Syftet med policyn är att säkerställa att pastoratet uppfyller rättsliga krav och undviker oacceptabla rättsliga risker. Policyn förklarar också hur församlingen behandlar personuppgifter.
Policy:
Pastoratet ska följa tillämpliga lagar, regler och föreskrifter som styr integritet och dataskydd och bedriva verksamhet på ett sätt som respekterar integritet i förhållande till pastoratets behandling av personuppgifter.
I Svenska Kyrkan i Östervåla och Harbo ska vi värna om den personliga integriteten och eftersträva en hög nivå av dataskydd för individen.
Detta är vår integritetspolicy där vi förklarar hur vi ska behandla personuppgifter i vår verksamhet.
Pastoratets främsta syfte med att behandla personuppgifter är för att vi ska kunna fullfölja våra åtaganden mot våra medlemmar, men vi samlar också in uppgifter om dem som inte är det men som vill bli kontaktade av oss av olika anledningar.
Vad är en personuppgift?
En personuppgift är all information som hör samman med en nu levande fysisk person.
Till exempel; namn, adress, personnummer, telefonnummer, e-postadress, bildmaterial med igenkänningsfaktorer och uppgifter om hälsa.
Vad är behandling av personuppgift?
Östervåla Harbo pastorat samlar in, registrerar och använder personuppgifter om exempelvis församlingens medlemmar, deltagare i våra verksamheter, anställda och affärskontakter.
Behandling är allt som sker med dessa personuppgifter. Varje sak vi gör med en personuppgift kallas för behandling. Till exempel; insamling, registrering, organisering, gallring, lagring, överföring och radering.
Det gäller våra deltagarlistor, utskick med information, kallelser, inbjudningar, hantering av dop, vigslar och begravningar, upphandlingar, avtal, faktureringar med mera.
Vem är ytterst ansvarig i pastoratet för behandling av personuppgifter?
Östervåla Harbo pastorats kyrkoråd är ytterst ansvarig för att regler kring personuppgiftsbehandling och integritetsskydd (GDPR) följs.
Detta gäller även samtliga uppgifter som lämnas i kontakt med oss vilket kan vara på hemsidan, via telefon, brev, e-post eller direkt till någon anställd eller på annat sätt.
Vilka personuppgifter behandlas av Östervåla Harbo pastorat och varför? När gallras de?
Namn, personnummer, adress, telefonnummer och e-postadresser till dem;
* som vill delta i någon av våra verksamheter. Alla som anmäler sig till exempelvis en kör samtycker till att vi behandlar deras personuppgifter för att underlätta kommunikation. Uppgifterna gallras (tas bort) när personen slutar i verksamheten.
* som bokar någon kyrklig handling (dop, konfirmation, vigsel, begravning) För att vi ska kunna fullfölja vår uppgift registrerar vi motpartens personuppgifter och vi har en rättslig förpliktelse att fullgöra när det handlar om myndighetsutövning kring vigsel, begravning och gravskötselavtal. Gravskötselavtal omfattas av avtal som laglig grund och även rättslig förpliktelse enligt lag (bokföringslagen). Begravningsverksamheten omfattas av myndighetsutövning och rättslig förpliktelse enligt lag (begravningslagen).Vi gallrar uppgifterna enligt SvKB 2019:1
* som är medlem och får barn, då vi sparar barnets namn och personnummer för inbjudan till dop. Tackar vårdnadshavare nej eller inte hör av sig raderas dessa uppgifter efter 4 månader.
* som bokar någon av våra lokaler för privat bruk, konferenser eller möten av olika slag. Vid bokning samtycker bokaren till att vi behandlar deras kunna fullfölja vår uppgift registrerar vi personuppgifter, Uppgifterna gallras när de blir inaktuella enligt lokalt tillämpningsbeslut om gallring av handlingar av tillfällig och ringa betydelse.
*som är anställda av pastoratet. I anställningskontraktet beskrivs avtalet mellan anställd och arbetsgivare. I vissa fall är de anställdas personuppgifter av allmänt intresse då de behöver vara tillgängliga för församlingsbor som söker kontakt, exempelvis präst, diakon. Uppgifterna gallras enligt SvKB 2019:1.
* som är förtroendevalda i pastoratet. Det är av allmänt intresse att de förtroendevalda är nåbara. Uppgifterna gallras när de är inaktuella.
* som är volontärer i pastoratet. Det tecknas ett avtal mellan volontär och pastorat liknande anställningsavtalet mellan anställd och arbetsgivare. I avtalet framgår bl.a. vilka rättigheter och skyldigheter parterna har. Uppgifterna gallras när de är inaktuella.
