Lyssna

Hur hanterar vi personuppgifter?

Din personliga integritet är viktig för oss och därför vill vi informera om var dina personuppgifter hämtas ifrån, hur vi använder dem och vilka rättigheter du har.

Information om personuppgiftsincident

Det har kommit till Svenska kyrkans kännedom att någon hotar att 21 maj 2024 publicera information som stals i samband med cyberangreppet i november 2023.

Svenska kyrkan är Sveriges största medlemsorganisation och behandlar personuppgifter om väldigt många personer. Juridiskt sett består Svenska kyrkan av flera olika delar, som bland annat kyrkokansliet, stift, pastorat och församlingar. 

På den här sidan kan du läsa om hur Sundsvalls församling behandlar personuppgifter. Vill du veta hur Härnösands stift eller Kyrkokansliet behandlar dina personuppgifter så kontaktar du dem.

Vår webbplats har ansvarig utgivare

Sundsvalls församlings officiella webbplats svenskakyrkan.se/sundsvall har utgivningsbevis och därmed en ansvarig utgivare. Ansvarig utgivare för svenskakyrkan.se/sundsvall är vår kyrkoherde.

Utgivningsbevis innebär att det som publiceras här juridiskt faller under yttrandefrihetsgrundlagen och tryckfrihetsförordningen och omfattas därmed inte av dataskyddsförordningen, GDPR.  

Så här behandlar Sundsvalls församling dina personuppgifter om du 

Så här behandlar vi personuppgifter i

Personuppgifter för medlemmar i Svenska kyrkan

Som medlem i Svenska kyrkan är du en del av Sundsvalls församling. Vi erbjuder bland annat dop, konfirmationer, vigslar och begravningar, och firar gudstjänster, mässor och andakter. 

Vi ordnar också aktiviteter som öppna förskolor, ungdomsgrupper, pensionärsträffar, och sorgegrupper. För att vi ska kunna erbjuda det här till våra medlemmar måste vi behandla vissa personuppgifter.

De här personuppgifterna behandlar vi

Vi behandlar bland annat namn, kontaktuppgifter, personnummer, civilstånd,
tillhörighetsuppgifter, medlemstyp, folkbokföringsdatum, diarienummer för
hindersprövning, löpnummer och blankettnummer gällande kyrkliga handlingar.
För vårdnadshavare vars barn är medlem behandlar vi exempelvis uppgifter om namn, personnummer, kontaktuppgifter, civilstånd, tillhörighetsuppgifter och kyrkouppgifter. I samband med begravning behandlar vi relationspersonens namn, kontaktuppgifter, personnummer och information om vilken typ av anknytning personen hade med den bortgångna.

Vi behandlar också personuppgifter såsom namn, personnummer,
kontaktuppgifter och i vissa fall kostpreferenser i samband med deltagande
i någon av våra verksamhetsgrupper

Därför behandlar vi dina personuppgifter

Vi behöver föra register över vilka som tillhör Svenska kyrkan för att kunna administrera medlemskapet och ta ut kyrkoavgiften. Vi behandlar också dina personuppgifter för att kunna kommunicera med
dig som är medlem i Svenska kyrkan och för att du ska kunna delta i kyrkliga val och övriga aktiviteter. Ifall du som medlem är omyndig förekommer det att vi behandlar uppgifter om vårdnadshavare för att kunna kommunicera med dig, exempelvis vad gäller församlingens verksamhet. Vi måste även behandla dina och i vissa fall dina familjemedlemmars personuppgifter inför, under och efter utförandet av kyrkliga handlingar, exempelvis för att kunna hantera administration kring konfirmation, dop och vigsel.

Laglig grund

I de flesta fall behandlar vi dina uppgifter på grund av rättslig förpliktelse som hänför sig till Lagen om Svenska kyrkan 1998:1591, Lagen om avgift till registrerat trossamfund 1999:291 samt Lagen om trossamfund 1998:1593. Vid deltagande i verksamhetsgrupper, och särskilt när det gäller deltagande för barn under 16 år, behandlar vi dina personuppgifter utifrån samtycke. I vissa fall baserar vi våra behandlingar på berättigat intresse, såsom när det gäller dop och andra kyrkliga handlingar.

