Till innehållet
Meny
Kalender Kyrkor Lyssna med webReader

Frågor och svar GDPR

FAQ med vanliga frågor som rör dataskyddsförordningen.

Svar: Från fall till fall

Om du har en samling personuppgifter som du hanterar eller ska börja hantera på ett visst sätt så uppkommer frågan om hur detta ställer sig till GDPR. En god metodik i detta fall är att beskriva hur personuppgifterna hanteras i verksamheten så som artikel 30 i GDPR säger samt ge personuppgiftsbehandlingen en laglig grund (benämns även rättslig grund).

Beskriv personuppgiftsbehandlingen utifrån aspekterna nedan:

  1. Ändamålen med behandlingen.
  2. En beskrivning av kategorierna av registrerade.
  3. En beskrivning av kategorierna av personuppgifter.
  4. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
  5. I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
  6. Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
  7. Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Välj en av de lagliga grunderna nedan:

  • Samtycke
  • Avtal med den registrerade
  • Rättslig förpliktelse
  • Skydda grundläggande intresse
  • Myndighetsutövning och uppgift av allmänt intresse
  • Intresseavvägning

Läs mer om de lagliga grunderna hos Integritetsskyddsmyndigheten

När detta är gjort är det bara att skicka in materialet till ert dataskyddsombud med frågan om personuppgiftsbehandlingen behöver ändras på något sätt. Dessa bedömningar ska oavsett göras innan personuppgiftsbehandlingen börjar, vilket även är en anledning till att det är en bra metod.

Svar: Nej

Känsliga personuppgifter är uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person. Dessa uppgifter är särskilt reglerade i GDPR och det behövs särskilda skäl för hantering (behandling) av sådana uppgifter.

Med anledning av att dessa uppgifter är så känsliga blir dessa uppgifter också särskilt skyddsvärda. Svenska kyrkan behandlar väldigt mycket känsliga personuppgifter med anledning av att uppgifter om religiös tillhörighet är en känslig personuppgift. Utöver religiös tillhörighet är också uppgifter om hälsa känsliga personuppgifter. Uppgifter om hälsa förekommer i stor utsträckning i verksamhetens läger och konfirmandverksamhet.

E-post är en mycket osäker typ av kommunikation och därför bör inte känsliga personuppgifter förekomma i e-post. Det finns heller ingen möjlighet att samtycka eller avtala om att sänka säkerheten för behandling av sina personuppgifter, så för känsligare personuppgifter behövs en säkrare kommunikationskanal.

Svar: Ibland

Gällande personuppgifter och utlämnande så aktualiseras flera frågor. De viktigaste frågorna kommer nedan i den ordning som är bra att besvara dem.

  1. Är det den inomkyrkliga eller lagstadgade offentlighetsprincipen?

    För vissa av Svenska kyrkans register så gäller den lagstadgade offentlighetsprincipen och då är huvudregeln att uppgifterna ska lämnas ut. Om du tycker att uppgifterna är privata eller undrar var gränsen går för utlämnande så finns svaret i offentlighets- och sekretesslagen (2009:400) i sekretessbestämmelser som är ”till skydd för enskilds personliga förhållanden”. Sedan finns en bestämmelse om att uppgifter omfattas av sekretess om de inte kommer att användas i enhetlighet med GDPR. Denna bestämmelse ska användas försiktigt, och det är viktigt att komma ihåg att inte fråga den som begär ut någonting om vem den är eller vad uppgifterna ska användas till utan väldigt goda skäl. Bakgrunden till detta handlar om det skydd som journalister åtnjuter i många fall.

    Om det rör sig om den inomkyrkliga offentlighetsprincipen så regleras detta i kyrkoordningen kapitel 53. Här finns det mycket undantag för utlämnande av personuppgifter som ofta ger anledning att neka utlämnande eller maska personuppgifter i handlingar. Den vanliga offentlighetsprincipen omfattar de offentliga arkiv som Svenska kyrkan driver i det offentligas regi, resterande uppgifter omfattas som huvudregel av den inomkyrkliga offentlighetsprincipen.

