer dock att följa frågan noggrant.

För att utesluta att personuppgifter kan hamna i amerikanska myndigheters händer ska inga personuppgifter sparas i molntjänster eller mejl, om det kan antas att personuppgifterna kan vara intressanta för amerikanska myndigheter utan att först vara krypterade (krypteringsnyckeln får inte förvaras på sådant sätt att Microsoft kan få tag i den). Ett annat alternativ är att spara uppgifterna lokalt.

Datakakor
Församlingen samlar inte in några datakakor för egna ändamål på vår webbsida. Däremot kan detta göras av Trossamfundet Svenska kyrkan, som då är personuppgiftsansvarig för den hanteringen.

Andra samarbetspartners

Församlingen  samarbetar också med andra aktörer i många fall. I de situationerna har vi kommit överens om ”inbördes arrangemang” rörande personuppgiftsansvaret alternativt skrivit personuppgiftsbiträdesavtal. Inbördes arrangemang beskriver vi i de processer där de kan förekomma.

Dina rättigheter

Om du tycker att vi behandlat dina personuppgifter på ett felaktigt sätt eller att de behöver kompletteras har du rätt att begära att vi rättar dem. Om du inte vill att vi ska fortsätta behandla personuppgifter har du rätt att begära att vi ska radera dem. Vi kommer rätta och radera personuppgifterna om det är möjligt i förhållande till vårt ändamål med behandlingen, de lagregler vi är skyldiga att följa och de avtal som vi ingått med dig som registrerad. I det här sammanhanget kan det vara bra att känna till att kyrkoordningen, som är våra stadgar, i vissa delar anses vara ett avtal mellan oss och de som är medlemmar i Svenska kyrkan. Vi har också en skyldighet att registrera allmänna handlingar och diarieföra dem vilket kan påverka möjligheten till rättelse eller radering.

Om du gett ett samtycke till behandling har du alltid rätt att återkalla samtycket och då kommer vi att radera personuppgifterna som omfattas av samtycket.

Du kan också invända mot behandling vi gör beträffande profilering (vi beskriver i processerna om profilering kan förekomma) samt om du har egna personliga skäl för att inte vilja få uppgifterna behandlade. Om du invänder kommer vi om invändningen godtas även att pröva om vi ska radera dem. Självklart kommer vi alltid att radera kontaktuppgifter om du inte längre önskar ta emot information från oss. Vi är också skyldiga att självmant radera i flera fall (du kan i respektive process se vilka kriterier vi har för bevaring och gallring/radering).

Om du är i en rättslig tvist och behöver dina personuppgifter som bevis kan du också begära att vi inte raderar dina uppgifter (kallas begränsning eller frysning). Du har också rätt att begära begränsning när du ber oss rätta/radera uppgifter eller om du invänt mot en behandling, vilket innebär att vi inte får använder uppgifterna under den tid vi undersöker om vi kan göra det du begär.

Slutligen har du rätt att få besked om vilka behandlingar vi gör om dig (kallas ibland registerutdrag). Ett sådant ska bl.a. innehålla beskrivning av ändamål och laglig grund med behandlingarna och vilka kategorier personuppgifter det rör. Sådan information har vi redan sammanställt på övergripande nivå – se ovan under Hur vi behandlar personuppgifter – vilket är ett enkelt sätt för dig att få information om hur vi arbetar med personuppgifter. Ett registerutdrag innebär att du ska få en överblick över behandlingar så du förstår om och i så fall i vilket syfte dina personuppgifter behandlas (du har dock inte en ovillkorlig rätt att ta del av handlingar där dina personuppgifter finns – den frågan kan istället prövas enligt kyrkoordningens regler om offentlighet och förbud mot att röja uppgifter). Observera även att vi inte kan lämna ut registerutdrag om detta kommer i konflikt med krav på tystnadsplikt i lag och kollektivavtal (lagkrav finns bl.a. beträffande vårt dataskyddsombud men vi har också inskrivna krav om tystnadsplikt i kyrkoordningen och i våra kollektivavtal).

När du hört av dig till oss om en rättighet kommer vi att pröva frågan inom en månad. Därefter kommer du få besked om vi behöver ytterligare två månader för att pröva frågan alternativt få et besked om vi kan göra det du vill eller inte. Detta innebär att vi ska lämna svar senast inom tre månader.

Kontakta oss

Det är viktigt för oss att du känner förtroende för hur vi behandlar personuppgifter om dig!

Har du frågor eller synpunkter kan du kontakta ansvarig David Kindbom, T f Kyrkoherde på telefonnummer: 08-505 992 09 . Detsamma gäller om du vill utöva dina rättigheter (se ovan).

Du kan också kontakta vårt dataskyddsombud Torbjörn Dittmer på telefon:  070-873 01 95. Dataskyddsombudet har tystnadsplikt och kan självständigt vidta åtgärder i syfte att verka för ett gott inbyggt dataskydd i församlingen. Om du lämnar uppgifter till vårt dataskyddsombud kommer de att användas i det syfte du har med din kontakt. De kommer också ibland att lagras för att dataskyddsombudet skall kunna visa vilken grund det finns för rekommendationer och åtgärder, en viktig del i det inbyggda dataskyddet. Uppgifter som inte behövs för detta ändamål kommer att gallras.

Kontakta Datainspektionen

Du har alltid rätt att kontakta Datainspektionen om du har synpunkter på vår behandling (det kallas att lämna klagomål). Detta får du givetvis göra utan att kontakta oss först, men vi värdesätter förstås om du också berättar för oss vad du tycker så vi kan rätta till felaktigheter och ta med synpunkterna i vårt kontinuerliga förbättringsarbete.