Lagringstid

Vi behandlar dina personuppgifter under tiden du är medlem i Svenska kyrkan. I vissa fall fortsätter vi att behandla dina uppgifter även efter att du har upphört att vara medlem.

  • Vi behandlar utträdda medlemmar under tre månader efter utträdet.
  • Vi behandlar avregistrerade under tre månader efter avregistreringen.
  • Vi behandlar temporärt lagrade under maximalt tre månader från det att informationen inhämtades.
  • Vi behandlar avlidna medlemmar under två år efter dödsdagen.
  • Vi behandlar barn som är antecknade i avvaktan på dop i fyra månader.

Svenska kyrkan är även skyldig att registrera och arkivera handlingar, vilket innebär att vi i vissa fall vidarebehandlar dina personuppgifter för arkivändamål av allmänt intresse.

Mottagare

Personnummer och tillhörighetsuppgifter lämnas ut till Skatteverket, som i enlighet med 16 § Lagen om trossamfund 1998:1593, hjälper Svenska kyrkan med bestämmande, debitering och redovisning av avgifter från medlemmar samt med att ta in avgifterna. Personuppgifterna kan kommas att lämnas ut i enlighet med Svenska kyrkans offentlighetsprincip, vilken framgår dels av 11 § Lagen om Svenska kyrkan, dels av kapitel 53 och 54 i kyrkoordningen. Uppgifterna behandlas även av IT-leverantörer och kan vidare komma att överföras till Svenska kyrkans utlandsförsamlingar varav några ligger i tredje land.
I vissa fall lämnas personuppgifter ut till en samverkande part i verksamheten. Den lagliga grunden till detta är berättigat intresse.

Härifrån kommer uppgifterna

Inför kyrkliga handlingar och vid deltagande i vår gruppverksamhet hämtas
personuppgifter direkt från den registrerade eller dess vårdnadshavare.
I övrigt hämtas personers kontaktuppgifter från folkbokföringen.

Personer som inte är medlemmar

Vi behandlar personuppgifter om personer som inte är medlemmar av skäl
som hänför sig till kommunikation med våra medlemmar och administration
kring begravningar.

Vilka personuppgifter behandlar vi?

För vårdnadshavare vars barn är medlem behandlar vi exempelvis uppgifter om namn, personnummer, kontaktuppgifter, civilstånd, tillhörighetsuppgifter och kyrkouppgifter. I samband med begravning behandlar vi relationspersonens namn, personnummer och information om vilken typ av anknytning personen hade med den bortgångna. Vi kan även komma att behandla dina personuppgifter om du är en närstående till en anställd, ideell eller en förtroendevald. Vi behandlar i sådana fall namn, personnummer, kontaktuppgifter och information om vilken relation du har med den anställde, förtroendevalde eller ideelle. Vi behandlar också personuppgifter såsom namn, personnummer, kontaktuppgifter och i vissa fall kostpreferenser i samband med deltagande i någon av våra verksamhetsgrupper.

därför behandlar vi personuppgifterna

Vi behandlar personuppgifter i samband med deltagande i verksamhetsgrupper för att kunna kommunicera med dig och hålla dig informerad om eventuella förändringar i verksamheten. Vi behandlar uppgifter om dig som vårdnadshavare till en omyndig medlem för att kunna kommunicera med dig och medlemmen, till exempel om vad församlingen erbjuder för verksamhet. Vi behandlar dina personuppgifter för att församlingen ska kunna anordna begravningar. Vi sparar även uppgifter om vilka som är relationspersoner till personer i Svenska kyrkans begravningsbok och kontaktpersoner till dödsbo för den administration som utförs efter begravningen. Personuppgifter som rör närstående till anställda och förtroendevalda behandlas för att Svenska kyrkan ska ha en kontaktperson om något oförutsett inträffar.

Laglig grund

I de flesta fall behandlar vi dina uppgifter på grund av rättslig förpliktelse som grundar sig på följande lagar: Lag om Svenska kyrkan, 1998:1591; Lag om avgift till registrerat trossamfund 1999:291 samt Lag om trossamfund 1998:1593. Vid deltagande i verksamhetsgrupper, och särskilt när det gäller deltagande för barn under 16 år, behandlar vi dina personuppgifter utifrån Samtycke. I vissa fall baserar vi våra behandlingar på berättigat intresse, såsom när det gäller kommunikation och administration.

Lagringstid

Vi behandlar dina personuppgifter under tiden som vi har ett behov av uppgifterna för att uppfylla ändamålet med behandlingen. Svenska kyrkan är även skyldig att registrera och arkivera handlingar, vilket innebär att vi i vissa fall vidarebehandlar dina personuppgifter för arkivändamål av allmänt intresse. 

Mottagare

Personuppgifterna kan kommas att lämnas ut i enlighet med kyrkoordningens offentlighetsprincip, vilken framgår av dels 11 § Lagen om Svenska kyrkan, dels kapitel 53 och 54 i kyrkoordningen. Uppgifterna behandlas även av IT-leverantörer och kan dessutom komma att överföras till andra enheter inom Svenska kyrkan som ligger i tredje land. I vissa fall lämnas personuppgifter ut till en samverkande part i verksamheten. Den lagliga grunden till detta är berättigat intresse.

Härifrån kommer uppgifterna

Personuppgifter rörande deltagande i gruppverksamhet eller för behandling av närstående hämtas från den registrerade och personuppgifter för kommunikation om vår verksamhet gällande vårdnadshavare i avvaktan på dop kommer från folkbokföringen.

Personuppgifter i socialamedier

Här kan du läsa om hur Sundsvalls församling hanterar personuppgifter i nedanstående sociala medier-kanaler.  

Därför använder vi sociala medier

Sundsvalls församling vill finnas där människor finns. En plats för öppenhet, närvaro och hopp. 

Sundsvalls församling är aktiv på Facebook och YouTube. Här kan du läsa om hur vi hanterar dina personuppgifter i sociala medier och om varför du bör vara försiktig med vad du delar. 

Personuppgifter vi behandlar, hur och varför

Sociala medier bygger på att du som användare skapar och delar eget innehåll. Genom att interagera med andra personer och sidor skapar du ett mervärde för dig själv och andra. Samtidigt betyder detta att du bidrar till spridandet av personuppgifter (både dina egna och andras) som är mer eller mindre känsliga.  

Sundsvalls församling behandlar uppgifterna i syfte att kommunicera med människor som tar kontakt med oss, samt med andra som är intresserade av Svenska kyrkans innehåll. Vi behandlar uppgifter genom att läsa, besvara, dölja och ibland radera kommentarer och inlägg i våra kanaler.  

Om du väljer att publicera innehåll (till exempel skriva kommentarer, dela ett inlägg, skicka ett direktmeddelande, ladda upp en bild) på någon av våra sidor så kommer dina personuppgifter att behandlas. Det kan vara genom att ditt namn blir synligt och klickbart eller att dina intressen loggas.

Dina personuppgifter lagras/används alltid i den tjänst du publicerat dem i (till exempel Facebook). Svenska kyrkan har ingen kontroll över hur dessa leverantörer hanterar dina uppgifter, det regleras helt av deras villkor.  

Du kan alltid radera det du har publicerat (till exempel kommentarer) och sluta gilla/följa Sundsvalls församlings konton för att minska de personuppgiftsbehandlingar som görs när du interagerar med kontona.

Överföring till tredje land

Publicering på sociala medier innebär oftast att det material som publiceras förs över till länder utanför EU och EES, framför allt USA. USA:s lagstiftning uppfyller inte alla de krav som ställs av EU:s dataskyddsförordning, vilket kan innebära vissa risker för personuppgifterna.  

