Lyssna

Behandling av personuppgifter - GDPR

EU beslutade 2018 om dataskyddsförordningen, förkortad GDPR. Lagstiftningen ger dig som registrerad, en fysisk person vars personuppgifter vi behandlar, rättigheter gällande vår behandling av dina personuppgifter.

Lättläst version

Den här texten är en fullständig informationstext som utgår från vår intregritetspolicy. Den innehåller juridiska termer och detaljer för att du ska kunna förstå exakt hur vi tillämpar GDPR i vårt arbete. Vill du ha en mer lättläst och sammanfattande version finns den här.

Dataskyddsförordningen - GDPR

Dataskyddsförordningen, förkortad GDPR från engelskans General Data Protection Regulation, är en EU-lag som tydliggör och stramar åt organisationers och företags behandling av personuppgifter, i syfte att skydda den registrerades personuppgifter från att missbrukas eller delas ut på felaktiga grunder. Den ställer höga krav på företag och organisationer som vill samla in personuppgifter att göra det på ett säkert sätt samt ställer krav på att samla in så lite som möjligt. Den ger även den registrerade flertalet rättigheter för att kunna ta kontroll över sina personuppgifter och se till att ett företag eller organisation inte använder för många personuppgifter eller använder de på ett felaktigt sätt.

GDPR - definitioner

I GDPR används många olika begrepp. Undertill beskrivs de centrala begrepp inom GDPR:

Personuppgiftsansvarig - En personuppgiftsansvarig är en juridisk person som samlar in personuppgifter och behandlar de. I Månsarps församling är kyrkorådet personuppgiftsansvarig.

Registrerad - En registrerad är en fysisk, nu levande person vars personuppgifter blir behandlade hos en organisation.

Personuppgift - En personuppgift är information som direkt eller indirekt kan identifiera en person. Det angår allt från namn och telefonnummer till inspelningar av rösten och anställningsnummer. Känsliga personuppgifter är en typ av personuppgifter som betraktas som extra känsliga och får endast behandlas vid särskilda undantag. Personuppgifter som betraktas som känsliga är: etnicitet, politisk åsikt, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, sexualliv eller sexuell läggning, genetiska uppgifter och biometriska uppgifter som används för identifiering. Vissa personuppgifter har stärkt skydd trots att de inte betraktas som känsliga, uppgift om lagöverträdelse och personnummer är vissa exempel.

Behandling av personuppgift - En behandling av en personuppgift innebär all hantering av någon personuppgift, oavsett om det sker elektroniskt eller på annat vis. Insamling, lagring, registrering, spridning och förstörelse av personuppgifter bland annat räknas alla som behandling av personuppgift.

Ändamål - Varje personuppgiftsbehandling måste ha ett visst ändamål. Ändamålet beskriver vad man eftersträvar med en viss personuppgiftsbehandling.

Rättslig grund - Varje personuppgiftsbehandling måste vila på en rättslig grund. Utan en rättslig grund är ingen personuppgiftsbehandling laglig.

Registrerades rättigheter - Som registrerad har man flertalet rättigheter angående sina personuppgifter, dessa är: information, tillgång, rättelse, radering, begränsning, invändning, dataportabilitet samt att inte bli föremål för automatiserade beslut.

Dataskyddsombud - Ett dataskyddsombud är en person inom organisationen. Dataskyddsombudet har koll på om organisationen följer GDPR, är sakexpert inom dataskydd och hjälper oss på vägen inom dataskyddsarbetet. Man kan höra av sig till dataskyddsombudet om man har invändningar eller frågor i dataskyddsarbetet.

Inbördes arrangemang - Ett inbördes arrangemang är ett avtal mellan två personuppgiftsansvariga som kommer överens om ansvar och ändamål för personuppgiftsbehandlingar. Inom Svenska kyrkan finns det mellan den nationella nivån och alla församlingar.

Personuppgiftsbiträde - Ett personuppgiftsbiträde är en juridisk person som behandlar personuppgifter på en personuppgiftsansvarigs vägnar. Ett personuppgiftsbiträde avtalas genom ett speciellt avtal, som beskriver vad biträdet ska göra åt den ansvarige. Biträdet får inte behandla uppgifter på annat sätt en vad som är avtalat.

