En solros på en blomsteräng.
Foto: Maria Svensk

Integritetskyddspolicy för Motala församling

Integritet är viktigt för Motala församling och vi ansvarar för den personliga information som olika personer förser oss med.
Denna policy beskriver hur Motala församling behandlar, lagrar och hanterar personuppgifter.
Integritetsskyddspolicy för Motala församling som PDF >>


PERSONUPPGIFT


Med personuppgifter avses all information som direkt eller indirekt kan hänföras till en nu levande fysisk person. Exempel på personuppgifter är namn, adress, personnummer, telefonnummer, e-post, bildmaterial (igenkänning) och uppgift om hälsa. När det går att koppla en uppgift till en viss person är det en personuppgift. Krypterade uppgifter och olika slags elektroniska identiteter (till exempel IP-nummer) är också personuppgifter om de kan kopplas till fysiska personer.


BEHANDLING AV PERSONUPPGIFTER


Församlingen samlar in, använder och behandlar personuppgifter om exempelvis medlemmar, deltagare i grupper i våra verksamheter, anställda och affärskontakter.
Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller inte. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.


PERSONUPPGIFTSANSVARIG


Motala församling, organisationsnummer 252000-4520, med adress Sjögatan 9, 591 30 Motala är personuppgiftsansvarig för församlingens behandling av personuppgifter. Motala församling ansvarar för samtliga uppgifter som lämnas i kontakt med oss vilket kan vara på hemsidan, via telefon, brev, e-post, direkt till någon anställd eller på annat sätt. Som personuppgiftsansvarig har Motala församling ansvaret för att personuppgifter behandlas på ett säkert sätt och att GDPR, den allmänna dataskyddsförordningen inom EU, följs.
Församlingens främsta syfte med att behandla personuppgifter är för att vi ska kunna fullfölja våra åtaganden mot våra medlemmar men vi samlar även in uppgifter om de som inte är det men som vill bli kontaktad av oss av olika anledningar.


TILLÄMPLIGHET OCH OMFATTNING


Denna integritetsskyddspolicy riktar sig till samtliga anställda inom Motala församling.
Kunder, leverantörer, ombud, företrädare och andra affärspartners till församlingen förväntas följa denna, eller en jämbördig policy, i den mån de behandlar personuppgifter å församlingens vägnar. Policyn ska vara tillgänglig för församlingens anställda samt, på begäran i enlighet med tillämplig lag, för Integritetsskyddsmyndigheten, före detta Datainspektionen. I den mån tillämplig lag fastställer ytterligare krav ska dessa tillämpas vid sidan av policyn.


SYFTET MED DENNA POLICY


Syftet med policyn är att säkerställa att församlingen uppfyller rättsliga krav och undviker oacceptabla rättsliga risker. Policyn förklarar hur församlingen behandlar personuppgifter.


POLICY


Församlingen ska följa tillämpliga lagar, regler och föreskrifter som styr integritet och dataskydd och bedriva verksamhet på ett sätt som respekterar integritet i förhållande till församlingens behandling av personuppgifter. Vid församlingens behandling av personuppgifter gäller följande i dataskyddsförordningen fastställda principer:
Laglighet, korrekthet och öppenhet:
Insamling, användning och övrig behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt gentemot den registrerade. Församlingen ska underlätta för den registrerade att utöva sina rättigheter i enlighet med gällande lag. Den registrerade ska få en klar och tydlig information om hur personuppgifterna kommer att användas av församlingen.
Ändamålsbegränsning:
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål eller för obestämda framtida behov. Församlingen ska se till att det finns rutiner för gallring eller avidentifiering av personuppgifter vars behandling inte längre är nödvändig för det ursprungliga ändamålet.
Endast behandling på laglig grund:
Personuppgifter ska endast behandlas om en laglig grund finns för behandlingen.
Lagringsminimering:
Personuppgifter får bara sparas så länge som det är nödvändigt utifrån ändamålet för behandlingen. När församlingen inte längre har behov av uppgifterna ska de raderas, begränsas eller avidentifieras så att de inte längre kan kopplas till den registrerade.
Känsliga personuppgifter:
Vissa personuppgifter anses extra känsliga och har därför ett starkare skydd i dataskyddsförordningen. Dit hör bland annat medlemskap i fackförening, hälsa, etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, sexualliv eller sexuell läggning samt uppgifter om lagöverträdelser. Huvudregeln är att det är förbjudet att behandla känsliga uppgifter men det finns undantag från förbudet, till exempel om en person uttryckligen samtyckt till behandlingen. Här ställs högre krav än bara samtycke. I dataskyddsförordningen framgår hur undantagen ska tolkas. Ett undantag är religiösa samfunds behandling för kärnverksamheten. Personnummer och samordningsnummer får endast behandlas om det är motiverat med hänsyn till ändamålet med behandlingen. Anställda i församlingen ska iaktta särskild aktsamhet med känsliga personuppgifter.
Information om behandling av personuppgifter:
Församlingen ska, i enlighet med tillämplig lag, tillhandahålla information till berörda personer om behandlingen av personuppgifter.
Åtkomst till personuppgifter:
Församlingen ska ge åtkomst till personuppgifter i enlighet med tillämplig lag.
Invändningar mot behandling:
Församlingen ska se till att den registrerade kan invända mot behandling som utförs på basis av ett allmänt eller berättigat intresse eller i direkt marknadsföringssyfte, och ska godta en sådan begäran när det är aktuellt.
Dataportabilitet:
Den registrerade har rätt att på begäran få ut sina personuppgifter för att överföra dem till en annan personuppgiftsansvarig. Den registrerade har bara denna rättighet när behandlingen grundar sig på samtycke eller avtal och behandlingen sker automatiskt.
Uppgiftsminimering och korrekthet:
Personuppgifter ska vara adekvata, relevanta och inte för omfattande för behandlingens ändamål, och ska uppdateras vid behov. Felaktiga uppgifter ska rättas eller kompletteras, antingen på församlingens eget initiativ eller på den registrerades begäran.
Anlitande av personuppgiftsbiträden:
Församlingen får anlita ett personuppgiftsbiträde som för församlingens räkning behandlar personuppgifter. Biträdet ska kunna garantera att personuppgiftsbehandlingen uppfyller kraven i denna policy samt de krav som följer av tillämplig lag. Ett särskilt biträdesavtal ska upprättas mellan partnerna med detaljerade krav på hur personuppgifterna får behandlas för att därmed kunna säkerställa att den registrerades rättigheter skyddas.
Personuppgifter utanför EU-EES:
Det finns restriktioner för överföring av personuppgifter till mottagare utanför EU/EES. Församlingen ska följa de restriktioner som ställs upp av tillämplig lag.
Integritet:
Personuppgifter ska behandlas på ett sätt som säkerställer en lämplig säkerhet för uppgifterna. Det måste finnas en tillräcklig nivå av skydd mot att uppgifterna utsätts för otillåten eller obehörig behandling, eller att de felaktigt raderas eller skadas. Församlingen ska vidta lämpliga tekniska organisatoriska åtgärder i förhållande till risken med behandlingar.
Inbyggd integritet och dataskydd som standard (Privacy by Design och Privacy by Default). Församlingen ska säkerställa att system som köps in och utvecklas är integritetssäkrade. För att ett system ska anses ha ett tillräckligt bra integritetsskydd i förhållande till de uppgifter som behandlas ska de grundläggande principerna i dataskyddsförordningen vara inbyggda direkt i systemet på så sätt att användningen av systemet lever upp till dessa principer som standard.


ANSVAR OCH ÖVERTRÄDELSE

Samtliga anställda ska ha kännedom om policyn och följa den