Södermöre pastorats policy och riktlinjer för behandling av personuppgifter inom ramen för begravningsverksamheten samt den serviceverksamhet som avser gravskötsel
1. Allmänt
1.1 Syfte och omfattning
Syftet med denna policy är att beskriva hur personuppgifter behandlas inom begravnings-verksamheten och vid tillhandahållandet av gravskötsel och begravningsgudstjänst för att säkerställa att behandling av personuppgifter sker i enlighet med GDPR och dataskyddslagen (2018:218).
Huvudman för begravningsverksamheten är församling och kyrklig samfällighet/pastorat inom Svenska kyrkan samt Stockholm och Tranås kommuner. Med begravningsverksamhet avses de olika åtgärder som har direkt samband med förvaltningen av allmänna begravningsplatser. En allmän begravningsplats kan även förvaltas av den som inte är huvudman.
Inom begravningsverksamheten används begreppet upplåtare. Med detta avses den som på en allmän begravningsplats upplåter gravplats med gravrätt.
I denna policy används begreppet församling. Detta begrepp omfattar häri den som förvaltar en allmän begravningsplats, den som är huvudman för begravningsverksamheten, den som upplåter gravrätt, och den som tillhandahåller gravskötsel och begravningsgudstjänst.
Församlingen behandlar inom ramen för sin verksamhet personuppgifter i syfte att kunna bedriva begravningsverksamhet i enlighet med begravningslagen (1990:1144) (”BL”) och begravningsförordningen (1990:1147) (”BF”). Begravningsverksamheten utgör myndighetsutövning.
Utanför myndighetsutövningen erbjuder församlingen vissa tjänster som har samband med begravningsverksamheten, t.ex. gravskötsel och begravningsgudstjänst. De personuppgifter som behandlas inom ramen för dessa verksamheter omfattas också av denna policy.
Policyn börjar gälla den 25 maj 2018.
1.2 Definitioner
BL avser begravningslag (1990:1144).
BF avser begravningsförordning (1990:1147).
Behandling avser alla former av åtgärder med personuppgifter, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddsförordningen och GDPR avser EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Förvaltningslagen avser förvaltningslag (1986:223) och från och med den 1 juli 2018, förvaltningslag (2017:900).
OSL avser offentlighets- och sekretesslag (2009:400).
Personuppgifter avser varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet. Med upplysning avses exempelvis namn, personnummer, adress, e-postadresser, kontonummer eller andra uppgifter som går att hänföra till en särskild fysisk person. Även id-kort och bilder som används för att identifiera en person anses som personuppgifter. Avgörande är om uppgiften enskilt eller i kombination med andra uppgifter kan knytas till en levande person.
Personuppgiftsansvarig avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Inom ramen för denna policy är församlingen personuppgiftsansvarig.
Personuppgiftsbiträde avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgiftsincident avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring av eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlas.
Pseudonymisering innebär behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Särskilda kategorier av personuppgifter avser behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
1.3 Tillämpningsområde
Denna policy gäller för behandling av personuppgifter avseende levande fysiska personer som sker som ett led i församlingens myndighetsutövning eller för att uppfylla en rättslig förpliktelse enligt lag.
Policyn gäller även för de personuppgifter som behandlas inom ramen för de tjänster som har samband med begravningsverksamheten, gravskötselavtal och tillhandahållande av begravningsgudstjänst. Personuppgifterna behandlas då som huvudregel med stöd av avtal.
Begravningsverksamhet utgör myndighetsutövning och handlingar som hanteras inom ramen för begravningsverksamheten utgör därför allmänna handlingar i enlighet med tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Församlingen har en skyldighet att lämna ut handlingar inom begravningsverksamheten enligt offentlighetsprincipen. Den behandling av personuppgifter som sker för att fullgöra skyldigheten att lämna ut allmänna handlingar är tillåten. Motsvarande gäller för handlingar som lämnas ut med stöd av 11 § lagen om Svenska kyrkan (1998:1591).
Församlingen har även skyldighet att arkivera vissa handlingar. Behandling av personuppgifter är därför också tillåten när den sker för arkivändamål i enlighet med arkivlagen (1990:782) och kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6).