Integritetsskyddsmyndigheten - Integritetsskyddsmyndigheten, IMY, är den tillsynsmyndighet som utövar tillsyn gällande dataskydd och GDPR i Sverige. De har även mycket information om dina rättigheter som registrerad och vilka skyldigheter vi har gentemot er. Har man klagomål om dataskyddet kan man anmäla det hos IMY.

Församlingen som personuppgiftsansvarig

Inom Svenska kyrkan är respektive församling personuppgiftsansvarig i viss mån. I Månsarps församling är kyrkorådet det högsta styrande organet och är således även personuppgiftsansvarig och kyrkoherden leder verksamheten. Församlingen har som ansvar att sköta personuppgifter på ett lagligt och korrekt sätt. Församlingen är personuppgiftsansvarig i bland annat följande processer:

  • i kontakter och möten med församlingen, till exempel när kyrkliga handlingar genomförs (dop, konfirmation, vigsel och begravning),
  • i diakonverksamhet och annan social verksamhet,
  • i olika grupper (exempelvis barn- och ungdomsverksamhet och körer),
  • vid evenemang (exempelvis konserter),
  • när församlingen förvaltar egendomar och fonder,
  • vid rekrytering av medarbetare.

Församlingens personuppgiftsbehandling

För medlemmar inom Svenska kyrkan behandlas bland annat namn, kontaktuppgifter, personnummer, civilstånd och medlemstyp. För vårdnadshavare vars barn är medlemmar behandlas uppgifter om namn, personnummer, kontaktuppgifter, tillhörighetsuppgifter och civilstånd.

Är du aktiv i församlingens verksamhet kan vi komma att behandla ytterligare information utöver det ovanstående. Vi samlar in de personuppgifter som krävs för att fullgöra skyldigheter mot dig och mot lagen. Det kan vara information om eventuell allergi, händelseförlopp eller annan information relevant till verksamheten.

Vår kontakt sker ofta genom telefon eller e-post. Uppgifter som framkommer med anledning av kommunikationen innebär ofta en personuppgiftsbehandling. I samtalen framkommer det i regel uppgifter som går att hänföra till personer, som namn och kontaktuppgifter.

Varför behandlar vi personuppgifter?

För att kunna fullgöra vårt statliga uppdrag innefattande begravningsverksamhet, genomföra verksamheter eller bevaka dina intressen, inhämtar vi och behandlar personuppgifter. Vi behandlar enbart personuppgifter som krävs för att uppfylla ett ändamål, exempelvis att ingå i avtal eller för det ömsesidiga intresse att upprätthålla åtaganden mellan medlem och församling där personuppgifter krävs. Församlingen behandlar personuppgifter av olika anledningar, nedan följer några exempel.

För medlemmar:

  • Medlemsskapets administration.
  • Kommunikation med medlemmar.
  • Planering och utförande av dop, konfirmation och vigsel.


För icke-medlemmar:

  • Vid kommunikation av omyndiga medlemmar kan vårdnadshavarens personuppgifter behandlas, trots frånvarande medlemsskap.
  • Den som är relationsperson vid en begravning får sina personuppgifter behandlade för att anordna begravningen.
  • Den som är närstående till en anställd eller förtroendevald kan få sina personuppgifter behandlade som nödkontakt om något oförutsett händer.

Laglig grund

För att behandla personuppgifter måste vi stödja oss på en av sex lagliga grunder, vilka är avtal, samtycke, berättigat intresse, allmänt intresse, grundläggande intresse samt rättslig förpliktelse. Nedan beskrivs vilken lagrig grund som används i vanligt förekommande sammanhang.

I vissa fall behandlar vi personuppgifter för vi har en rättslig förpliktelse att göra det. Bland annat behandlar vi uppgifter med hänvisning till lagen (1998:1591) om Svenska kyrkan och lagen (1999:291) om avgift till registrerat trossamfund. Behandling kan även uppstå på grund av lagkrav i samband med bokföring eller ärende kring inkomstskatt, vilket innebär att vi ofta måste spara uppgifter en längre tid än vad som krävs för det ursprungliga ärendets natur.