Framför allt kan brottsbekämpande myndigheter i USA komma att få tillgång till personuppgifter hos leverantören av den sociala tjänsten. Sådana myndigheter är främst intresserade av uppgifter som kan leda till att terrorism förhindras.  

Leverantören har åtagit sig genom sina villkor att så långt möjligt skydda personuppgifterna på det sätt som krävs inom EU, men måste lämna över uppgifter till brottsbekämpande myndigheter i USA om de får en sådan begäran.  

Det kan vara svårt eller omöjligt att hävda sina rättigheter gällande personuppgifter som de brottsbekämpande myndigheterna har fått tillgång till. Vi ber er att ha dessa risker i åtanke när ni väljer att dela innehåll på sociala medier.  

Personuppgifter och marknadsföring på sociala medier

Ibland marknadsför vi inlägg på sociala medier, framför allt på Facebook.  Syftet med att annonsera på Facebook (här ingår även Instagram, Messenger och andra funktioner som Facebook erbjuder) är främst att nå längre med våra inlägg och öka räckvidden. Annonsering är också nödvändig för att nå specifika målgrupper som vi inte vanligtvis når i vår kommunikation.  

Annonser kan ha olika målsättningar till exempel att driva trafik till en webbsida, att få fler visningar av en video eller mer interaktion. Annonser kan även användas för att marknadsföra eller informera om evenemang med publik/deltagare såsom konsert, seminarium eller gudstjänst.  

För att annonserna ska kännas relevanta för mottagaren skapar vi målgrupper som bygger på den information Facebook samlat in om användarna. Detta är profilering men nödvändigt för att kommunikationen ska vara träffsäker och effektiv.  

Genom att annonsera på sociala medier får Sundsvalls församling inte tillgång till uppgifter som går att koppla till en viss person. All behandling av personuppgifter utförs av leverantören av den sociala tjänsten. 

Facebook

Facebookkontot som omfattas är Svenska kyrkan Sundsvalls församling

Vi behandlar dina personuppgifter med stöd av vårt berättigade intresse av att vara kyrka på nätet.  

Väljer du att skicka privata meddelanden till oss erbjuder Facebook inga möjligheter att radera konversationen.  

Om du inte vill att dina personuppgifter ska finnas i inlägg på vår Facebooksida kan du ta kontakt med oss och berätta vilket inlägg det gäller så hjälper vi dig. Personuppgifter i form av gilla, dela och kommentarer tar du bort på egen hand. 

YouTube

Facebookkontot som omfattas är https://www.youtube.com/sundsvallsforsamling

Vi behandlar dina personuppgifter med stöd av vårt berättigade intresse av att vara kyrka på nätet.  

Väljer du att skicka privata meddelanden till oss erbjuder youTube inga möjligheter att radera konversationen.  

Om du inte vill att dina personuppgifter ska finnas i inlägg på vår youTube-sida kan du ta kontakt med oss och berätta vilket inlägg det gäller så hjälper vi dig. Personuppgifter i form av gilla, dela och kommentarer tar du bort på egen hand. 

Dina rättigheter


Rätt till tillgång

Du har alltid rätt att få veta ifall personuppgifter som rör dig håller på att behandlas. Om behandling pågår ska du få tillgång till personuppgifterna, tillsammans med information om bland annat:
• Ändamål med behandlingen.
• Vilka kategorier av personuppgifter som behandlas.
• Om personuppgifterna överförs till en extern mottagare.
• Hur länge Svenska kyrkan planerar att behandla dina personuppgifter.


Rätt till rättelse av personuppgifter

Du har rätt att få felaktiga personuppgifter som rör dig rättade utan onödigt
dröjsmål. I vissa fall kan du även ha rätt att komplettera personuppgifter som
du anser vara ofullständiga.


