Integritetspolicy

Du ska kunna känna dig säker på vår webb och med hur vi hanterar dina personuppgifter

Inledning
Älvkarleby-Skutskärs församling värnar om människors personliga integritet. Genom vår verksamhet kommer vi i kontakt med många olika människor och situationer. Den som möter kyrkan har rätt att känna att församlingen värnar den enskildes integritet. Vår verksamhet följer de grundläggande principer som anges i dataskyddsförordningen, GDPR. 

Här förklaras i huvuddrag hur församlingen hanterar personuppgifter. Här förklaras även de rättigheter som den registrerade har relaterat till GDPR.

Personuppgift
En personuppgift är all form av information som direkt och/eller indirekt kan kopplas till en enskild individ. Det kan exempelvis vara namn, personnummer, telefonnummer, e-postadress, foto och adress.

Att behandla en personuppgift är all form av hantering, manuell såväl som automatisk. Så fort någon använder en personuppgift för ett ändamål anses det vara att behandla personuppgift. 

Processbeskrivningar
Vi har processbeskrivningar för varje verksamhet. I samband med kyrkliga handlingar eller verksamheter där personuppgifter samlas in lämnar vi ut en fullständig processbeskrivning för den aktuella handlingen/verksamheten. Generellt följer de samma schema:

1. Inledande kontakt

2. Information

3. Anmälningar till verksamhet/bokning av kyrklig handling

4. Avtal skrivs mellan församlingen och berörd individ eller individs målsman

5. Verksamhet/kyrklig handling genomförs

6. Efter avslutad verksamhet rensas personuppgifter, utom när det gäller kyrkliga handlingar som hanteras och arkiveras i enlighet med Kyrkoordningen och arkivlagen.

Personuppgiftsansvarig
I Älvkarleby-Skutskärs församling är det kyrkorådet, som utgör församlingens styrelse, som har huvudansvaret för att GDPR efterlevs. 

Omfattning och begränsning 
Denna integritetspolicy omfattar i relevanta delar även anställda, förtroendevalda och ideella medarbetare. Det är församlingens ansvar att se till att de känner till policyn och att den efterlevs. 

Även personuppgiftsbiträden, knutna till församlingen, omfattas av policyn. Ett personuppgiftsbiträde är en annan part som hanterar personuppgifter för någons räkning.  

GDPR har inte tolkningsföreträde i alla situationer. Den är underordnad viss annan lagstiftning som då har företräde. För Svenska kyrkans del handlar det bland annat om Lagen om Svenska kyrkan (1998:1591) och Arkivlagen (1990:782) som bland annat reglerar frågor om offentlighet och sekretess samt bevarande av handlingar för allmänt intresse. 

Förändringar i vår integritetspolicy
Uppdateringar av denna policy kan komma att ske successivt. Aktuell version finns på vår webbplats.

 

Så behandlar vi personuppgifter

För att församlingen ska kunna bedriva sin verksamhet och fullfölja sina åtaganden, är inhämtning och behandling av personuppgifter ofrånkomlig. Med det följer, enligt GDPR, ett ansvar mot den registrerade individen. Församlingens behandling av personuppgifter styrs av de principer som redovisas nedan. 

Lagligt, korrekt och öppet
Alla personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. Med lagligt menas bland annat att det måste finnas en laglig grund för behandlingen. Med korrekt menas dels att uppgifterna ska vara korrekta, dels att behandlingen ska ske på ett korrekt sätt. Med öppet menas att den registrerade ska vara informerad om hur personuppgifterna behandlas. 

Skydd för personuppgifter
Personuppgifter ska skyddas mot såväl obehörig och otillåten behandling som mot förlust, förstöring eller skada genom olyckshändelse. Församlingen ska kunna visa att principerna för behandling av personuppgifter efterlevs.

Hantering av personuppgifter via e-post ska så långt möjligt begränsas och i tillämpliga fall avpersonifieras. När ändamålet för det lagrade e-postmeddelandet är avslutat ska det raderas. E-postmeddelanden som behöver sparas en längre tid eller permanent ska diarieföras eller arkiveras enligt arkivlagen (1990:782).

Inhämtande och utlämnande av personuppgifter 
För att kunna genomföra kyrkliga handlingar som dop, konfirmation, vigsel och begravning eller för den som vill delta i församlingens verksamhet som till exempel körer, samtalsgrupper med mera behöver församlingen hämta in och lagra personuppgifter. De mest förekommande typerna av personuppgifter är namn, personnummer och kontaktuppgifter. 

I normalfallet lämnar individer självmant personuppgifter till församlingen men personuppgifter kan också, beroende på ändamål, inhämtas från offentliga register eller annan part. Vissa registerfunktioner uppdateras regelbundet mot exempelvis Skatteverket.

Församlingen ska lämna ut personuppgifter enligt lag om Svenska kyrkan och lag om offentlighet och sekretess, då med hänsyn tagen till de begränsningar som ryms inom GDPR. 

Personuppgiftsbiträden 
Ett personuppgiftsbiträde är någon som hanterar personuppgifter för församlingens räkning. Det kan till exempel vara sk blomsterdamer som tillfälligt hanterar uppgifterna eller systemleverantörer som sköter de servrar som alla personuppgifter är lagrade på. Ett personuppgiftsbiträdesavtal upprättas med varje personuppgiftsbiträde som hanterar personuppgifter för vår räkning.

