Lyssna

GDPR

Dataskyddspolicy, personuppgiftpolicy och personuppgiftsbehandling medlemmar

GDPR Definitioner och begrepp

Vad är GDPR?​
GDPR står för General Data Protection Regulation, den svenska översättningen är dataskyddsförordningen. Det är en EU-lagstiftning som Sverige ska tillämpa direkt, precis som om det vore en svensk lag. GDPR handlar om att privatpersoner ska kunna kontrollera vem som har deras personuppgifter och i vilken utsträckning. Företag får endast samla in de personuppgifter som de behöver och de måste hantera uppgifterna på rätt sätt. ​

Syftet med GDPR är att uppnå en enhetlig dataskyddsreglering i EU, och på så sätt stärka individers rättigheter. Många av GDPR:s regler liknar de som idag finns i personuppgiftslagen (PUL). De största förändringarna jämfört med PUL är dock just att de registrerades (personerna vars uppgifter behandlas av en personuppgiftsansvarig) rättigheter utökas, att sanktioner som drabbar sådana personuppgiftsansvariga vars personuppgiftsbehandling inte följer lagen blir hårdare, och att kraven på personuppgiftsansvariga i övrigt skärps.​I och med att GDPR träder i kraft den 25 maj 2018 har svenska företag och myndigheter ett stort arbete framför sig med att se till att de lever upp till GDPR:s krav​. 

Vad är personuppgifter?
​Med personuppgifter menas all information ("varje upplysning") som direkt eller indirekt går att koppla till en identifierbar levande person, särskilt med hänvisning till en identifierare såsom namn, personnummer, lokaliseringsuppgifter eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. E-postadresser, telefonnummer och bilder är några vanliga exempel på personuppgifter.

Elektroniska identiteter kan räknas som personuppgifter om de går att koppla till levande personer. Exempel är IP-nummer, eller cookies som lagrar information om en användares besök på en webbplats. Även uppgifter som är krypterade, anonymiserade eller på annat sätt avidentifierade är personuppgifter om de med hjälp av kompletterande information (och utan ett allt för omfattande arbete) kan kopplas till en fysisk levande person.

Uppgifterna måste finnas i någon form av register för att täckas av GDPR. En sko är inte en personuppgift enligt GDPR när den bärs av en levande person, men om en skomakare skriver upp i sitt register vem skon tillhör kan den informationen anses vara en personuppgift.​​​

Vilka är konsekvenserna av att inte följa GDPR?

Till skillnad från vad som gäller enligt PUL, kommer GDPR inte att medföra någon risk för böter eller fängelse vid olaglig personuppgiftsbehandling. Däremot introduceras höga så kallade sanktionsavgifter som kan komma i fråga för personuppgiftsansvariga företag som bryter mot GDPR:s bestämmelser. Dessa sanktionsavgifter, som har ett tak på 20 000 000 EUR, har utan tvekan en potential att bringa företag och organisationer i konkurs. I Sverige har det dessutom föreslagits att även myndigheter ska kunna drabbas av sanktionsavgifter, dock endast upp till ett tak på 20 000 000 SEK.

 Sanktionsavgifter är dock inte det enda personuppgiftsansvariga behöver oroa sig för – fysiska personer som har "lidit materiell eller immateriell skada till följd av en överträdelse av [GDPR]" kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet. I praktiken är detta troligtvis den största risken, eftersom Datainspektionen i nuläget har långt ifrån de resurser som skulle krävas för att se så att GDPR följs.

Grundläggande definitioner​

Behandling - Alla åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, lagring och bearbetning.  

Personuppgiftsansvarig - Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde - Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Alla som kommer åt eller kan komma åt personuppgifter är personuppgiftsbiträden, t.ex. leverantörer av system innehållande personuppgifter.

Registrerade - De fysiska, levande personer vars personuppgifter behandlas.

Tillsynsmyndighet - Den nationella myndighet som ska övervaka att GDPR efterlevs i landet. I Sverige är det Integritetsskyddsmyndigheten som kommer att vara tillsynsmyndighet enligt GDPR (se Grundläggande definitioner). På Integritetsskyddsmyndigheten hemsida, www.imy.se  läggs kontinuerligt ut information om dataskyddsreformen samt om hur GDPR ska tolkas och efterlevas.

Grundläggande principer

GDPR har sex grundläggande principer för personuppgiftsbehandling: 

1.     Laglighet, korrekthet och öppenhet. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt gentemot den registrerade.

2.     Ändamålsbegränsning. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål.

3.     Uppgiftsminimering. Personuppgifter ska vara adekvata, relevanta och inte för omfattande för behandlingens ändamål.

4.     Korrekthet. Personuppgifter ska vara korrekta och uppdateras vid behov.

5.     Lagringsminimering. Personuppgifter får inte lagras på ett sådant sätt att de kan användas för att identifiera en registrerad under en längre period än vad behandlingsändamålen kräver.

6.     Integritet och konfidentialitet. Lämplig säkerhet ska säkerställas för personuppgifter som behandlas, så att obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse kan undvikas.​

Lagliga grunder 

För att få behandla personuppgifter måste behandlingen vila på dels ett berättigat ändamål (se Grundläggande principer), dels minst en av de lagliga grunder som räknas upp i GDPR. Genom att bygga på en laglig grund uppfylls även den första dataskyddsprincipen – att personuppgifterna behandlas på ett lagligt sätt.

Samtycke. Den registrerade har lämnat entydigt, frivilligt och specifikt samtycke.
Avtal. Behandlingen är nödvändig för att fullgöra eller ingå ett avtal.
Rättslig förpliktelse. Behandlingen är nödvändig för att kunna fullgöra en rättslig förpliktelse.
Intresseavvägning. Grundläggande intresse: Behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen.
Allmänt intresse: Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.
Myndighetsutövning: Behandlingen är nödvändig som ett led i myndighetsutövning.
Berättigat intresse: Behandlingen är nödvändig för ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre.

När personuppgifter samlas in ska den registrerade få information om bland annat vilken laglig grund behandlingen av hens personuppgifter vilar på. Det måste därför säkerställas redan innan uppgifterna samlas in vilken laglig grund som är aktuell. Det räcker dock inte att det finns en laglig grund för behandlingen – den måste fortfarande uppfylla resten av kraven som ställs upp i GDPR, såsom de grundläggande principerna.

Vad är skillnaden mellan de lagliga grunderna samtycke och avtal?

Skillnaden mellan de lagliga grunderna samtycke och avtal är att ett samtycke är frivilligt och kan ges för personuppgifter som inte är strikt nödvändiga att behandla, medan ett avtal kräver viss behandling av personuppgifter.

Exempel:
För att kunna veta vilka som är medlemmar och inte behöver ni ha deras personuppgifter. Ni behöver även kontaktuppgifter för att kunna ha medlemsvård. Lagringen av kontaktuppgifterna grundar sig då på avtal, eftersom den är nödvändig för att kunna uppfylla avtalet som medlemskapet innebär.​

Inför ett läger är det bra för er att veta vad de medverkande har för allergier. Men eftersom sådan information inte är nödvändig för att avtalet (att medverka på läger) ska kunna uppfyllas, måste den medverkande samtycka till att uppgifter om allergi sparas.​
Vad krävs för att publicera bilder i församlingsbladet och på webben?

Tidningar som har ansvariga utgivare får publicera bilder utan att inhämta tillåtelse på något sätt. I de fallen agerar de som skriver och publicerar bilder som journalister och behöver bara ta hänsyn till att inte begå exempelvis förtal, förolämpning, högförräderi och olaga hot.

För annan typ av publicering eller spridning, behövs samtycke från de personer som går att identifiera på bilderna. Samtycket behöver inte vara skriftligt, men det är församlingen som har bevisbördan. Av den anledningen rekommenderas att det dokumenteras på något sätt.

Frivilligarbetare

Objektivt sätt anses det att frivilligarbetare utgör arbete å Svenska Kyrkans vägnar. Därmed ligger ansvaret för hur de hanterar personuppgifter på respektive församling/pastorat/stift. Därför rekommenderas att samtliga frivilligarbetare har skrivit under sekretessavtal där det bland annat framgår hur de ska tänka när de hanterar personuppgifter.

Roslagen norra pastorats dataskyddsombud
Frida Risberg
dso@xeeda.se, 072-227 32 86.
  

Länkar om GDPR

Läs mer på Svenska kyrkans hemsida om GDPR
eller på  Integritetsmyndighetens hemsida

Dataskyddspolicy

Personuppgiftsansvar

Roslagens norra pastorat är personuppgiftsansvarig för behandlingen av personuppgifter för medlemmar i Svenska Kyrkan. Information om hur du kontaktar oss finns under rubriken Om oss längst upp på sidan.

Insamling av personuppgifter

Vad en personuppgift är

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till fysisk person som är i livet. Det gäller till exempel namn, personnummer, adress, e-postadress och telefonnummer. Det gäller också till exempel krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis OP-nummer, om de kan kopplas till fysiska personer.

Hur vi samlar in personuppgifter och vilka uppgifter vi samlar in
Roslagens norra pastorat samlar in personuppgifter på flera sätt dels genom Svenska Kyrkans gemensamma medlemsregister men i första hand direkt från dig.

Offentlighetsprincipen

Svenska Kyrkan tillämpar offentlighetsprincipen och det innebär att skrivelser som skickas oss kan bli allmänna handlingar. Ärenden som berör bikt och själavård faller under sekretess.

Uppgifter som samlas in i samband med kyrklighandling

När du bokar en Kyrklighandling så som dop, vigsel, begravning samlar vi in personuppgifter från dig för att kunna fullgöra din beställning. Det är uppgifter om namn, personnummer, adress och kontaktuppgifter så som telefonnummer och e-postadress. Detta för att kunna genomföra den kyrkliga handling som du som medlem efterfrågat. Om bokningen omfattar barn samlar vi in samma uppgifter som ovan rörande barnet då det odöpta barnet ännu inte är medlem i Svenska Kyrkan.

Uppgifter som samlas in vid personlig kontakt

Vi samlar in personuppgifter från dig när du kontaktar oss, till exempel via expeditionen på e-post, telefon eller på andra sätt. I första hand samlar vi in de personuppgifter som behövs för att kunna besvara din fråga eller hantera ditt ärende. Det är uppgifter om namn och ärende. Beroende på hur du väljer att kontakta oss kan vi också samla in kontaktuppgifter som till exempel e-postadress eller telefonnummer. 
Vid personlig kontakt samlar vi också in de övriga personuppgifter som du själv väljer att lämna till oss. Det kan till exempel vara uppgifter om allergier, hälsotillstånd eller andra uppgifter om dig eller ditt barn som vi kan behöva för att möta speciella behov av till exempel allergikost i samband med grupper och samlingar.

Hantering och lagring av personuppgifter

Roslagens norra pastorat rättsliga grund att behandla dina personuppgifter
Roslagens norra pastorat behandlar dina personuppgifter lagenligt. Det kan förekomma att samma personuppgifter behandlas både med stöd av samtycke så som medlemskap i Svenska Kyrkan och fullgörande av avtal då Roslagens norra pastorat administrerar begravningsverksamheten som lyder under begravnings lagen.  Det innebär att även om du återkallar ditt samtycke och den behandling som grundas på samtycket upphör, kan personuppgiften ändå finnas kvar hos oss för andra ändamål. I huvudsak behandlar vi dina uppgifter för att fullgöra ett avtal i vilket du är part så som medlem i Svenska Kyrkan.

 

 

Lagkrav

Behandling av dina personuppgifter kan slutligen också komma att ske för att vi ska kunna uppfylla förpliktelser enligt lagar och förordningar.

Lagringstid

Vi sparar dina personuppgifter så länge som det krävs för ändamålet med behandlingen. Vi sparar alla de personuppgifter vi samlar in i vårt för Svenska Kyrkans gemensamma medlemsregister. I medlemsregistret spara personuppgifter och i kyrkoboken arkiveras de kyrkliga handlingarna som genomgåtts.

Samma personuppgifter kan lagras på flera olika ställen för olika ändamål. Det kan innebära att en uppgift som har gallrats ur ett system för att den inte längre är nödvändig kan finns kvar i ett annat system där den lagras med stöd av samtycke eller för ett annat ändamål där personuppgiften fortfarande behövs.

Rätt att begära information

Vill du veta om Roslagens norra pastorat behandlar personuppgifter om dig, skicka en undertecknad begäran till oss. Du har rätt att begära information om personuppgifter som behandlas om dig hos Svenska Kyrkan Roslagens norra pastorat och att få uppgifter rättade. Observera att Roslagens norra pastorat enbart har tillgång till personuppgifter som behövs för ditt medlemskap i Svenska Kyrkan.

Personuppgiftspolicy

1. Tillämplighet och omfattning                

Denna Policy är tillämplig på anställda, förtroendevalda, medlemmar, leverantörer, ombud, företrädare och andra affärspartners till Roslagens norra pastorat förväntas följa denna Policy, i den mån de behandlar personuppgifter för Roslagens norra pastorats vägnar. 

Denna Policy ska vara tillgänglig för anställda och förtroendevalda inom Roslagens norra pastorat samt, på begäran i enlighet med tillämplig lag, för Integritetsskyddsmyndigheten.

I den mån tillämplig lag fastställer ytterligare krav ska den tillämpas vid sidan av Policyn. Om tillämplig lag strider mot denna Policy ska Kyrkoherden för Roslagens norra pastorat informeras för att kunna avgöra hur situationen ska hanteras.

2. Syfte

Syftet med denna Policy är att säkerställa att Roslagens norra pastorat uppfyller legala krav och undviker oacceptabla legala risker. Policyn förklarar Roslagens norra pastorats inställning vad gäller skydd av personuppgifter.