Rätt till radering

Du har rätt att få dina personuppgifter raderade. Denna rättighet gäller bland
annat när
• dina personuppgifter inte längre är nödvändiga för de ändamål som uppgifterna behandlats för.
• du återkallat ditt samtycke till behandlingen och det inte finns någon
annan rättslig grund för behandlingen.
• du invänder mot behandlingen och det inte finns något berättigat skäl för
behandlingen som väger tyngre.


Rätt till begränsning av behandlingen

Du har rätt att kräva att behandlingen av dina personuppgifter begränsas,
exempelvis i följande fall:
• Under den perioden du bestrider personuppgifternas korrekthet.
• Om behandlingen är olaglig men du önskar att behandlingen begränsas
istället för att uppgifterna raderas.
• Om Svenska kyrkan inte längre behöver uppgifterna, men du behöver
uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga
anspråk.
• Om du invänt mot behandling och väntar på en kontroll av om Svenska
kyrkans berättigade skäl väger tyngre än dina berättigade skäl.
• Om behandlingen av dina personuppgifter begränsas kommer vi enbart
att lagra dina personuppgifter, ifall du inte har samtyckt till annat.


Rätt att flytta personuppgifter (Dataportabilitet)

Du har rätt att få ut de personuppgifter som rör dig eller som du tillhandahållit oss. Vi kommer att lämna ut personuppgifterna i ett strukturerat
format och du kan sedan överföra uppgifterna till en annan organisation om
du så önskar.

Denna rätt har du bara om du samtyckt till behandlingen av dina personuppgifter eller om behandlingen baserar sig på ett avtal med Svenska kyrkan.


Om behandlingen uppfyller kraven på så kallad dataportabilitet kan vi
även överföra personuppgifterna direkt till den mottagare som du vill överlämna uppgifterna till.


Rätt att göra invändningar

Svenska kyrkan behandlar ibland personuppgifter på den lagliga grunden
berättigat intresse. Du har rätt att när som helst, av skäl som rör din
specifika situation, göra invändningar mot behandlingar av dina personuppgifter som grundar sig på berättigat intresse.

Om vi behandlar dina personuppgifter för direktmarknadsföring har du
alltid rätt att invända mot behandlingen. Vi kommer då att upphöra med att
behandla dina personuppgifter för just direktmarknadsföringssyften.


Rätt att dra tillbaka samtycke

Om du har samtyckt till att Svenska kyrkan får behandla dina personuppgifter har du rätt att när som helst återkalla ditt samtycke. Vi kan
komma att fortsätta behandla uppgifterna i enlighet med det ursprungliga
samtycket, men vi kommer inte att uppdatera eller komplettera uppgifterna.

 

Kontaktuppgifter

Personuppgiftsansvarig: Sundsvalls församling, org. nr. 252004-8196, Box 222, 851 04, Sundsvall

Sundsvalls församling har utsett ett dataskyddsombud. Om du har frågor, synpunkter eller vill lämna in en begäran om att utöva dina rättigheter kan du kontakta:

Dataskyddsombud:  IT-Säkerhetsbolaget i Skandinavien AB (556915-8990), Petra Kanon, petra.kanon@svenskakyrkan.se

Du kommer i normalfallet att få svar inom 30 dagar från det att din begäran mottagits.

För frågor mejla: sundvall.gdpr@svenskakyrkan.se

Om du inte skulle vara nöjd med hur vi hanterat din begäran har du alltid rätt framföra klagomål till Integritetsskyddsmyndigheten.

 

 

Viktiga ord och begrepp


Behandling av personuppgifter

Med behandling menas allt vi gör med personuppgifter, som till exempel samla in, registrera, lagra, radera eller sprida dem vidare.

Kyrkouppgifter

Uppgifter som exempelvis vilken församling personen tillhörde när hen döptes och konfirmerades vilket datum dopet respektive konfirmationen ägde rum.

Utträdda medlemmar

Medlemmar som sagt upp sitt medlemskap tas bort ur medlemsregistret efter tre månader.