Ibland baserar vi behandlingar på berättigat intresse, såsom vid inkommen e-post. I de fall vi stödjer oss på berättigat intresse får du gärna höra av dit till oss för att lära dig mer om hur intresseavvägningen har gått till.

Svenska kyrkan lyder under kyrkoordningen, där vissa skyldigheter stadgas. Vi bedömer att kyrkoordningen har funktionen av ett avtal mellan organisation och medlemmen. Vi stödjer oss således på avtal när vi behandlar dina personuppgifter i registret över våra medlemmar. Likaså stödjer vi oss på avtal när en medlem deltar i verksamheter.

När det gäller bildmaterial från verksamheter baserar vi i första hand behandlingen på samtycke från den som förekommer på bilden. Denna lagliga grund används generellt då behandlingen inte är så omfattande. Den registrerade har rätt att när som helst dra tillbaka sitt samtycke.

Inte sällan behandlar vi känsliga personuppgifter. I sådana fall kräver det att vi även har ett förordningsstadgat undantag för att samla in dessa personuppgifter. Om vi behandlar känsliga personuppgifter lämnar vi information om vilket undantag vi använder oss av i den situationen.

Vid mer detaljerade situationer hänvisar vi till respektive processbeskrivning för att se bland annat lagliga grunder.

Säkerhet vid hantering av personuppgifter

Vi utvärderar fortlöpande risker med de personuppgiftsbehandlingar vi utför. För att skydda personuppgifter från förlust och obehlrig åtkomst har vi vidtagit flera säkerhetsåtgärder som anses relevanta. Åtgärderna är både tekniska och organisatoriska, den sistnämnde är av extra vikt eftersom de flesta incidenter sker på grund av mänskliga faktorer. Vi säkerställer vidare att endast behörig personal har tillgång till uppgifter och har god koll på uppgifterna under verksamhetens gång.

När du besöker vår hemsida kan sökmotorer samla in lämnade datakakor för att använda till eget bruk, exempelvis profilering. Vi rekommenderar att du justerar inställningarna efter vad du anser lämpligt. Månsarps församling tar ej del av sökmotorernas statistik.

Var får församlingen uppgifterna?

Uppgifterna hämtas alltid i första hand från den registrerade. Vissa personuppgifter, som adress, hämtas direkt från folkbokföringen. Vi anser att det är viktigt att kontaktuppgifter hålls uppdaterade och hämtar dessa från offentliga register för att säkerställa detta.

Inom ramen för verksamheten kan det även förekomma att vi behandlar personuppgifter om dig till följd av en tredje part som lämnar information och underlag, antingen muntligt eller genom e-post, som innehåller personuppgifter.

Mottagare av personuppgifter

Uppgifter som lämnas till Månsarps församling behandlas i normalfallet enbart inom organisationen i den omfattning som krävs för att tillgodose de förpliktelser vi har.

Personuppgifter kan, i undantagsfall, lämnas ut och behandlas av andra än oss. Månsarps församling lämnar uppgifter till bland annat myndigheter och systemleverantörer. Exempelvis lämnas personnummer och tillhörighetsuppgifter ut till Skatteverket, som i enighet med 16 § lagen (1998:1593) om trossamfund, hjälper Svenska kyrkan med bestämmande, debitering och redovisning av avgifter från medlemmar samt att hämta in avgifterna.

Svenska kyrkan lyder även delvis under offentlighetsprincipen. Principen framkommer av 11 § lagen (1998:1591) om Svenska kyrkan samt av kapitel 53 och 54 i kyrkoordningen.

Svenska kyrkan på nationell nivå har tagit fram flera nationella IT-system och stöd som vi använder. Personuppgifter som du lämnar till församlingen kan komma att lagras på system som andra organ inom Svenska kyrkan har tillgång till, således kan ett gemensamt personuppgiftsansvar föreligga med trossamfundet Svenska kyrkan (nationell nivå). Vi beskriver det inbördes arrangemanget där detta kan förekomma. Observera att vi är väldigt noggranna med att endast behörig personal har tillgång till känsliga personuppgifter.

