Svenska kyrkan har hanterat personuppgifter på ett ansvarsfullt sätt i flera hundra år och det kommer vi fortsätta att göra. Din personliga integritet är viktig för oss och därför vill vi informera om var dina personuppgifter hämtas ifrån, hur vi använder dem och vilka rättigheter du har.
Dataskyddsförordningen - GDPR
Den 25 maj 2018 trädde dataskyddsförordningen i kraft. Förordningen, vilken ersatte personuppgiftslagen (PuL), syftar till att stärka skyddet för individen vid behandling av personuppgifter.
Svenska kyrkan är Sveriges största medlemsorganisation och hanterar många personuppgifter. Det är viktigt både av lagliga och etiska skäl att Svenska kyrkan och Ludvika församlinganpassar sig till och följer de krav som förordningen ställer.
Integritetspolicy
Undrar du hur vi hanterar dina personuppgifter? Här kan du läsa vår integritetspolicy där vi berättar hur vi hanterar dem i alla former av verksamhet.
Ludvika församling värnar om människors personliga integritet. Genom vår verksamhet kommer vi i kontakt med många olika människor och situationer. Den som möter kyrkan har rätt att känna att församlingen värnar den enskildes integritet. Vår verksamhet följer de grundläggande principer som anges i dataskyddsförordningen, GDPR.
Här förklaras i huvuddrag hur församlingen hanterar personuppgifter. Här förklaras även de rättigheter som den registrerade har relaterat till GDPR.
Personuppgift
En personuppgift är all form av information som direkt och/eller indirekt kan kopplas till en enskild individ. Det kan exempelvis vara namn, personnummer, telefonnummer, e-postadress, foto och adress.
Att behandla en personuppgift är all form av hantering, manuell såväl som automatisk. Så fort någon använder en personuppgift för ett ändamål anses det vara att behandla personuppgift.
Personuppgiftsansvarig
I Ludvika församling är det kyrkorådet, som utgör församlingens styrelse, som har huvudansvaret för att GDPR efterlevs.
Omfattning och begränsning
Denna integritetspolicy omfattar i relevanta delar även anställda, förtroendevalda och ideella medarbetare. Det är församlingens ansvar att se till att de känner till policyn och att den efterlevs.
Även personuppgiftsbiträden, knutna till församlingen, omfattas av policyn. Ett personuppgiftsbiträde är en annan part som hanterar personuppgifter för någons räkning.
GDPR har inte tolkningsföreträde i alla situationer. Den är underordnad viss annan lagstiftning som då har företräde. För Svenska kyrkans del handlar det bland annat om Lagen om Svenska kyrkan (1998:1591) och Arkivlagen (1990:782) som bland annat reglerar frågor om offentlighet och sekretess samt bevarande av handlingar för allmänt intresse.
Förändringar i vår integritetspolicy
Uppdateringar av denna policy kan komma att ske successivt. Aktuell version finns på vår webbplats.
Så behandlar vi personuppgifter
För att församlingen ska kunna bedriva sin verksamhet och fullfölja sina åtaganden, är inhämtning och behandling av personuppgifter ofrånkomlig. Med det följer, enligt GDPR, ett ansvar mot den registrerade individen. Församlingens behandling av personuppgifter styrs av de principer som redovisas nedan.
Lagligt, korrekt och öppet
Alla personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. Med lagligt menas bland annat att det måste finnas en laglig grund för behandlingen. Med korrekt menas dels att uppgifterna ska vara korrekta, dels att behandlingen ska ske på ett korrekt sätt. Med öppet menas att den registrerade ska vara informerad om hur personuppgifterna behandlas.
Skydd för personuppgifter
Personuppgifter ska skyddas mot såväl obehörig och otillåten behandling som mot förlust, förstöring eller skada genom olyckshändelse. Församlingen ska kunna visa att principerna för behandling av personuppgifter efterlevs.
Hantering av personuppgifter via e-post ska så långt möjligt begränsas och i tillämpliga fall avpersonifieras. När ändamålet för det lagrade e-postmeddelandet är avslutat ska det raderas. E-postmeddelanden som behöver sparas en längre tid eller permanent ska diarieföras eller arkiveras enligt arkivlagen (1990:782).
