Lyssna

Integritetspolicy

Syfte och samband

Dokumentet beskriver Växjö stifts syn på personuppgifter och grundläggande principer för hantering av personuppgifter i organisationen inklusive Växjö stift tjänsteleverans. Innehållet i dokumentet är att betrakta som obligatoriskt och övergripande. 


Integritetspolicyn har ett nära samband med Växjö stifts informationssäkerhetspolicy, av vilken det framgår att personuppgifter intar en särställning som bärare av integritetskänslig information. Det ska därför finnas särskilda styrdokument och processer för att säkra personuppgifters hantering. 

Målgrupp

Förtroendevalda och anställda på stiftsnivå, leverantörer till Växjö stift samt Växjö stifts tjänstemottagare. 

Kommunikation

Dokumentet ska tillgängliggöras via Växjö stifts intranät samt externwebb. Policyn presenteras i samband med att en person tillträder ett förtroendeuppdrag, personal anställs och när leverantörer eller kunder kontrakteras. 

Uppföljning

Stiftsdirektor ansvarar för att policyn regelbundet följs upp inom ramen för Växjö stifts internkontroll. 

Uppdatering

Dokumentet uppdateras löpande för anpassningar till dataskyddsförordningen. Stiftsdirektor ansvar för detta. Större revideringar görs enligt gällande revideringsplan. 

Styrdokument som upphör att gälla

Detta dokument ersätter Personuppgiftspolicy för Växjö stift Dnr S 2018-676. 

Integritetspolicy för Växjö stift

Svenska kyrkan Växjö stift (i det följande ”Växjö stift” eller ”vi”) månar om din personliga integritet och eftersträvar en hög nivå av dataskydd. Med Växjö stift avses i detta dokument stiftsorganisationen och inte Växjö stifts församlingar och pastorat. I vår integritetspolicy informerar vi om hur vi som personuppgiftsansvariga behandlar personuppgifter om de som på olika sätt kommer i kontakt med oss och som vi registrerar personuppgifter om.

Vi är måna om din personliga integritet och att skydda dina personuppgifter. Inom Växjö stift har vi en funktion som arbetar med dataskyddsfrågor och ett dataskyddsombud. Hur du kommer i kontakt med oss beskrivs nedan.

Genom integritetspolicyn lämnar vi information enligt reglerna i EU:s dataskyddsförordning. Vi kommer fortlöpande att komplettera policyn med information om våra personuppgiftsbehandlingar.

Vad informationen i policyn innehåller

Genom integritetspolicyn förser vi dig med information i enlighet med reglerna i EU:s dataskyddsförordning, som oftast förkortas GDPR (General Data Protection Regulation). Informationen innehåller följande delar:

  • Ändamål: Varför vi behandlar personuppgifter. Det kan vara övergripande syften som t.ex. hantera tillsyn men också mer precisa ändamål som t.ex. bokföring eller administration
  • Laglig grund: Vi tydliggör vilken laglig grund vi stödjer oss på. De lagliga grunderna är avtal (t.ex. anställningsavtal och kyrkoordningen som motsvarar våra stadgar), samtycke, berättigat intresse (intresseavvägning), allmänt intresse eller rättslig förpliktelse
  • Mottagare och vilka vi lämnar uppgifter till, inklusive information om utlämnande av uppgifter till tredjeland (utanför EU/EES) eller till internationella organisationer
  • Hur länge vi behåller personuppgifter och varför
  • Förekomst av automatiserade beslut och/eller profilering
  • Dina rättigheter

Om förändringar i vår integritetspolicy

Vi kan komma att löpande göra ändringar i integritetspolicyn. Senaste versionen kommer alltid att ligga på vår webbplats www.svenskakyrkan.se/vaxjostift.

Fakta om Växjö stifts ansvar för personuppgiftsbehandling

Stiftsstyrelsen är ytterst ansvarig för Växjö stifts personuppgiftsbehandlingar. Växjö stift är personuppgiftsansvarig för följande kategorier av behandlingar: i olika kontakter och möten, när Växjö stift utövar tillsyn över och främjar arbetet i församlingar och pastorat (i tillsynsdelen har biskopen domkapitlet till sin hjälp) och vid förvaltning av våra egendomar och fonder. Vi behandlar också personuppgifter vid rekrytering och antagning (dels av präster, diakoner, församlingspedagoger och kyrkomusiker, dels av personal till stiftskansliet). I Växjö stifts stöd till församlingar och pastorat ingår även att bistå dem i deras behandling av personuppgifter. Detta gäller t.ex. Servicebyrån i Växjö stifts verksamhet liksom den gemensamma telefonväxeln. I flera av dessa relationer är Växjö stift endast personuppgiftsbiträde eftersom en församling alltid är personuppgiftsansvarig för sina behandlingar.