1.4 Församlingens uppgifter inom ramen för begravningsverksamheten
1.4.1 Allmänt
Församlingens skyldigheter inom ramen för begravningsverksamheten framgår huvudsakligen av BL och BF.
I avsnitten nedan beskrivs vilka personuppgifter som behandlas inom ramen för denna policys tillämpningsområde. I bilagorna till respektive avsnitt nedan beskrivs även vilka personuppgifter som behandlas av församlingen i och i samband med begravningsverksamheten. Bifogade registerförteckningar uppfyller församlingens skyldighet enligt artikel 30 dataskyddsförordningen att föra register, se avsnitt 4.3 i denna policy.
Registrerade personuppgifter behandlas inte för andra ändamål än för vilka de har samlats in. För det fall enskilda begär ut allmänna handlingar där personuppgifter behandlas har församlingen en laglig skyldighet att lämna ut handlingar i enlighet med offentlighetsprincipen i OSL eller lagen om Svenska kyrkan, om inte sekretess föreligger.
1.4.2 Hantera gravrätt
Församlingen behandlar personuppgifter när församlingen enligt 2 kap. 5 § BL för gravbok. Gravboken ska enligt 5 § BF innehålla namn, personnummer och adress på den eller dem som gravplatsen har upplåtits, överlåtits eller gått över till. En gravrätt får endast gå över till någon som har släktskap eller på annat sätt har nära anknytning till gravrättsinnehavaren eller den som är gravsatt på gravplatsen varför information om sådant släktskap eller anknytning i vissa fall är nödvändig för att kunna föra gravboken, se 7 kap. 14 § BL.
Församlingens hantering av gravrätt omfattar behandling av gravrätten från början till slut, t.ex. anmälan av gravrättsinnehavare, utfärdande av gravbrev och överlåtelse och förnyelse av gravrätt. All behandling av personuppgifter som sker för att hantera gravrätt sker för att uppfylla rättsliga förpliktelser enligt lag och/eller som ett led i myndighetsutövning.
Vid förandet av gravbok tillämpas följande tillvägagångssätt:
Församlingen tillhandahålls personnummer, namn och andra kontaktuppgifter i en blankett från den registrerade.
a) Uppgifterna skrivs in i IT-leverantören:s system och kontrolleras därefter via Kyrkokansliet mot K-Bok och/eller KyrkSpar eller andra tillgängliga källor såsom hitta.se, eniro.se och ratsit.se.
b) Telefonnummer och e-postadress till de registrerade läggs in manuellt i systemet av församlingen.
c) Församlingen använder Kyrkokansliets K-Bok och/eller KyrkSpar eller andra tillgängliga källor såsom hitta.se, eniro.se och ratsit.se för att manuellt uppdatera uppgifterna.
I bilaga 1.4.2 beskrivs vilka personuppgifter som behandlas av församlingen inom ramen för hantering av gravrätten.
1.4.3 Verkställa gravsättning
För att kunna verkställa gravsättning behandlas personuppgifter i syfte att identifiera den som ordnar med gravsättningen. Vem som får ordna med gravsättning regleras inte i BL. Många gånger är det emellertid anhöriga som ordnar med gravsättningen. Om ingen annan ordnar med gravsättningen ska den ombesörjas av kommunen.
Vid beställning av begravning lämnas en blankett till församlingen.
Om en kvinna begär gravsättning enligt 2 kap. 3 § andra stycket BL av ett dödfött foster som avlidit före utgången av tjugoandra havandeskapsveckan ska läkarintyg utfärdas. Läkarintyget ska lämnas till församlingen för att denne ska vara skyldig att bereda fostret gravplats.
I bilaga 1.4.3 beskrivs vilka personuppgifter som behandlas av församlingen inom ramen för verkställande av gravsättning.
1.4.4 Verkställa kremering
Södermöre pastorat har avtal med Kalmar kyrkogårdsförvaltning för verkställande av kremering.