Lagringstid i Svenska kyrkan och Månsarps församling

De personuppgifter som Månsarps församling samlar in lagras i enlighet med regler om registrering och arkivering i allmän lagstiftning, kyrkoordningen, Svenska kyrkans bestämmelser samt lokala gallringsrutiner.

Som utgångspunkt lagrar vi personuppgifter så länge det krävs för att uppfylla ändamålet med den insamlade informationen. Är ändamålet uppfyllt raderas i regel personuppgifter, men i vissa lagstadgade fall ska uppgifterna lagras en längre tid.

Svenska kyrkan behandlar dina personuppgifter under tiden du är medlem. I vissa fall fortsätter behandlingen även efter medlemsskapet är hävt. Till exempel behandlas:

  • utträdda medlemmar under tre månader efter verkställt utträde,
  • avregistrerade personer under tre månader efter avregistreringen,
  • avlidna medlemmar under två år efter dödsdagen, samt
  • barn som är antecknade i avvaktan på dop i fyra månader.

Svenska kyrkan är även skyldig att registrera och arkivera handlingar, vilket innebär att vi i vissa fall vidarebehandlar dina personuppgifter för arkivändamål av allmänt intresse. Detta gör vi av bland annat för att uppfylla offentlighetsprincipen och för att dokumentera sådant som är av historiskt intresse.

Dina rättigheter som registrerad

Som registrerad har du ett antal rättigheter som är till för att stärka din kontroll över dina personuppgifter. Du kan, när som helst, höra av dig för att utöva dina rättigheter gentemot oss kostnadsfritt (till en början) och vi har en skyldighet att kontrollera din begäran, säkerställa att ansökan stämmer och tillhandahålla resultatet av utövandet. Vid en begäran att utöva dina rättigheter kommer en identitetskontroll att göras för att säkerställa att uppgifter inte ges ut till obehöriga. Vi är skyldiga att återkomma till dig utan onödigt dröjsmål, men begäran måste svaras på inom en månad. Följande rättigheter (se menyn till höger) finns för dig som registrerad:

Rätten till tillgång

Rätten till tillgång innebär att du som registrerad har rätt att veta vilka personuppgifter som vi behandlar. Detta får du ut i ett registerutdrag. I registerutdraget ska du får information om vilka personuppgifter vi behandlar, ändamålet för behandlingen, vilka kategorier av personuppgifter som behandlas, om uppgifterna förs över till extern mottagare samt hur länge vi avser behandla dina personuppgifter.

I vissa fall får vi inte lämna ut samtliga personuppgifter. Vi kan inte lämna ut personuppgifter om det finns ett förbud för att röja dessa enligt kyrkoordningen eller om uppgiften omfattas av tystnadsplikt enligt lag och/eller kollektivavtal.

Exempel: Du har konfirmerat dig i församlingen och är sedan några år tillbaka delaktig i körverksamheten. Nu undrar du vilka personuppgifter som församlingen behandlar om dig.

Rätten till rättelse

Du har rätt att få felaktiga personuppgifter som rör dig rättade. I vissa fall kan du även ha rätt att komplettera uppgifter som du anser vara ofullständiga.

Exempel: Du får hem ett bren från församlingen där det framkommer fel kontaktuppgifter till dig. För att hindra att uppgifter hamnar fel, kontaktar du församlingen för att få detta rättat.

Rätten till radering

Rätten till radering, även kallat rätten att bli bortglömd, innebär att du har rätt att få dina uppgifter raderade. Anspråket används vanligtvis när dina personuppgifter inte längre är nödvändiga för de ändamål som uppgifterna behandlats för, när du återkallat ditt samtycke eller när du invänder mot behandlingen (se rätten till begränsning nedan) och det inte finns något berättigat skäl för behandlingen.

Observera att vi är, i flera fall, skyldiga att självmant radera uppgifterna om dig när ändamålet för behandlingen blir irrelevant.

