För Svenska kyrkan är det viktigt att följa GDPR och värna om den personliga integriteten. Inom kyrkovalet hanterar kyrkans olika delar många personuppgifter, ofta så kallade känsliga personuppgifter. De uppgifter som hanteras rör bland annat anställda, kandidater i kyrkovalet och röstberättigade medlemmar.
EU:s allmänna dataskyddsförordning (GDPR) kom till för att värna enskildas grundläggande fri- och rättigheter när det kommer till behandlingen av deras personuppgifter.
GDPR står för General Data Protection Regulation (dataskyddsförordningen på svenska) och ersatte den 25 maj 2018 den tidigare gällande personuppgiftslagen (PuL). Genom att GDPR är tillämplig inom de olika medlemsstaterna skapas ett enhetligt och likvärdigt skydd av personuppgifter.
För Svenska kyrkan är det viktigt att följa GDPR och värna om den personliga integriteten. Inom kyrkovalet hanterar kyrkans olika delar många personuppgifter, ofta s.k. känsliga personuppgifter. De uppgifter som hanteras rör bl.a. anställda, kandidater i kyrkovalet och röstberättigade medlemmar.
För de flesta personer inkluderar det också en uppgift om personens religiösa övertygelse, vilket anses känsligt. För att värna om deras personliga integritet och att behandla deras personuppgifter på ett lagligt sätt följer en kort introduktion till GDPR och hur personuppgifter i kyrkovalet ska behandlas.
GDPR gäller för behandling av personuppgifter. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person (den registrerade). Exempel på personuppgifter är namn, personnummer, nomineringsgrupp och partitillhörighet.
Behandling är en eller flera åtgärder beträffande personuppgifterna och det är oberoende om den utförs automatiserat eller inte. Alla former av åtgärder med personuppgifter är personuppgiftsbehandlingar.
Om du t.ex. registrerar en kandidatförklaring i Gkand är registreringen en behandling, att kandidatförklaringen lagras i systemet är en behandling och om du raderar kandidatförklaringen är det en tredje behandling.
I GDPR:s mening är en känslig personuppgift bl.a. uppgift om
Samtliga uppgifter som är att anse som känsliga personuppgifter framgår av artikel 9 GDPR.
Uppgifter om t.ex. religiös övertygelse kan vara att man är medlem i Svenska kyrkan och att vara medlem eller kandidat i ett politiskt parti eller nomineringsgrupp kan vara en politisk åsikt.
Normalt är det förbjudet att hantera sådana personuppgifter men det finns undantag från förbudet, t.ex. att kandidaten har offentliggjort hens religiösa övertygelse eller politiska åsikt genom registreringen av kandidatförklaringen.
Det finns några grundprinciper i GDPR som fungerar som ett riktmärke för hur man får behandla personuppgifter.
Principerna innebär i korthet att den som är ansvarig för personuppgiftsbehandlingen:
För att konkretisera principerna är det exempelvis inte nödvändigt att skicka personnummer per e-post mellan stift eller valkansli när en röstberättigad begär ut dubblettröstkort. Detta eftersom uppgifterna redan finns tillgängliga i Kbok och för att vi inte ska behandla fler personuppgifter än nödvändigt.
Uppgift om en röstberättigad person kan dessutom utgöra en känslig personuppgift, eftersom det är ett uttryck för medlemskap i Svenska kyrkan. Känsliga personuppgifter ska inte e-postas eftersom e-post i normalfallet är att anse som ett osäkert kommunikationsmedel.
För de personuppgiftsbehandlingar som genomförs inom kyrkovalet finns det flera olika parter som är att anse som s.k. personuppgiftsansvariga. En personuppgiftsansvarig är en självständig juridisk person som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.
Det är alltså inte chefen på t.ex. kyrkokansliet, stiftsdirektorn eller någon annan anställd som är personuppgiftsansvarig utan styrelsen för den juridiska personen, t.ex. kyrkostyrelsen för den nationella nivån och stiftsstyrelsen för stiftet.
I GDPR finns det även något som kallas för gemensamt personuppgiftsansvar. Det är om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. Det innebär att berörda parter behöver ingå en enklare överenskommelse i form av ett inbördes arrangemang för att bestämma vilken av parterna som är ansvarig för vad.
Att vara gemensamt personuppgiftsansvariga innebär i praktiken att den registrerade kan vända sig till vilken som helst av de personuppgiftsansvariga för att hävda någon av hens rättigheter enligt GDPR.