  2. I båda dessa fall är det viktigt att komma ihåg att även om uppgifterna ska lämnas ut kan de behöva skickas säkert. Beroende på hur känsliga uppgifterna är behöver de olika säkerhetsåtgärder.

Svar: Om ni lever upp till vissa krav

Gällande bilder på människor är detta personuppgifter för att de stämmer in på definitionen att uppgifterna entydigt kan identifiera en nu levande människa. Olika lösningar måste användas i olika fall för att leva upp till kraven i GDPR.

  • Bilder på medarbetare
    Som huvudregel kan inte medarbetare ge samtycke till sin arbetsgivare gällande behandling av dennes personuppgifter. Anledningen till detta är den beroendeställning som arbetstagaren har till sin arbetsgivare och som gör det svårt att visa på frivillighet, vilket är ett krav. Det är bra om det tydligt framgår i anställningsavtalet att det ingår i arbetet att synas i vissa sammanhang. Detta kan vara lite olika från tjänst till tjänst. En negativ aspekt av detta är att bilderna måste tas bort när anställningsavtalet upphör. Detta kan gå att lösa genom att upprätta ett ytterligare avtal, istället för att baka in denna del i anställningsavtalet. Det är möjligt och lämpligt att fråga medarbetare om de godkänner att ställa upp på bild och respektera deras svar. Detta är en integritetsskyddande åtgärd och ska inte blandas ihop med ett samtycke.
  • Bilder i verksamheten på församlingsmedlemmar, körer och andra situationer
    Dessa bilder är oftast bäst att behandla med samtycke som grund. Viktigt gällande samtycke är att det ska vara lika lätt att ge som att ta tillbaka. Om ett samtycke tas tillbaka är det viktigt att det finns rutiner för att ta bort de personuppgifter, bilder i detta fall, som behandlas om personen. Samtycke har inga formkrav men för att kunna leva upp till kravet att visa att samtycke givits är det bra att dokumentera samtycken, gärna digitalt.
  • Bilder på modeller
    Om bilder på modeller används för verksamheten går det att reglera hur bilderna ska användas i ett avtal. Detta kan användas för att visa ett brudpar vid altaret i er kyrka. En fördel är att bilder på modeller kan användas på ett enklare sätt. Eftersom modeller just arbetar med att vara med på bild, regleras oftast hur bilden får användas i ett så kallat modellavtal.

I detta svar hanteras den rättsliga grunden vilket ofta är det svåra gällande bilder. Personuppgiftsbehandlingarna måste utöver detta leva upp till de andra kraven i GDPR.

Svar: Om ni lever upp till vissa krav

Denna fråga aktualiseras bland annat gällande konfirmationer. Huvudregeln är att personuppgifter bara får användas till det som de samlas in till. Vad personuppgifterna samlas in till ska beskrivas i ändamål i registerförteckningen. Så svaret beror på vad som står i verksamhetens registerförteckning. Om det står att uppgifterna ska användas för att kunna genomföra en konfirmation går det att argumentera för att det ingår att bli inbjuden på återträff för era konfirmander. Detta är en utmärkt lärdom att ta med sig till nästa år genom att anpassa ändamålet så det med all önskvärd tydlighet täcker återträffen, samt se till så att bevarandetiden rymmer återträffen.

Svar: Utvärdera situationen

En oavsiktlig, olaglig eller obehörigt röjande av eller åtkomst till, förstöring, förlust eller ändring av personuppgifter är en personuppgiftsincident. Så att mejla fel är nästan alltid en personuppgiftsincident eftersom det är ett obehörigt röjande och att mejl nästan alltid innehåller personuppgifter.

Om incidenten sannolikt leder till risker för de registrerades fri- och rättigheter behöver den anmälas till IMY inom 72 timmar. Denna bedömning kan vara svår att göra och det kan vara lämpligt att ta hjälp av ert dataskyddsombud.

Publicerad: Uppdaterad: