Foto: Pexels

Personuppgiftspolicy för Skellefteå pastorat

Vår personuppgiftspolicy syftar till att säkerställa att pastoratet fullgör den långtgående informationsskyldigheten som fastslagits i GDPR (Dataskyddsförordningen).

Inledning
Trossamfundet Svenska kyrkans verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medlemmar och allmänhet ska ha möjlighet att få insyn i verksamheten. De ska också kunna vara trygga med att information som samlas in får ett tillräckligt skydd och att informationen hanteras på ett korrekt sätt.

Syfte
Denna policy syftar till att säkerställa att Skellefteå pastorat behandlar personuppgifter på ett lagligt och korrekt sätt med hänsyn till individens rätt till skydd av sin integritet. Dokumentet beskriver pastoratets inställning vad gäller skydd av personuppgifter och grundläggande principer för hantering av personuppgifter i organisationen.

Ansvarsfördelning
Skellefteå pastorat är personuppgiftsansvarig. Organisationen ska i övrigt se till att det finns en ansvarsfördelning i verksamheten och resurser för att kunna säkerställa att behandling och skydd av personuppgifter sker enligt dataskyddsförordningens krav.

Personuppgifter
En personuppgift är information som är direkt eller indirekt kopplad till en fysisk, levande person genom identifierande såsom namn, personnummer och telefonnummer. Informationen kan också vara kopplad till beteendemönster, åsikter eller livssituation. En direkt personuppgift avser information som enskilt kan identifiera en fysisk person. En indirekt personuppgift avser information som tillsammans med andra direkta eller indirekta personuppgifter kan identifiera en fysisk person. Dataskyddsförordningens regler omfattar såväl strukturerade som ostrukturerade uppgifter som kan knytas till en levande fysisk person. Strukturerade personuppgifter lagras i till exempel dataregister, databaser eller ärende-och dokumenthanteringssystem. Ostrukturerade personuppgifter är personuppgifter som förekommer i löpande text och som till exempel lagras på hårddisk, i e-postsystem eller i form av pappersdokument eller som har publicerats på internet.

Känsliga och särskilt integritetskänsliga personuppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv, men även personuppgifter som rör lagöverträdelser. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga (skyddsvärda).

Grundläggande principer för personuppgiftsbehandling
Begreppet ”behandling” omfattar enligt dataskyddsförordningen all hantering av personuppgifter, till exempel insamling, registrering, lagring, framtagning, läsning, utlämnande samt spridning. Skellefteå pastorats rutiner för behandling och skydd av personuppgifter ska vara utformade så att såväl krav i lagstiftning som i inomkyrklig reglering uppfylls.

Följande principer är styrande för personuppgiftsbehandlingen: Laglighet, korrekthet och öppenhet

Alla personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Med lagligt menas bland annat att det ska finnas en rättslig grund för behandlingen. Öppet innebär att det ska råda transparens i förhållande till den registrerade hur personuppgifterna behandlas.

Ändamålsbegränsning
Personuppgifter ska bara behandlas för särskilda, uttryckligt angivna, dokumenterade och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål.

Uppgiftsminimering
Personuppgifter som behandlas ska vara relevanta och inte för omfattande i förhållande till det eller de ändamål för vilka de behandlas. 
 
Korrekthet
Personuppgifter som behandlas ska vara korrekta och, om ändamålet kräver det, uppdaterade. Församlingen ska vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas.

Lagringsminimering
Personuppgifter ska inte sparas på ett sätt som möjliggör identifiering av den registrerade längre än vad som är nödvändigt för ändamålet med behandlingen.

Skydd för personuppgifter
Personuppgifter ska skyddas mot såväl obehörig och otillåten behandling som mot förlust, förstöring eller skada genom olyckshändelse.

Ansvarsskyldighet
Skellefteå pastorat ska för alla behandlingar kunna påvisa att principerna för behandling av personuppgifter efterlevs och beskriva ansvarsfördelningen inom organisationen.

Arkivering och gallring av personuppgifter
Skellefteå pastorat har både ett lagstadgat krav på och ett egenintresse i att arkivera och bevara personuppgifter. När det ursprungliga ändamålet för behandlingen av personuppgifter har upphört ska de antingen gallras (raderas) eller bevaras för arkivändamål av allmänt intresse. Inga personuppgifter får gallras utan ett giltigt gallringsbeslut. Särskilda skyddsåtgärder ska vidtas för personuppgifter som ska bevaras för arkivändamål. Detta omfattar till exempel uppgiftsminimering och åtkomstbegränsning genom att personuppgifterna flyttas från den lagringsplats där de först behandlades.

Personuppgiftsbiträden
I de fall Skellefteå pastorat anlitar personuppgiftsbiträden ska avtal om detta upprättas.

Rutiner
Skellefteå pastorat ska ha rutiner för hur personuppgifter får behandlas, till exempel hur de ska samlas in, lagras, användas och arkiveras. Rutinerna ska vidare omfatta hur de registrerade (de vars personuppgifter behandlas av en personuppgiftsansvarig) ska tillmötesgås samt hur personuppgiftsincidenter ska hanteras.

Uppföljning
Efterlevnad ska följas upp och redovisas löpande, men minst en gång per mandatperiod. Uppdatering Dokumentet ska ses över minst en gång per mandatperiod och därutöver uppdateras vid behov.

Kommunikation
Policyn ska finnas tillgänglig på Skellefteå pastorats hemsida och intranät. Den ska presenteras i samband med att en person tillträder ett förtroendeuppdrag, anställs, uppdragstagare anlitas och då leverantörer kontrakteras eller andra former av samarbeten med extern part inleds.