Avregistrerade medlemmar

Medlemmar som sagt upp sitt medlemskap finns kvar i medlemsregistret som avregistrerad under tre månader för att kyrkan ska kunna hantera förvaltningsrutiner som kontakt med skatteverket med mera.

Antecknad i avvaktan på dop

Barn som har minst en vårdnadshavare som är medlem i Svenska kyrkan finns med i kyrkans medlemsregister i ”avvaktan på dop” tills de blir 4 månader. Efter det tas personuppgiften bort.

Kyrklig handling

Kyrkliga handlingar är dop, vigsel, konfirmation och begravning.

Rättslig grund

Varje behandling av personuppgifter kräver laglig grund. En behandling är endast tillåten om något av de sex villkoren i artikel 6 i dataskyddsförordningens är uppfyllt.

Rättslig förpliktelse

Personuppgifter får behandlas om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, alltså en skyldighet som följer av lag. Ett exempel på det är bokföringsskyldigheten som följer av bokföringslagen.

Avtal

Det är tillåtet att behandla personuppgifter om det är nödvändigt för att fullgöra ett avtal där personen är part eller för att vidta åtgärder på begäran av personen innan ett sådant avtal ingås. Två exempel på behandlingar som är nödvändiga i samband med avtal är behandling av personuppgifter i kund- och personaladministrativa system för fakturering och löneberäkning.

Skydd för grundläggande intressen

Det är tillåtet att behandla personuppgifter för att skydda grundläggande intressen. För att denna grund för behandling ska få användas måste det handla om ett intresse som är av avgörande betydelse för den registrerades eller någon annan persons liv. Det skulle kunna röra sig om en personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna sitt samtycke. Denna lagliga grund gäller även för behandling av känsliga personuppgifter.

Uppgift av allmänt intresse

Personuppgifter får behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. För att behandlingen ska vara tillåten enligt denna grund måste den uppgift som den personuppgiftsansvariga utför

vara en del av allmänt intresse eller utgöra ett led i myndighetsutövning
vara fastställd i enlighet med unionsrätten eller den nationella rätten
vara nödvändig (proportionerlig) för ett ändamål som är nödvändigt för att utföra uppgiften.
Denna lagliga grund gäller även för behandling av känsliga personuppgifter.

Berättigat intresse

Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning, om behandlingen är nödvändig för personuppgiftsansvariges eller tredje parts berättigade intressen, och de väger tyngre än personens intressen eller grundläggande rättigheter och friheter. Med tredje part menas en person som varken är personuppgiftsansvarig eller personuppgiftsbiträde.
Enligt dataskyddsförordningen är direktmarknadsföring ett sådant berättigat intresse, om nyttan väger tyngre än risken.

Samtycke

Samtycke innebär att en person går med på att personuppgifter behandlas för ett visst ändamål. Ett giltigt samtycke ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerade om att den godkänner behandlingen av personuppgifterna. Den registrerade har alltid rätt att dra tillbaka sitt samtycke.
För behandling av känsliga personuppgifter krävs att något av villkoren i artikel 9 är uppfyllt. 

Tredje land

En överföring till tredje land är när personuppgifter som behandlas i ett EU- eller EES-land görs tillgängliga i ett land utanför EU/EES-området. Ett tillgängliggörande skulle exempelvis kunna ske genom att information innehållande personuppgifter överförs via e-post, eller att personuppgifter lagras i en molntjänst vars servrar finns utanför EU/EES.

Överföring av personuppgifter utanför EU/EES innebär en risk i sig eftersom dataskyddsförordningens skydd inte gäller där. Huvudregeln är därför att personuppgifter endast får överföras till länder inom EU/EES samt de länder, områden eller organisationer som kommissionen har ansett kunna säkerställa en tillräcklig säkerhetsnivå. För övriga överföringar utanför EU/EES krävs extra skyddsåtgärder, vilka framgår av artikel 46.