Hur vi behandlar personuppgifter i vår verksamhet

Den här texten beskriver på en övergripande nivå hur vi behandlar personuppgifter i olika verksamheter där Växjö stift har ett personuppgiftsansvar. För att förtydliga på detaljnivå kommer det att upprättas processbeskrivningar i form av länkade pdf-dokument som beskriver våra vanligaste processer. I de framtagna processbeskrivningarna kan du steg för steg läsa om vilka personuppgifter vi behandlar, vilket ändamål behandlingen avser samt vilken laglig grund respektive behandling baseras på.

Vilka personuppgifter?

Växjö stift behandlar personuppgifter i de kategorier som beskrivs i stycket ovan ”Fakta om Växjö stifts ansvar för personuppgiftsbehandling”. Vanligast är personuppgifter om namn, kontaktuppgifter, uppgifter om medlemskap i Svenska kyrkan, anställning eller förtroendeuppdrag och nomineringsgruppstillhörighet. Inom domkapitlet och stiftsstyrelsens verksamhet förekommer bl a även uppgifter om familjeförhållanden, hälsa, personliga omdömen etc. För de olika aktiviteter vi arrangerar kan vi inhämta uppgifter om specialkost i de sammanhang där det serveras förtäring.

För att på bästa sätt kunna hålla dina personuppgifter uppdaterade och korrekta kompletterar och uppdaterar vi i vissa fall med uppgifter från Skatteverket och kyrkobokföringen.

Uppgifter som samlas in från någon annan än dig

Vid bokning av utbildningar och konferenser, anmälan till nyhetsbrev och vid kontakt i olika ärenden förekommer det att en person lämnar personuppgifter om en eller flera andra personer. Vi ber dig att tänka på att i din kontakt med oss lämna så få uppgifter som möjligt om dig själv och andra samt att du också informerar den person det gäller när du lämnar deras uppgifter. Vi kommer, som en del av det informationskrav som dataskyddsförordningen har på varje personuppgiftsansvarig, att informera personen ifråga om att vi har fått uppgifter från dig senast inom en månad efter att vi har fått uppgifterna.

Ändamål och laglig grund

Alla behandlingar inom Växjö stifts verksamhet ska ha ett tydligt och avgränsat ändamål och behandlas med stöd av en laglig grund. Växjö stift arbetar utifrån processer där ändamål och laglig grund identifieras och utgör grund för beslut om vilka behandlingar av personuppgifter som får utföras och på vilket sätt de ska genomföras.

Det kan förekomma att samma personuppgift behandlas med stöd av flera lagliga grunder i olika sammanhang. Det innebär att även om du skulle återkalla ett samtycke eller begära radering, kan personuppgiften finnas kvar hos oss för andra ändamål, om det t.ex. finns ett avtal eller en rättslig förpliktelse som grund.

Utlämnande av personuppgifter

Växjö stift lämnar ut personuppgifter i enlighet med kyrkoordningens bestämmelser om offentlighet och undantag för offentlighet samt med hänsyn till de begränsningar som dataskyddsförordningen sätter.

I de fall det är nödvändigt delar vi dina personuppgifter med företag eller organisationer som på ett eller annat sätt biträder oss i verksamheten. Dessa kallas för personuppgiftsbiträden. Ett personuppgiftsbiträde är ett företag som behandlar information för vår räkning och enligt våra instruktioner. Vi har t ex personuppgiftsbiträden som hjälper oss med:

  • IT-tjänster (företag som hanterar nödvändig drift, teknisk support och underhåll av våra IT- lösningar).
  • Betallösningar (kortinlösande företag, banker och andra betaltjänstleverantörer).
  • Kurser och evenemang.
  • Rekrytering.

När dina personuppgifter delas med personuppgiftsbiträden sker det endast för de ändamål vi har angivit. Vi kontrollerar alla personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier för säkerhet och sekretess för personuppgifter. Vi har skriftliga avtal med alla personuppgiftsbiträden där de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra säkerhetskrav samt begränsningar och krav som gäller internationell överföring av personuppgifter.

Personuppgifter överförs normalt inte till tredjeland utanför EU/EES (där dataskyddsförordningen inte gäller) eller till internationella organisationer. Skulle en sådan överföring behövas i enstaka fall, kommer vi att informera dig om detta.

Lagring av personuppgifter

Personuppgifterna lagras i enlighet med regler om registrering och arkivering i allmän lagstiftning, kyrkoordningen och Svenska kyrkans bestämmelser. Svenska kyrkan har en tradition av att bevara information som kan vara av ett historiskt intresse, som ett sätt att dokumentera verksamheten. För övrigt lagras personuppgifter inte längre än vad som är nödvändigt för att uppfylla ändamålet med behandlingen.

Samma personuppgift (t.ex. ditt namn) kan lagras på flera olika ställen för olika ändamål. Det kan innebära att en personuppgift som har raderats ur ett system för att den inte längre är nödvändig kan finnas kvar i ett annat system eller register där den lagras för ett annat ändamål där personuppgiften fortfarande behövs.

Profilering

Profilering är en automatisk behandling av personuppgifter som består i att personuppgifterna används för att bedöma vissa egenskaper hos en fysisk person t ex för att förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet etc. Profilering kan komma att användas inom Växjö stifts verksamhet t ex vid rekrytering.

För våra församlingars/pastorats verksamhet

I vissa fall behandlar vi personuppgifter även för församlingars/pastorats räkning som personuppgiftsbiträde, men det är församlingen/pastoratet som är personuppgiftsansvarig. Har du synpunkter på församlingarnas/pastoratens behandling i deras verksamheter får du vända dig direkt till dem det berör.

Våra anställdas personuppgifter

I alla processer inom Växjö stifts verksamheter behandlas våra anställdas personuppgifter (t.ex. namn, kontaktuppgifter, e-postadresser, telefonnummer, titel och befattning) när de utför sina arbetsuppgifter, t.ex. när de svarar på en fråga eller kontaktar någon. Olika ändamål med behandlingar som beskrivs i varje process ovan och gäller även för anställdas personuppgifter. Den lagliga grunden för behandling av anställdas personuppgifter är avtal (anställningsavtalet eller avtal för användning av bilder) och berättigat intresse (både arbetsgivaren och den anställde förutsätts ha ett intresse av att för anställningen nödvändiga personuppgiftsbehandlingar genomförs och arbetsgivaren har också ett ansvar att leda och fördela arbetet). Ibland kan en rättslig förpliktelse tillkomma (den beskrivs då i respektive process).

Inhyrd personal/konsulter som utför sitt arbete som om de vore anställda, det vill säga har sin huvudsakliga arbetsplats på stiftskansliet, räknas i detta sammanhang som anställda och inte som personuppgiftsbiträden. Relationen regleras i uppdragsavtal, sekretessförbindelser etc.

Vår e-post- och dokumenthanteringspolicy

I de olika processerna beskrivs hur vi hanterar e-post och olika typer av dokument. För att göra bilden tydligare har vi antagit följande principer:

  1. De bestämmelser om registrering och gallring som finns i kyrkoordningen och Svenska kyrkans bestämmelser ska alltid iakttas (SvKB 2016:6 för registrering, SvKB 2017:1 för arkivering och SvKB 2019:1 för gallring). 
  2. För dokument som inte är färdigställda eller annars inte omfattas av punkt 1 gäller att Växjö stift ska ha en tydlig dokumenthanteringsstruktur som innebär att flera versioner av dokument undviks (dokument ska sparas på ett sätt i en mapp).
  3. Om e-postmeddelanden behöver sparas ska de registreras i den utsträckning det krävs enligt kyrkoordningen och i övrigt sparas ner i rätt mapp enligt punkt 2.
  4. När ett dokument/sparat e-postmeddelande inte längre behövs för det ändamål det sparats för ska det raderas.
  5. Om det finns behov att spara ett visst dokument som mall ska dokumentet rensas på alla personuppgifter innan mallen sparas.
  6. E-postmeddelande som innehåller känsliga personuppgifter får endast skickas via krypterad e-post
  7. Det ska finnas en tydlig behörighetsstyrning både i ärende- och dokumenthanteringssystemet så enbart de personer som behöver få tillgång till personuppgifter har åtkomst till dem.

Nationella IT-system

Svenska kyrkan på nationell nivå har tagit fram flera nationella IT-system och stöd som vi använder i Växjö stifts verksamhet. I många av processerna ovan kan därför ett gemensamt personuppgiftsansvar föreligga med den juridiska personen Trossamfundet Svenska kyrkan (Svenska kyrkan på nationell nivå) eftersom vi i Växjö stift inte helt kan bestämma över hur de systemen utformats och används. Detta styr också hur vi kan arbeta i våra processer.

Säkerhet

Växjö stift vidtar löpande åtgärder för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Vi utvärderar fortlöpande risker med de personuppgiftsbehandlingar som vi gör och vidtar säkerhetsåtgärder för att minska riskerna. 

Dina rättigheter

Om du tycker att vi behandlat dina personuppgifter på ett felaktigt sätt eller att de behöver kompletteras har du rätt att begära att vi rättar dem eller om du inte vill att vi ska fortsätta behandla personuppgifter har du rätt att begära att vi ska radera dem. Vi kommer rätta och radera personuppgifterna om det är möjligt i förhållande till vårt ändamål med behandlingen, de lagregler vi är skyldiga att följa och de avtal som vi ingått med dig som registrerad. I det här sammanhanget kan det vara bra att känna till att kyrkoordningen, som är våra stadgar, i vissa delar anses vara ett avtal mellan oss och de som är medlemmar i Svenska kyrkan. Vi har också en skyldighet att registrera inkomna och upprättade handlingar vilket kan hindra rättelse eller radering.

Om du gett ett samtycke till behandling har du alltid rätt att återkalla samtycket och då kommer vi att radera personuppgifterna som omfattas av samtycket. Du kan också invända mot behandling beträffande profilering (vi beskriver i processerna om profilering kan förekomma) samt om du har egna personliga skäl för att inte vilja få uppgifterna behandlade. Om du invänder kommer vi att pröva om vi ska radera dem. Vi kommer alltid att radera kontaktuppgifter om du inte längre önskar ta emot information från oss. Vi är också skyldiga att självmant radera i flera fall.

Om du är i en rättslig tvist och behöver dina personuppgifter som bevis kan du begära att vi inte raderar dina uppgifter (kallas begränsning). Du har också rätt att begära begränsning när du ber oss rätta/radera uppgifter, vilket innebär att vi inte får använda uppgifterna under den tid vi undersöker om vi kan rätta/radera dem.

Slutligen har du rätt att få besked om vilka behandlingar vi gör om dig (kallas registerutdrag). Ett sådant ska bl.a. innehålla beskrivning av ändamål och laglig grund med behandlingarna och vilka kategorier personuppgifter det rör. Sådan information har vi redan sammanställt på övergripande nivå – se avsnittet Hur vi behandlar personuppgifter ovan - vilket är ett enkelt sätt för dig att få information om hur vi arbetar med personuppgifter. Ett registerutdrag innebär att du ska få en överblick över behandlingar så du förstår om och i vilket syfte dina personuppgifter behandlas (du har dock inte en ovillkorlig rätt att ta del av handlingar där dina personuppgifter finns – den frågan kan istället prövas enligt kyrkoordningens regler om offentlighet och förbud mot att röja uppgifter).  Observera också att vi inte kan lämna ut registerutdrag om detta kommer i konflikt med krav på tystnadsplikt i lag och kollektivavtal (lagkrav finns bl.a. beträffande vårt dataskyddsombud men det finns även inskrivna krav om tystnadsplikt i kyrkoordningen och i våra kollektivavtal).

Kontakta oss

Det är viktigt för oss att du känner förtroende för hur vi behandlar personuppgifter om dig. Har du frågor eller synpunkter kan du kontakta stiftsdirektor Camilla Ruben, tel 0470-77 38 87. Detsamma gäller om du vill utöva dina rättigheter (se ovan).

Du kan också kontakta våra dataskyddsombud via vår växel tel 0470-77 38 00, eller via e-post vaxjostift.dataskyddsombud@svenskakyrkan.se. Dataskyddsombud har tystnadsplikt och kan självständigt vidta åtgärder i syfte att verka för ett gott inbyggt dataskydd i Växjö stift. Om du lämnar uppgifter till vårt dataskyddsombud kommer de att användas i det syfte du har med din kontakt. De kan även komma att lagras för att dataskyddsombudet ska kunna visa vilken grund som finns för rekommendationer och åtgärder, en viktig del i det inbyggda dataskyddet. Uppgifter som inte behövs för detta ändamål kommer att raderas.

Kontakta Integritetsskyddsmyndigheten

Du har alltid rätt att kontakta Integritetsskyddsmyndigheten om du har synpunkter på våra behandlingar. Detta får du göra utan att kontakta oss först, men vi värdesätter förstås om du också berättar för oss vad du tycker så vi kan rätta till felaktigheter och ta med synpunkterna i vårt kontinuerliga förbättringsarbete.

Bilagor med olika processer

Sociala medier

Processbeskrivning - Enskildas möjlighet att gilla dela kommentarer i sociala medier

Rekrytering och avslut av anställning

Processbeskrivning - Rekrytering

Processbeskrivning  -Avslut av anställning

Domkapitlet

Processbeskrivning - Tillsynsverksamheten inom domkapitlet

Processbeskrivning - Behörighetsprövning

Eleonore Lydahl

Stiftsjurist, Växjö stift

Mer om Eleonore Lydahl

Förvaltningsenheten