3. Policy

Roslagens norra pastorats Policy är att följa tillämplig dataskyddslagstiftning och bedriva verksamhet på ett sätt som respekterar integritet i förhållande till Roslagens norra pastorats behandling av personuppgifter.

All information som relaterar till en identifierbar levande person, såsom namn, ålder, kontaktuppgifter, CV eller information om beteende är personuppgifter. Roslagens norra pastorat samlar in, använder och i övrigt behandlar personuppgifter om sina anställda, förtroendevalda, medlemmar och vissa andra individer.

I detta avseende gäller följande för Roslagens norra pastorats behandling av personuppgifter:

Laglighet, korrekthet och öppenhet: Insamling, användning och övrig behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt gentemot den registrerade. Roslagens norra pastorat ska underlätta för den registrerade att utöva sina rättigheter i enlighet med gällande lag.
Ändamålsbegränsning: Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål. Roslagens norra pastorat ska tillse att det finns rutiner för gallring eller avidentifiering av personuppgifter vars behandling inte längre är nödvändig för sina ursprungliga ändamål.
Endast behandling på laglig grund: Personuppgifter ska endast behandlas om en laglig grund finns för behandlingen.
Lagringsminimering: Roslagens norra pastorat kommer endast att lagra personuppgifter så länge som detta är nödvändigt för att uppfylla verksamhetens fastställda behov av behandlingen. När lagring inte längre är nödvändig av dessa skäl, kommer Roslagens norra pastorat att radera, begränsa eller anonymisera personuppgifterna i fråga.
Information om behandling av personuppgifter: Roslagens norra pastorat ska, i enlighet med tillämplig lag, tillhandahålla information till berörda personer om behandlingen av personuppgifter.
Åtkomst till personuppgifter: Roslagens norra pastorat ska ge åtkomst till personuppgifter i enlighet med tillämplig lag.
Invändningar mot behandling: Roslagens norra pastorats ska tillse att den registrerade kan invända mot behandling som utförs på basis av ett allmänt eller berättigat intresse eller i direkt marknadsföringssyfte, och ska godta en sådan begäran när det är aktuellt.
Dataportabilitet: Personuppgifter ska på begäran från den registrerade överföras från Roslagens norra pastorat till ett annat företag, om det är tekniskt möjligt. I vilket fall som helst ska Roslagens norra pastorat, i de fall det är aktuellt enligt lag, kunna lämna ut personuppgifter i ett allmänt använt, maskinläsbart format och underlätta så långt möjligt för den registrerade att själv överföra sina uppgifter till ett annat företag.
Uppgiftsminimering och korrekthet: Personuppgifter ska vara adekvata, relevanta och inte för omfattande för behandlingens ändamål, och ska uppdateras vid behov. Felaktiga uppgifter ska rättas eller kompletteras, antingen på Roslagens norra pastorats eget initiativ eller på den registrerades begäran.
Anlitande av personuppgiftsbiträden: Roslagens norra pastorat får tilldela tredje parter uppgifter vilka involverar att de tredje parterna kommer att ha åtkomst till och behandla personuppgifter på Företagets vägnar (personuppgiftsbiträden).  Roslagens norra pastorat ska alltid säkerställa att personuppgiftsbiträdena uppfyller denna Policys krav samt krav som följer av tillämplig lag. Roslagens norra pastorat ska särskilt ingå biträdesavtal med personuppgiftsbiträden för att kunna ställa krav på hur personuppgifterna får behandlas. 
Personuppgifter utanför EU/EES: Det finns restriktioner för överföring av personuppgifter till mottagare utanför EU/EES. Roslagens norra pastorat ska följa de restriktioner som ställs upp av tillämplig lag.
Integritet: Roslagens norra pastorat ska utvärdera risker i relation till Roslagens norra pastorats behandling av personuppgifter samt vidta lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska säkerställa en tillräcklig nivå av integritet och säkerhet. Företaget ska i synnerhet säkerställa skydd av personuppgifter mot obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse.
Inbyggd integritet: Roslagens norra pastorats ska säkerställa att system som köps in och utvecklas är integritetssäkrade. För att ett system ska anses vara integritets säkrat ska de grundläggande principerna i dataskyddsförordningen vara inbyggda direkt i systemet på så sätt att användningen av systemet lever upp till dessa principer som standard. 
Dataskydd som standard: Roslagens norra pastorat ska säkerställa att system som köps in och utvecklas uppnår en god nivå av säkerhet för personuppgifter som standard. Integritet ska vara regeln, inte undantaget. 

Roslagen norra pastorats dataskyddsombud
Frida Risberg
dso@xeeda.se, 072-227 32 86.