Exempel: Du har deltagit i en gudstjänst där du lämnat ditt samtycke att bli fotograferad. Efter ett tag ångrar du dig och återkallar ditt samtycke. Församlingen är skyldiga att radera bilderna på dig.

Rätten till begränsning

Du kan, i vissa fall, begära att församlingen begränsar behandlingen av dina personupgifter. Begränsningen innebär vanligtvis att vi inte får radera registrerade uppgifter under en viss tid. Du har även rätt att begära begränsning när du ber oss rätta eller radera uppgifter, vilket innebär att vi inte får använda uppgifterna under tiden vi undersöker om vi kan rätta/radera dem.

Exempel:  

  • Om du är i en rättslig tvist och behöver dina personuppgifter som bevis. 
  • Om behandlingen är olaglig men du önskar att behandlingen begränsas istället för att uppgifterna raderas.
  • Om vi inte längre behöver uppgifterna, men du behöver uppgifterna för att kunna fastställa, göra eller försvara rättsliga anspråk.

Rätten att flytta personuppgifter

Du har rätt att begära ut de personuppgifter som vi har om dig för att föra över dessa på annat håll. Uppgifterna lämnas ut i ett strukturerat format som du sedan kan vidarebefodra till annan organisation. Rätten gäller endast om behandlingen grundar sig i de rättsliga grunderna avtal eller samtycke.

Uppfyller behandlingen kraven för dataportabilitet kan vi överföra uppgifterna direkt till organisationen som du önskar.

Exempel: Församlingen behandlar kontaktpersoner om dig eftersom du har arbetat ideellt i församlingen. Nu vill du få dina kontaktuppgifter överförda till en annan organisation. Vi kommer då att föra över relevanta kontaktuppgifter till ett excelark som du får ta del av.

Rätten att göra invändningar

Ibland behandlar vi personuppgifter med den rättsliga grunden berättigat intresse. Du har, som registrerad, när som helst rätt att invända mot behandlingar med denna rättslig agrund. Vi kommer då pröva om att upphöra med att behandla dina personuppgifter för det syftet.

Exempel: Församlingen behandlar dina personuppgifter för direktmarknadsföring. Du vill att de ska 
upphöra med detta och invänder mot behandlingen. Församlingen måste då sluta behandla uppgifterna för det ändamålet.

Rättigheter vid automatiska beslut

Blir dina personuppgifter behandlade med automatiska beslut, exempelvis algoritmer, har vi en skyldighet att meddela detta samt att du har rätt att kräva att inte bli föremål för detta. Månsarps församling tillämpar ej automatiska beslut och således blir rättigheten irrelevant gentemåt församlingen. Skulle vi börja med automatiska beslut är vi skyldiga att meddela detta.

Kontakt vid frågor och funderingar

Vi är måna om din personliga integritet och att skydda dina personuppgifter. Inom församlingen har vi en funktion som arbetar med dataskyddsfrågor och ett dataskyddsombud. Vill du komma i kontakt med oss gällande frågor om dataskyddet kan du göra det på mansarp.forsamling@svenskakyrkan.se.

Kontakta vårt dataskyddsombud

Du kan även kontakta vårt dataskyddsombud Tom Angeling. Han har, i sin roll, tystnadsplikt och kan självständigt vidta åtgärder i syfte att stärka dataskyddet i församlingen. Lämnar du uppgifter till dataskyddsombudet kommer de att användas i syftet med din kontakt. De kommer även ibland att lagras för att dataskyddsombudet ska kunna visa vilken grund det finns för rekommendationer och åtgärder. Uppgifter som inte krävs för detta kommer gallras. Kontaktuppgifter till dataskyddsombudet hittar du här.

Kontakta Integritetsskyddsmyndigheten (IMY)

Du har alltid rätt att kontakta Integritetsskyddsmyndigheten om du har synpunkter på vår behandling. Du kan kontakta tillsynsmyndigheten utan att kontakta oss först, men vi värdesätter om du berättar för oss vad du tycker så kan vi rätta till eventuella felaktigheter och ta med synpunkterna i vårt förbättringsarbete.