1.4.5 Utlämnande av aska
Enskilda har enligt 5 kap. 14 § BL i vissa fall rätt att hämta ut aska. Aska får bara lämnas ut om det finns betryggande säkerhet att den kommer hanteras på ett respektfullt sätt, se 5 kap. 15 § BL. Aska får endast lämnas till (i) den som ska föra över askan till en begravningsplats som inte är belägen vid krematoriet, (ii) den som ska gravsätta askan på någon annan plats än en begravningsplats, eller (iii) till den som ska föra ut askan ur Sverige. Församlingen efterfrågar att den som begär ut aska visar sin legitimation och visar att förutsättningarna för att hämta ut askan är uppfyllda. Askan lämnas ut av krematoriet till den församling där gravsättning ska ske eller där den avlidne var folkbokförd för förvaring. Utlämnande av aska till enskild kan sedan ske av denna församling.
Den som ordnat med transporten av aska som ska föras ut ur Sverige är enligt 45 § första stycket BF skyldig på det utdrag ur kremationsjournalen som enligt 44 § BF ska inhämtas före utförseln, intyga att askan har förts ut.
I bilaga 1.4.5 beskrivs vilka personuppgifter som behandlas av församlingen i syfte att lämna ut aska.
1.4.6 Medla
Församlingen har till uppgift att medla mellan enskilda när de inte kan enas om kremering eller om gravsättning, se 5 kap 3 § BL. I syfte att få kännedom om parterna som är oeniga samt för att genomföra medling behandlar församlingen personuppgifter.
Om parterna enas, ska församlingen fastställa deras överenskommelse. Om enighet inte kan uppnås, ska församlingen istället med eget yttrande hänskjuta tvisten till länsstyrelsen. Länsstyrelsen prövar vem som ska bestämma om kremering eller gravsättning.
Länsstyrelsen ska i sin prövning särskilt beakta önskemål som den avlidne kan ha haft. Hänsyn ska också tas till parternas personliga förhållande till den avlidne, främst sammanlevnad, släktskap eller annan nära anknytning. Vid medling försöker församlingen därför utreda dessa förhållanden och parterna ges möjlighet att framföra sina ståndpunkter med anledning av detta. Församlingen har en skyldighet att diarieföra de handlingar som inkommer i ärendet. För det fall upplysningar lämnas muntligen ska de antecknas i enlighet med förvaltningslagen. Så kallade särskilda kategorier av personuppgifter kan förekomma vid personuppgiftsbehandlingen.
Församlingen är också skyldig att skicka meddelande till Skatteverket om tvist föreligger rörande kremering eller gravsättning. Om intyg om kremering eller gravsättning redan utfärdats när tvist uppstått ska uppgifter även skickas till förvaltare av begravningsplatser och innehavare av krematorier, se 24–26 §§ BF.
I bilaga 1.4.6 beskrivs vilka personuppgifter som behandlas av församlingen inom ramen för medling.
1.4.7 Förvalta allmänna begravningsgravplatser
Församlingen är skyldig att hålla begravningsplatsen i ordnat och värdigt skick, se 2 kap. 12 § BL. När en gravrättsinnehavare innehar en gravrätt är han eller hon skyldig att hålla gravplatsen i ordnat och värdigt skick, se 7 kap. 3 § BL.
Gravrättsinnehavaren får förse gravplatsen med en gravanordning så som gravvård, stenram eller liknande. Innan en gravanordning sätts upp ska församlingen pröva om den kan tillåtas, se 7 kap. 27 § BL.
Om en gravrättsinnehavare har försett sin gravplats med en gravanordning i strid med församlingens beslut, har länsstyrelsen möjlighet att förelägga gravrättsinnehavaren att föra bort gravanordningen, se 11 kap. 4-5 §§ BL.
Församlingen har enligt 7 kap. 30-31 §§ BL rätt att vidta ändringar på en gravplats som är upplåten med gravrätt. Församlingen kommunicerar ändringarna med gravrättsinnehavaren.
Om gravrättsinnehavaren inte sköter gravplatsen kan gravrätten förklaras förverkad, se 7 kap. 33 § BL.
Att förvalta allmänna begravningsplatser innefattar även kommunikation med gravrättsinnehavaren gällde stensäkerhet, vård av gravplats och allmän information om begravningsplatsen.
I bilaga 1.4.7 beskrivs vilka personuppgifter som behandlas av församlingen inom ramen för förvaltning av allmänna gravplatser.
1.4.8 Flyttning av gravsatt stoft eller aska
Stoft eller aska som har gravsatts på en begravningsplats får inte flyttas från en gravplats om inte särskilt tillstånd ges. Tillstånd får endast ges om det finns särskilda skäl för flyttning av gravsatt stoft eller aska, se 6 kap. 1 § BL. Frågor om tillstånd att flytta stoft eller aska ska prövas av församlingen, se 6 kap. 2 § BL.
I bilaga 1.4.8 beskrivs vilka personuppgifter som behandlas av församlingen inom ramen för flyttning av gravsatt stoft eller aska.
1.4.9 Hantera begravningsombud
När en församling är huvudman för begravningsverksamheten ska länsstyrelsen förordna ett eller flera begravningsombud att granska hur huvudmannen tar till vara personer som inte tillhör Svenska kyrkans intressen, se 10 kap. 2 § BL. Begravningsombudet ska få tillgång till samtliga handlingar som avser begravningsverksamheten och begravningsombudet har rätt att närvara, ställa frågor och göra påpekanden vid sammanträden i församlingen, när frågor om begravningsverksamheten behandlas, se 10 kap. 2 och 3 §§ BL. Begravningsombudet har enligt 10 kap. 7 § BL rätt till skälig ersättning för sitt arbete och sina utlägg. Ersättningen betalas av församlingen. I syfte att fullgöra sina skyldigheter enligt BL behandlar församlingen begravningsombudets personuppgifter.
I bilaga 1.4.9 beskrivs vilka personuppgifter som behandlas om begravningsombudet av församlingen.
1.5 Gravskötselavtal
När församlingen erbjuder tjänster i form av gravskötsel sker det inom ramen för ett avtalsförhållande mellan gravrättsinnehavaren/annan intressent och församlingen eller dödsboet och församlingen. Detta utgör inte en del av begravningsverksamheten och utgör inte myndighetsutövning.
I bilaga 1.5 beskrivs vilka personuppgifter som behandlas inom ramen för gravskötselavtal.
1.6 Begravningsgudstjänst
Församlingen är skyldig att hålla begravningsgudstjänst om en person är medlem i Svenska kyrkan vid sin död och även i andra fall hålla begravningsgudstjänst om särskilda skäl föreligger enligt kyrkoordningen. Detta utgör inte en del av begravningsverksamheten och utgör inte myndighetsutövning.
I bilaga 1.6 beskrivs vilka personuppgifter som behandlas vid begravningsgudstjänst.
1.7 Registrering och arkivering av handlingar
Församlingen ska registrera eller ordna handlingar som har kommit in eller upprättats hos församlingen enligt OSL. Dessa handlingar benämns allmänna handlingar. Regler om de arkiv som bildas finns i arkivlagen, arkivförordningen (1991:446) och i föreskrifter som Riksarkivet har meddelat med stöd av arkivförordningen. Hur allmänna handlingar ska hanteras och gallras inom begravningsverksamheten framgår av kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6).
Andra handlingar i Svenska kyrkans verksamhet som har kommit in eller har upprättats definieras som Svenska kyrkans handlingar. Enligt 11 § lagen om svenska kyrkan är utgångspunkten att även handlingar utanför begravningsverksamheten ska vara offentliga. Handlingarna ska därför registreras eller hållas ordnade och arkiverade i enlighet med, lagen om Svenska kyrkan, kyrkoordningens bestämmelser och kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6).
Personuppgifter som behandlas i begravningsverksamheten ska hanteras och gallras alternativt bevaras enligt RA-MS 2001:8. Bevis och tillstånd för utströende av aska, identitetsbevis för askurnor, beställning av begravning, intyg om gravsättning, planteringsbeställningar och skötselböcker gallras efter tre år. Askkvitton, kremationsmeddelanden, tekniska rapporter, ansökningar om att flytta gravsatt stoft eller aska jämte resolutioner, gravsättningsregister i kronologisk ordning och handlingar gällande gravanordningar gallras efter 10 år. Gravfondsbrev (gravskötsel) gallras 7 år efter avtalets upphörande. Med beaktande av bl.a. 7 kap. 12 § BL beträffande återupptagande av gravrätt är gallringsföreskrifterna avseende register över gravsatta, register över gravrättsinnehavare och kopior av gravbrev, inte möjliga att tillämpa. Dessa handlingar bevaras därför. För övriga handlingar i begravningsverksamheten saknas gallringsföreskrifter. Dessa handlingar bevaras därför.
2. Principer för behandling av personuppgifter
2.1 Principer för behandling av personuppgifter
Alla personuppgifter som behandlas inom begravningsverksamheten behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Alla personuppgifter samlas endast in för de särskilda, uttryckligt angivna och berättigade ändamål som anges i denna policy (dvs. att församlingen behandlar personuppgifter i syfte att fullgöra sina skyldigheter enligt BL och BF samt såvitt avser gravskötsel och begravningsgudstjänst genom ett avtal med den registrerade) och behandlas inte senare på ett sätt som är oförenligt med dessa ändamål.
Alla personuppgifter är adekvata, relevanta och inte för omfattande i förhållande till de ändamål (se punkten 2 ovan) för vilka de behandlas.
Alla personuppgifter är korrekta och uppdaterade. Alla rimliga åtgärder vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål när så är möjligt, enligt denna policy.
Personuppgifter förvaras inte i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifterna lagras under längre tid i vissa fall för arkiveringsändamål i enlighet med arkivlagen och kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6).
Alla personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna vilket inbegriper skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Behandlingen sker med användning av lämpliga tekniska och organisatoriska åtgärder som säkerställts bl.a. genom anlitande av personuppgiftsbiträden som har vidtagit lämpliga åtgärder.
2.2 Behandling av särskilda kategorier av personuppgifter
Behandling av så kallade särskilda kategorier av personuppgifter som avslöjar exempelvis ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning är som huvudregel otillåten. Sådan behandling kan emellertid ske för att den registrerade ska kunna fastställa, göra gällande eller försvara rättsliga anspråk (se 9.2 f) GDPR), på grund av ett viktigt allmän intresse (se 9.2 g) GDPR) och på grund av arkivändamål av allmänt intresse (se 9.2 j) GDPR).
2.3 Behandling av personnummer
Uppgifter om personnummer eller samordningsnummer behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen eller på grund av vikten med en säker identifiering eller annat beaktansvärt skäl. Församlingen efterfrågar därför endast personnummer när det uttryckligen framgår av de blanketter som tillhandahålls.
3. Den registrerades rättigheter
3.1 Information när personuppgifterna samlas in från den registrerade
När personuppgifter som rör en registrerad person samlas in från densamma lämnar församlingen information enligt bilaga 1. Informationen lämnas första gången församlingen behandlar personuppgifterna och behöver inte lämnas på nytt om inte informationen uppdateras. Den information som lämnas är följande:
a) Identitet och kontaktuppgifter till församlingen.
b) Kontaktuppgifter till dataskyddsombudet.
c) Ändamålen och den rättsliga grunden för behandlingen.
d) De kategorier av personuppgifter som behandlingen gäller.
e) Mottagarna eller de kategorier av mottagare som ska eller kan komma att ta del av personuppgifterna med beaktande av att fysiska personer och juridiska personer som begär ut allmänna handlingar av församlingen kan komma att få del av personuppgifter med stöd av offentlighetsprincipen (OSL och lagen om Svenska kyrkan) och att församlingen inte får efterfråga deras identitet.
f) Att församlingen arkiverar handlingar i enlighet med arkivlagen och kyrkostyrelsens beslut om närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6) och hur länge en sådan arkivering sker eller för det fall handlingarna inte anges i beslutet, hur länge behandling sker.
g) Att det föreligger en rätt att av församlingen att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling i enlighet med denna policy.
h) Rätten att inge klagomål till Integritetsskyddsmyndigheten.
i) Om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal och om den registrerade är skyldig att tillhandahålla personuppgifterna samt de möjliga följderna av att sådana uppgifter inte lämnas.
Huvudregeln är att informationen tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
3.2 Information när personuppgifterna inte samlas in från den registrerade
När personuppgifter som rör en registrerad inte samlas in från densamma lämnar församlingen information enligt bilaga 1.