* som är medlemmar i SvK. Efter intresseavvägning behandlar vi våra medlemmars personuppgifter i kyrkobokföringen för att kunna bistå med exempelvis kyrkliga handlingar och informera om verksamheter passande för olika åldrar. Går man ur SvK raderas uppgifterna ur vårt system, men finns i viss omfattning arkiverade i enlighet med Svenska kyrkans bestämmelser om arkiv i kyrkoordningen
* som är företagare och innehavare av F-skattsedel eller liknande och som ingår någon form av avtal med pastoratet, tex gällande catering, fastighetsåtgärder eller vid bokning av artister och föredragshållare. Uppgifterna gallras när de är inaktuella.
* som är arbetssökande till tjänst i pastoratet. Anses som ett samtycke muntligt och/eller skriftligt att den sökande vill att vi behåller dennes uppgifterinför en eventuell anställning. Uppgifterna gallras enligt Svenska kyrkans bestämmelser för gallring 2017:2.
Östervåla Harbo pastorat delar inte personuppgifter med tredje part. Ingen överföring av uppgifter sker till land utanför EU/EES.
I lag om Svenska kyrkan (1998:1591) framgår att Svenska kyrkan ska tillgodose var och ens rätt att ta del av Svenska kyrkans handlingar. Vidare, att denna rätt endast får begränsas om det är särskilt motiverat med hänsyn till 1. Skyddet för enskildas personliga eller ekonomiska förhållanden 2. Svenska kyrkans ekonomiska intresse, eller 3. Något synnerligen väsentligt intresse. Detta innebär att pastoratet kan vara skyldigt att lämna ut handlingar som innehåller personuppgifter på begäran, en begäran om utlämnande av uppgifter kommer alltid att prövas mot gällande regelverk
Dina rättigheter:
Östervåla Harbo pastorat (organisationsnummer 252003-1994) och dess kyrkoråd är personuppgiftsansvarig för de personuppgifter vi har. Det innebär att vi ansvarar för att personuppgifter behandlas korrekt och enligt lag.
De personer vilkas personuppgifter vi hanterar har rätt att begära ut information om behandling av deras personuppgifter. Vi är även skyldiga att på begäran rätta uppgifter som är felaktiga, ofullständiga eller missvisande.
Östervåla Harbo pastorat ska tillhandahålla uppgifterna inom en månad från begäran. Uppgifterna skickas via post till folkbokföringsadressen.
Man kan närsomhelst återkalla sitt samtycke till att vara med i en deltagarlista och då raderas uppgifterna från den aktuella listan. Detta görs till expeditionen och under förutsättning att identiteten kan bevisas.
Om man anser att vår behandling av personuppgifter är olaglig eller inte sker på ett korrekt sätt har man rätt att inge ett klagomål till Datainspektionen.
Kontaktuppgifter till Östervåla Harbo pastorats kyrkorådsordförande samt till pastoratets dataskyddsombud finns uppdaterat i behandlingsregistret.
En mer utförlig integritetsskyddpolicy med rutinbeskrivning finns som riktar sig till anställda inom Östervåla Harbo pastorat. Den ska finnas tillgänglig för pastoratets anställda samt, på begäran i enlighet med tillämpad lag, för integritetsskyddsmyndigeten, före detta datainspektionen.
Kunder, leverantörer, ombud, företrädare och andra samarbetspartners till pastoratet förväntas följa denna eller jämbördig policy, i den mån de behandlar personuppgifter å pastoratets vägnar.
För mer information om Svenska Kyrkans arbete med integritetsskydd se www.svenskakyrkan.se/personuppgifter (from 24/5).
2 Rutinbeskrivning och intern personuppgiftspolicy Östervåla Harbo pastorat
De anställda i Östervåla Harbo pastorat hanterar personuppgifter på många sätt; i datorer, på papper och i telefonen.
Oftast i form av register med namn, adress och telefon. Ibland måste även uppgifter om hälsa ingå vid läger och resor.
Denna policy ska säkerställa att de anställda inom Östervåla Harbo pastorat har bra rutiner vad gäller behandling av personuppgifter.
För kanslist gäller att rätt hantera pastoratets behandlingsregister. För övriga anställda:
Minimera behandlingen
Den anställde ska minimera behandlingen av personuppgifter och inte spara eller samla på sig uppgifter i onödan eller spara uppgifter längre än nödvändigt. När personuppgiften inte längre behövs ska den gallras bort både ur datorn, telefonen och på papper.
Behörighet
De anställda har behörighet att använda de system som arbetsgivaren anger att de ska ha behörighet till.
De anställda ska endast använda Kyrksam för sina deltagarlistor. De anställda som har utbildning och behörighet till Kyrksam och kyrkobokföring ska bistå övriga kollegor.
Rutiner
Alla utskick ska gå genom Kyrksam.
Varje verksamhetsgrupp har en listansvarig som förvarar listan inlåst då den inte används.
Information och utbildning om våra policys ska ges till de anställda i samband med anställning och vid personalmöten så att kunskapen hålls aktuell.
Dataskyddsombudet ska informeras om vilka listor som finns i pappersform, digital form på G: och i hemkataloger samt vilka grupper som är skapade i Kyrksam.
Personuppgifter ska hanteras med varsamhet och de anställda ska aldrig spara uppgifter i onödan. För att upprätta deltagarlistor ska Kyrksam användas. Om listor behövs i pappersform ska de förvaras på ett säkert sätt och inte finnas tillgängliga för obehöriga. Uppgifter i telefonen ska också behandlas med försiktighet. När uppgifterna inte längre är aktuella ska den anställde gallra och ta bort uppgiften.
Vid varje terminsslut ska man gå igenom sina listor för att endast behålla de namn som fortfarande är aktuella. När det gäller uppgifter i telefonen ska dessa gås igenom en gång per år för eventuell gallring.
Personuppgiftsincident
Den nya dataskydds/integritetsskyddslagen kräver att vi har en beredskap om det inträffar en personuppgiftincident, alltså en säkerhetsincident.
En personuppgiftsincident innebär att personuppgifter sprids och kommer i orätta händer, eller att risk föreligger att så kan ske.
Exempelvis om en dator eller ett USB-minne stjäls eller försvinner, att papper med personuppgifter försvinner eller kommer i orätta händer, eller att någon röjer uppgifter som är sekretessbelagda.
En incident är också en avsiktlig eller oavsiktlig handling som leder till förstöring, förlust eller ändring av en personuppgift som överförts, lagrats eller på annat sätt behandlats.
För att undvika detta ska personalen och övriga medarbetare iaktta den försiktighet som krävs samt följa de av kyrkorådet fastställda rutinbeskrivningarna för personuppgiftsbehandling och personuppgiftsincidenter.
En riskbedömning ska alltid göras vid utlämnande av personuppgifter.
Om en incident skulle inträffa måste en utvärdering av riskerna ske och om risk finns för fysiska personers rättigheter och friheter ska de drabbade informeras.
Misstänker vi att incidenten kan få sådana större konsekvenser måste vi inom 72 timmar rapportera till Datainspektionen. Mindre incidenter ska diarieföras.
3 Vid pastoratets behandling av personuppgifter gäller följande enligt dataskyddsförordningen
* Laglighet, korrekthet och öppenhet
Insamling, användning och övrig behandling av personuppgifter ska ske lagligt och korrekt. Pastoratet ska underlätta för den enskilde att utöva sina rättigheter i enlighet med gällande lag. Den enskilde ska få klar och tydlig information om hur personuppgifterna kommer att användas av pastoratet.
* Ändamålsbegränsning
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som går emot dessa ändamål eller för obestämda framtida mål. Om man vill behandla personuppgifter för nytt ändamål måste ny laglig grund anges och ändamålet återigen beskrivas. Till exempel om man arkiverar uppgifter så utgör det ett nytt ändamål, laglig grund kan utgöras av regelverk om arkiv utifrån kyrkoordningen och ytterst Lag om Svenska kyrkan. Pastoratet ska tillse att rutiner för gallring och avidentifiering av personuppgifter som inte längre är aktuella finns och tillämpas.
* Endast behandling på laglig grund
Personuppgifter får endast behandlas om laglig grund finns för behandlingen.
Laglig grund är: samtycke - skriftligt eller muntligt, avtal, allmänt intresse, (Allmänt intresse/myndighetsutövning: tillämpbart på begravningsverksamheten och den del av vigseln som utgörs av myndighetsutövning (inte den kyrkliga handlingen), rättslig förpliktelse, skyddande av intressen av grundläggande betydelse samt vid en intresseavvägning där inte den enskildes integritet väger tyngre.
* Uppgifts- och lagringsminimering
Personuppgifter ska vara adekvata och inte för omfattande för behandlingens ändamål, och ska uppdateras vid behov.
Personuppgifter får bara sparas så länge som det är nödvändigt utifrån ändamålet för behandlingen. När pastoratet inte längre har behov av uppgifterna ska de raderas, begränsas eller avidentifieras.
* Känsliga personuppgifter
Vissa personuppgifter är extra känsliga och har därför ett starkare skydd. Det är bland annat medlemskap i fackförening, hälsa, sexualliv och sexuell läggning, etniskt ursprung, religiös eller filosofisk övertygelse, politisk övertygelse samt uppgifter om lagöverträdelser.
Huvudregeln är att det är förbjudet att behandla känsliga uppgifter men det finns undantag, till exempel om en person uttryckligen samtyckt till behandlingen. Här ställs högre krav än bara muntligt samtycke.
Ett undantag är religiösa samfunds behandling för kärnverksamheten.
* Information om behandling – och åtkomst till personuppgifter
Pastoratet ska ge åtkomst till personuppgifter i enlighet med lag samt tillse att den registrerade kan invända mot behandling som utförs på basis av ett allmänt eller specifikt intresse som reklam eller i syfte att rekrytera till olika verksamheter. Den registrerade har rätt till ett utdrag över de egna personuppgifterna och deras behandlingar. Den registrerade kan invända mot all behandling och hävda sin rätt att bli glömd, dock prövas detta mot annan lag och andra intressen.
* Dataportabilitet
Den registrerade har rätt att på begäran få ut sina personuppgifter för att överföra dem till en annan personuppgiftsansvarig. Man kan alltid hävda sin rätt att få flytta sina personuppgifter, en sådan begäran ska prövas och resultatet kan bli att det endast går om behandlingen grundar sig på samtycke eller avtal.
* Anlitande av personuppgiftsbiträden
Pastoratet får anlita ett personuppgiftsbiträde som för församlingens räkning behandlar personuppgifter.
Biträdet ska kunna garantera att personuppgiftsbehandlingen uppfyller kraven i denna policy samt de krav som tillämplig lag anger.
Ett särskilt biträdesavtal ska upprättas mellan parterna.
Exempel på personuppgiftsbiträden i vårt pastorat är E&F Ekonomi, Sensus och Telia.
* Inbyggd integritet och dataskydd som standard (privacy by design och privacy by default)
Pastoratet ska säkerställa att system som köps in är integritetssäkrade.
De grundläggande principerna i dataskyddsförordningen ska vara inbyggda direkt i systemet så att användningen i systemet direkt lever upp till dessa principer som standard.
* Ansvar och överträdelse
Samtliga anställda ska ha kännedom om policyn och följa den.
Anställda är skyldiga att rapportera misstänkta överträdelser och incidenter till pastoratets dataskyddsombud.
* Delning av personuppgifter
Ibland behöver personuppgifter delas med andra företag och organisationer. Vissa av dessa är självständigt personuppgiftsansvariga. Då är det inte Östervåla Harbo pastorat som styr hur informationen som lämnas ska behandlas, då gäller det mottagande företagets/organisationens integritetspolicy. Dessa är tex:
Övriga enheter inom SvK med vilka vi har ett gemensamt personuppgiftsansvar.
Statliga myndigheter (polis, skatteverket) om vi är skyldiga att göra det enligt lag eller vid misstanke om brott.
Företag som ombesörjer allmänna person- och varutransporter.
Företag som erbjuder researrangemang (hotell, konferenscenter mm).
Företag som erbjuder betalningslösningar.
Samarbetspartners och leverantörer med vilka personuppgiftsbiträdesavtal tecknats.
Cookies/Kakor
Pastoratet använder kakor för att kunna se hur många som använder Svk Östervåla Harbos webbplats. Alla som använder webbplatsen är anonyma för oss.
Läs mer på www.svenskakyrkan.se/kakor
Facebook
Pastoratet har en facebookgrupp med över hundra medlemmar. Där ser vi t.ex. hur många som tittat på ett inlägg, men inte vem. Viktigt att komma ihåg dock, Facebook loggar all aktivitet, om någon besöker pastoratets webbplats så lagras den informationen och algoritmen profilerar besökaren och kan således röja någons religiösa tillhörighet/sympatier. Lagringen sker på tredje parts servrar
(utanför EU).
Datainspektionen är tillsynsmyndighet
Datainspektionen är ansvarig för att övervaka tillämpningen av lagstiftningen.
Östervåla Harbo pastorat tar integritet och dataskydd på stort allvar och vi kommer att arbeta fortlöpande med integritetsskydd och datasäkerhet.
Antagen av kyrkorådet den 22 maj 2018.
Reviderad och antagen av kyrkorådet 24 jan 2021.