Inhämtande och utlämnande av personuppgifter
För att kunna genomföra kyrkliga handlingar som dop, konfirmation, vigsel och begravning eller för den som vill delta i församlingens verksamhet som till exempel körer, samtalsgrupper med mera behöver församlingen hämta in och lagra personuppgifter. De mest förekommande typerna av personuppgifter är namn, personnummer och kontaktuppgifter.
I normalfallet lämnar individer självmant personuppgifter till församlingen men personuppgifter kan också, beroende på ändamål, inhämtas från offentliga register eller annan part. Vissa registerfunktioner uppdateras regelbundet mot exempelvis Skatteverket.
Församlingen ska lämna ut personuppgifter enligt lag om Svenska kyrkan och lag om offentlighet och sekretess, då med hänsyn tagen till de begränsningar som ryms inom GDPR.
Personuppgiftsbiträden
Ett personuppgiftsbiträde är någon som hanterar personuppgifter för församlingens räkning. Det kan till exempel vara någon som tillfälligt hanterar uppgifterna eller systemleverantörer som sköter de servrar som alla personuppgifter är lagrade på. Ett personuppgiftsbiträdesavtal upprättas med varje personuppgiftsbiträde som hanterar personuppgifter för vår räkning.
Uppgifts- och lagringsminimering
Personuppgifter som behandlas ska vara relevanta i förhållande till det ändamål för vilket de behandlas. Enbart de personuppgifter som behövs för det specifika ändamålet sparas på ett begränsat antal platser, för att säkerställa kontroll och effektivitet.
Uppgifterna hanteras i enlighet med den lagstiftning om diarieföring och arkivering som gäller för Svenska kyrkan, med kyrkoordningen och med Svenska kyrkans bestämmelser i övrigt. Personuppgifter överförs normalt inte till tredje land utanför EU/EES eller till internationella organisationer. Skulle en sådan överföring, i undantagsfall, aktualiseras ska den registrerade informeras om det.
Aktörer som är självständigt personuppgiftsansvariga
Vi är, enligt lag, skyldiga att dela personuppgifter med vissa aktörer, exempelvis Skatteverket. De är i sin tur självständigt personuppgiftsansvariga. Uppgifterna faller då under den självständigt personuppgiftsansvarigas integritetspolicy och deras personuppgiftshantering.
Den registrerades rättigheter
Den registrerade har rätt att få ett så kallat registerutdrag där de personuppgifter som församlingen har registrerade på individen redovisas. Om personuppgifter skulle visa sig vara felaktiga kan den registrerade begära rättelse liksom att komplettera eventuellt ofullständiga personuppgifter.
Rätt till radering
Den registrerade har också rätt att begära att få sina personuppgifter raderade. I vissa fall kan inte alla uppgifter raderas. Det kan röra personuppgifter som enligt lag ska sparas för att uppfylla gällande regelverk.
De förutsättningar som anges i denna policy är de mest aktuella/förekommande, för fullständig information hänvisas till Integritetsskyddsmyndighetens hemsida.
Förlust av tekniska arbetsredskap
Alla anställda, förtroendevalda eller ideella medarbetare som förlorar teknisk arbetsutrustning som mobiltelefon, dator eller läsplatta ska omgående rapportera förlusten till arbetsgivarens IT support, så att all information på enheten kan raderas. Församlingen är skyldigt att, inom 72 timmar, rapportera sådan incident till Integritetsskyddmyndigheten. Händelsen ska också rapporteras till dataskyddsombud.
Hantering
Ludvika församling strävar efter en trygg och säker personuppgiftsbehandling och arbetar för att vidta nödvändiga säkerhetsåtgärder för att minska eventuella risker. Anställda, förtroendevalda och ideella medarbetare får utbildning i dataskyddsfrågor.
Kontaktuppgifter församlingen
Vi värdesätter om du i första hand vänder dig till församlingen med eventuella frågor och synpunkter kring hur vi behandlar personuppgifter. Hör av dig till:
Per Wilhelmsson
Dataskyddsombud
Ludvika församling
Tel: 0240-66 90 43
per.wilhelmsson@svenskakyrkan.se
Integritetsskyddsmyndigheten
Givetvis kan du också kontakta Integritetsskyddsmyndigheten direkt om du har synpunkter på vår hantering.
Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
imy@imy.se
Här kan du läsa processkrivningarna av insamling och hantering av personuppgifter för olika verksamheter, samt avtal som rör dem.