Församlingen ska lämna informationen inom en rimlig period efter det att personuppgifterna har tagits emot, dock senast inom en månad. Om personuppgifterna ska användas för kommunikation med den registrerade ska informationen lämnas senast vid den första kommunikationen med den registrerade. Om personuppgifterna kommer att lämnas ut till en annan mottagare ska information ges till den registrerade senast när personuppgifterna lämnas ut första gången till andra mottagare.
Informationen till de registrerade innehåller följande information:
a) Identitet och kontaktuppgifter till församlingen.
b) Kontaktuppgifter till dataskyddsombudet.
c) Ändamålen och den rättsliga grunden för behandlingen.
d) De kategorier av personuppgifter som behandlingen gäller.
e) Mottagarna eller de kategorier av mottagare som ska eller kan komma att ta del av personuppgifterna med beaktande av att fysiska personer och juridiska personer som begär ut allmänna handlingar av församlingen kan komma att få del av personuppgifter med stöd av offentlighetsprincipen (OSL och lagen om Svenska kyrkan) och att församlingen inte får efterfråga deras identitet.
f) Att församlingen arkiverar handlingar i enlighet med arkivlagen och kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6) och hur länge en sådan arkivering sker eller för det fall handlingarna inte anges i beslutet, hur länge behandling sker.
g) Att det föreligger en rätt att av församlingen att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling i enlighet med denna policy.
h) Rätten att inge klagomål till Integritetsskyddsmyndigheten.
i) Varifrån personuppgifterna kommer (till exempel när information hämtas in från gravrättsinnehavaren eller folkbokföringen genom kyrkokansliet).
Huvudregeln är att informationen tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
Vad som föreskrivs i detta avsnitt ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt EU-rätten eller svensk rätt.
3.3 Rätt till rättelse
Församlingen rättar utan dröjsmål felaktiga personuppgifter. Ofullständiga personuppgifter kan kompletteras av den registrerade, så länge församlingen anser att personuppgifterna behövs för ändamålet med behandlingen.
Huvudregeln är att åtgärden tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
3.4 Rätt till radering
En registrerad har rätt att få personuppgifter som behandlas raderade utan onödigt dröjsmål. Församlingen raderar utan dröjsmål personuppgifter om något av följande gäller:
a) Om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
b) Den registrerade invänder mot behandlingen i myndighetsutövning och det saknas berättigade skäl för behandlingen som väger tyngre.
c) Personuppgifterna har behandlats på olagligt sätt.
d) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i EU-rätten eller svensk rätt som församlingen omfattas av.
Vad som angetts ovan i punkterna a-d ovan gäller inte när behandlingen är nödvändig av följande skäl:
(i) För att utöva rätten till yttrande- och informationsfrihet.
(ii) För att uppfylla en rättslig förpliktelse som kräver behandling enligt EU-rätten eller enligt svensk rätt som församlingen omfattas av eller som ett led i myndighetsutövning som utförs av församlingen. En registrerad har därför inte rätt till radering när behandling av personuppgifter sker enligt lag som ett led i myndighetsutövning i församlingens skyldighet att fullgöra begravningsverksamhet. En registrerad har heller inte rätt till radering när uppgifterna behandlas enligt arkivlagen och kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6).
(iii) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Huvudregeln är att åtgärden tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
Rätten till radering gäller när personuppgifterna inte längre är nödvändiga för ändamålen för vilka de har samlats in. Normalt kan därför radering inte ske när församlingen fortfarande behöver personuppgifterna för att utföra sitt uppdrag. Församlingen ska inte heller radera personuppgifter i handlingar som omfattas av tryckfrihetsförordningen, OSL eller lagen om Svenska kyrkan eller som behandlas med stöd av arkivlagen eller kyrkostyrelsens beslut om registrering av handlingar m.m.
3.5 Rätt till begränsning av behandling
Behandlingen av personuppgifter ska begränsas om något av följande alternativ är tillämpligt:
a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger församlingen möjlighet att kontrollera om personuppgifterna är korrekta.
b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
c) Om församlingen inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
d) Den registrerade har invänt mot behandling i myndighetsutövning i väntan på kontroll av om församlingens berättigade skäl väger tyngre än den registrerades berättigade skäl.