Uppgifts- och lagringsminimering
Personuppgifter som behandlas ska vara relevanta i förhållande till det ändamål för vilket de behandlas. Enbart de personuppgifter som behövs för det specifika ändamålet sparas på ett begränsat antal platser, för att säkerställa kontroll och effektivitet. 

Uppgifterna hanteras i enlighet med den lagstiftning om diarieföring och arkivering som gäller för Svenska kyrkan, med kyrkoordningen och med Svenska kyrkans bestämmelser i övrigt. Personuppgifter överförs normalt inte till tredje land utanför EU/EES eller till internationella organisationer. Skulle en sådan överföring, i undantagsfall, aktualiseras ska den registrerade informeras om det.

Aktörer som är självständigt personuppgiftsansvariga
Vi är, enligt lag, skyldiga att dela personuppgifter med vissa aktörer, exempelvis Skatteverket. De är i sin tur självständigt personuppgiftsansvariga. Uppgifterna faller då under den självständigt personuppgiftsansvarigas integritetspolicy och deras personuppgiftshantering.

Den registrerades rättigheter 
Den registrerade har rätt att få ett så kallat registerutdrag där de personuppgifter som pastoratet har registrerade på individen redovisas. Om personuppgifter skulle visa sig vara felaktiga kan den registrerade begära rättelse liksom att komplettera eventuellt ofullständiga personuppgifter.

Rätt till radering
Den registrerade har också rätt att begära att få sina personuppgifter raderade. I vissa fall kan inte alla uppgifter raderas. Det kan röra personuppgifter som enligt lag ska sparas för att uppfylla gällande regelverk. 

De förutsättningar som anges i denna policy är de mest aktuella/förekommande, för fullständig information hänvisas till Integritetsskyddsmyndighetens hemsida.

 

Förlust av tekniska arbetsredskap
Alla anställda, förtroendevalda eller ideella medarbetare som förlorar teknisk arbetsutrustning som mobiltelefon, dator eller läsplatta ska omgående rapportera förlusten till arbetsgivarens IT support, så att all information på enheten kan raderas. Församlingen är skyldigt att, inom 72 timmar, rapportera sådan incident till Integritetsskyddmyndigheten. Händelsen ska också rapporteras till dataskyddsombud. 

Hantering
Älvkarleby Skutskärs församling strävar efter en trygg och säker personuppgiftsbehandling och arbetar för att vidta nödvändiga säkerhetsåtgärder för att minska eventuella risker. Anställda, förtroendevalda och ideella medarbetare får utbildning i dataskyddsfrågor.

Kontaktuppgifter församlingen
Vi värdesätter om du i första hand vänder dig till församlingen med eventuella frågor och synpunkter kring hur vi behandlar personuppgifter. Hör av dig till Kenneth Öbrink, dataskyddsombud.

 

Integritetsskyddsmyndigheten
Givetvis kan du också kontakta Integritetsskyddsmyndigheten direkt om du har synpunkter på vår hantering.

Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
imy@imy.se

 

 

 Uppdaterad 20221020

Här kan du läsa processkrivningarna av insamling och hantering av personuppgifter för olika verksamheter, samt avtal som rör dem.

Definitioner

Denna sida beskriver några grundläggande begrepp rörande behandling av personuppgifter

Grundläggande principer

Dessa principer är hämtade från EUs dataskyddsförordning (GDPR).

Vem ansvarar?

Fakta om församlingens ansvar för personuppgiftsbehandling

Hur vi behandlar personuppgifter i vår verksamhet

Vi utgår från processbaserade beskrivningar.

Vilka personuppgifter?

En övergripande beskrivning av vilka uppgifter som kan komma i fråga.

Uppgifter som samlas in från någon annan än dig

Vi informerar dig om vi får uppgifter från någon annan.

Ändamål och laglig grund

Vilket syfte vi har med att hantera dina uppgifter, och vad vi har för stöd i lagen.

Utlämnande av personuppgifter

Det finns flera saker att ta hänsyn till när det gäller överföring av uppgifter.

Lagring av personuppgifter

Svenska kyrkan har en lång tradition av att bevara information för eftervärlden, till exempel i kyrkobokföringen.

Automatiserade beslut och profilering

Denna typ av beslutsfattande används inte av församlingen.

Våra anställdas personuppgifter

Anställdas uppgifter förekommer i många olika sammanhang i vår verksamhet.

Hantering av dokument och e-post

Gemensamma riktlinjer hjälper oss att minimera mängden personuppgifter.

Nationella IT-system

Här råder i vissa fall ett delat personuppgiftsansvar.

Dina rättigheter

Om vi har dina personuppgifter, har du ett antal rättigheter enligt dataskyddsförordningen (GDPR).

Säkerhet

När det gäller dataskydd handlar säkerhet både om hur system fungerar och vilka regler och rutiner som finns.

Kontakt GDPR

Här hittar du församlingens dataskyddsombud samt länk till Integritetsskyddsmyndigheten.