Det innebär bl.a. rätten att korrigera uppgifterna, invända mot behandling eller få informationen om sig själv raderad. Det innebär också att om uppgifterna används på ett felaktigt sätt kan hen vända sig med ett skadeståndsanspråk till vilken som helst av parterna, som sedan får fördela ansvaret inbördes.
Svenska kyrkan omfattas av en offentlighetsprincip som framgår av 11 § lagen (1998:1591) om Svenska kyrkan och 53 kap. kyrkoordningen. Den innebär att var och en har rätt att få ta del av de handlingar som finns hos kyrkan, förutsatt det inte finns ett förbud mot att en viss uppgift lämnas ut.
GDPR hindrar inte Svenska kyrkan från att lämna ut Svenska kyrkans handlingar enligt offentlighetsprincipen. Skyldigheten att lämna ut sådana handlingar omfattar dock inte elektronisk utlämning. GDPR gäller därför fullt ut för ett sådant utlämnade. Det betyder att en handling som lämnas ut och som innehåller personuppgifter aldrig får skickas t.ex. via e-post eller via internet.
I vissa fall finns det enligt kyrkoordningen förbud mot att lämna ut handlingar som innehåller personuppgifter. När någon begär att få ta del av information där det förekommer eller som utgör personuppgifter behöver alltid en prövning göras utifrån offentlighetsprincipen.
Om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med dataskyddsförordningen gäller enligt 54 kap. 11 b § kyrkoordningen förbud mot att röja de begärda uppgifterna. Kyrkoordningen kräver då att en bedömning ska göras utifrån GDPR. Ett exempel där det kan finnas förbud är om någon begär ut en stor mängd känsliga personuppgifter. I 53 kap. kyrkoordningen finns bestämmelser om hur det går till att avslå en begäran av handling.
Ibland kan det hända att något ändå går fel och en s.k. personuppgiftsincident inträffar. En personuppgiftsincident är när personuppgifter obehörigen eller oavsiktligen sprids, är otillgängliga, förändras eller förstörs. En incident kan t.ex. vara att du glömmer kandidatförklaringarna på bussen eller att du och dina kollegor inte längre kommer åt de system som ni behöver arbeta i.
Det absolut viktigaste du ska göra om du misstänker att det har skett en incident är att ta din misstanke på allvar och meddela din chef eller din arbetsgivares dataskyddsombud. Du behöver inte fundera på dess allvarlighetsgrad eller konsekvenser i det första läget. Huvudsaken är att du rapporterar den potentiella incidenten
I de fall det är ett gemensamt ansvar tillsammans med kyrkostyrelsen för personuppgifterna som behandlas, ser valkansliet till att uppgifterna behandlas i enlighet med GDPR. Ett led i att hantera uppgifterna på ett korrekt sätt är att informera om att personuppgifterna behandlas.
Det är därför viktigt att se till att de informationstexter som finns tillhandahålls till personerna vars personuppgifter kommer att behandlas och att vi bidrar till att värna om deras personliga integritet genom att behandla deras personuppgifter på ett lagligt och korrekt sätt.
Utifrån kraven på behandling av personuppgifter enligt dataskyddsförordningen beslutade kyrkostyrelsen den 16 december 2020 om bestämmelser som avser ett inbördes arrangemang vid genomförande av direkta val (SvKB 2020:14).
Bestämmelserna trädde i kraft den 1 januari 2021. Till bestämmelserna har det även utarbetats en kommentar för att underlätta tolkningen av bestämmelserna.Bestämmelserna reglerar ansvaret mellan de olika organisatoriska nivåerna inom Svenska kyrkan vid genomförande av direkta val. Däribland en ordning för hantering av personuppgiftsincidenter.
Bestämmelserna behandlar inte röstberättigade medlemmar utan denna personkategori framgår av kyrkostyrelsens beslut (SvKB 2009:9) med närmare bestämmelser om kyrkobokföring i Svenska kyrkan. Ni hittar bestämmelserna på Svenska kyrkans hemsida.
Systemen du arbetar med för kyrkovalet är anpassade efter GDPR. Om du har några frågor eller behöver hjälp med GDPR kan du titta på valwebben. Om du inom en valnämnd behöver ytterligare stöd ska du i första hand vända dig till stiftet.