Om behandlingen har begränsats i enlighet med avsnittet ovan får personuppgifterna, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för EU eller för en medlemsstat inom EU.
En registrerad som har fått behandling begränsad i enlighet med punkten a)–d) ska underrättas av församlingen innan begränsningen av behandlingen upphör.
Huvudregeln är att åtgärden tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
3.6 Anmälningsskyldighet för rättelse eller radering av personuppgifter och begränsning av behandling
Församlingen underrättar varje mottagare till vilken personuppgifter har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning.
Församlingen ska även informera den registrerade om dessa mottagare på den registrerades begäran med förbehåll för att församlingen inte lämnar ut namn på de som begär ut allmänna handlingar med stöd av offentlighetsprincipen (OSL och lagen om Svenska kyrkan). Församlingen ska därför inte informera om de mottagare som fått del av uppgifterna och kan heller inte kontakta dessa för att göra rättelser av tidigare uppgifter.
Huvudregeln är att åtgärden tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
3.7 Rätt att göra invändningar
Den registrerade har, när behandlingen grundar sig på den skyldighet som församlingen har att utföra uppgifter som ett led i församlingens myndighetsutövning, rätt att göra invändningar mot behandlingen.
Personuppgifterna ska inte längre behandlas om inte församlingen visar tvingande berättigande skäl som väger tyngre än den registrerades intressen. Så kan vara fallet om församlingen behandlar uppgifter i syfte att utföra begravningsverksamhet men måste bedömas utifrån fall till fall.
Huvudregeln är att åtgärden tillhandahålls kostnadsfritt, se avsnitt 3.9 för undantag.
3.8 Den registrerades rätt till tillgång till information
Om den registrerade begär det har denne rätt att av församlingen få bekräftelse på om personuppgifter som rör honom eller henne och i så fall få tillgång till personuppgifterna och följande information:
a) Att församlingen behandlar personuppgifter i syfte att fullgöra sina skyldigheter enligt BL och BF alternativt genom ett avtal med den registrerade.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut med beaktande av att fysiska personer och juridiska personer som begär ut allmänna handlingar av församlingen kan komma att få del av personuppgifter med stöd av offentlighetsprincipen (OSL och lagen om Svenska kyrkan) och att församlingen inte får efterfråga deras identitet.
d) Att församlingen arkiverar handlingar i enlighet med arkivlagen och kyrkostyrelsens beslut med närmare bestämmelser om registrering av handlingar m.m. (SvKB 2016:6) och hur länge en sådan arkivering sker eller för det fall handlingarna inte anges i beslutet, hur länge behandling sker.
e) Förekomsten av rätten att av församlingen att begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling i enlighet med denna policy.
f) Rätten att inge klagomål till Integritetsskyddsmyndigheten.
g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.
Församlingen ska förse den registrerade med en kopia av de personuppgifter som är under behandling utan kostnad. För eventuella ytterligare kopior som den registrerade begär får församlingen ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Rätten till uppgifterna som ska lämnas ut gäller alla personuppgifter som behandlas men gäller inte rätten att ta del av andras personuppgifter när dessa omfattas av sekretess.
Om den registrerade lämnar begäran i elektronisk form, lämnas informationen när det är möjligt i elektronisk form, om den registrerade inte begär något annat.
3.9 Den registrerades rätt till information om åtgärder som vidtagits
Församlingen ska på begäran och utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran härom tillhandahålla den registrerade information om de åtgärder som vidtagits avseende rätt till tillgång till information, rättelse, radering, begränsning av behandling, om underrättelse har kunnat ske till mottagare av personuppgifter och rätt att göra invändningar mot behandling. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna förfrågningar. Församlingen ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Huvudregeln är att informationen tillhandahålls kostnadsfritt.
Om en begäran från en registrerad att från församlingen få uppgifter eller om en åtgärd ska vidtas enligt avsnitt 3.1-3.8 är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, tar församlingen antingen:
a) ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller
b) vägrar att tillmötesgå begäran.
Det ankommer på församlingen att visa att begäran är uppenbart ogrundad eller orimlig.
Om församlingen inte vidtar åtgärder på den registrerades begäran, informerar församlingen så snart som möjligt men senast en månad efter att ha mottagit begäran den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Integritetsskyddsmyndigheten och begära rättslig prövning.
Församlingen får, om denne har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt första stycket i denna bestämmelse, efterfråga ytterligare information som är nödvändig för att bekräfta att den registrerades identitet tillhandahålls.
3.10 Tillhandahållande av information
Huvudregeln är att information enligt detta avsnitt 3 ska lämnas till den registrerade skriftligen. Om den registrerade begär det får informationen tillhandahållas muntligt. Den registrerades identitet ska alltid bekräftas för att säkerställa att information lämnas till rätt person. När den registrerade begär att få information muntligen ska information läsas upp för personen efter uppvisande av ID-kort för att säkerställa att informationen har givits till rätt person. Företrädare för församlingen ska sedan anteckna att informationen tillhandahållits muntligen efter uppvisande av id-kort.
4. Tekniska och organisatoriska åtgärder
4.1 Församlingens övergripande tekniska och organisatoriska ansvar
Församlingen har genomfört lämpliga tekniska och organisatoriska åtgärder. Säkerhetsåtgärderna är utformade för att minimera antalet uppgifter och integreras vid behandling av personuppgifter. Endast personuppgifter som är nödvändiga för ändamålet behandlas. Detta gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för uppgifternas lagring och tillgänglighet. Framförallt säkerställer åtgärderna att personuppgifter inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer så länge allmänheten inte har rätt att få del av handlingarna enligt offentlighetsprincipen (OSL och lagen om Svenska kyrkan).
Åtgärderna ses över och uppdateras vid behov.
För beskrivning av IT-säkerhet i Svenska kyrkans gemensamma IT-plattform – GIP, se särskild bilaga till policy. IT-säkerhet GIP
It-företag hanterar nödvändig drift och support för att kunna uppfylla våra skyldigheter gentemot dig. It-företaget är personuppgiftsbiträde och får endast behandla personuppgifter efter instruktion från oss.
4.2 Behandling under församlingens ansvar
Personer som utför arbete under församlingens ansvar, och som får tillgång till personuppgifter behandlar dessa på instruktion från församlingen i enlighet med denna policy.
Församlingen har endast anlitat personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder.
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter vidtar församlingen därför lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt:
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Församlingen ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under dess överseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från församlingen, om inte EU-rätten eller svensk rätt ålägger honom eller henne att göra det.
4.3 Register över behandling
Församlingen för ett register över behandling som utförts under dess ansvar, se bilagor 1.4.2-1.5 och 1.6.
Registret innehåller följande uppgifter:
a) Namn och kontaktuppgifter till församlingen.
b) Ändamålen med behandlingen.
c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller kan komma att lämnas ut
e) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
f) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som sker i verksamheten.
På begäran från Integritetsskyddsmyndigheten gör församlingen registret tillgängligt för myndigheten.
4.4 Samarbete med Integritetsskyddsmyndigheten
Församlingen samarbetar med Integritetsskyddsmyndigheten vid utförandet av myndighetens uppgifter.
4.5 Anmälan av en personuppgiftsincident till Integritetsskyddsmyndigheten
Vid en personuppgiftsincident anmäler församlingen utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, personuppgiftsincidenten till Integritetsskyddsmyndigheten.
Om anmälan till myndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.
Anmälan ska:
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
d) beskriva de åtgärder som församlingen har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, tillhandahålls informationen i omgångar utan onödigt dröjsmål.
Församlingen dokumenterar alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.
4.6 Information till den registrerade om en personuppgiftsincident
Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter informerar församlingen utan onödigt dröjsmål den registrerade om personuppgiftsincidenten.
Informationen innehåller en tydlig och klar beskrivning av personuppgiftsincidentens art samt en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten och de åtgärder som församlingen har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten. Församlingen informerar också om åtgärder för att mildra incidentens potentiella negativa effekter.
Informationen tillhandahålls kostnadsfritt.
Information till den registrerade krävs inte om:
a) Församlingen har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkas av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
b) Församlingen har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses ovan sannolikt inte längre kommer att uppstå.
c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.
_______________________________________
Antagen av Kyrkorådet den 11 juni 2018