Viktiga ord och begrepp
Behandling av personuppgifter
Med behandling menas allt vi gör med personuppgifter, som till exempel samla in, registrera, lagra, radera eller sprida dem vidare.
Kyrkouppgifter
Uppgifter som exempelvis vilken församling personen tillhörde när hen döptes och konfirmerades vilket datum dopet respektive konfirmationen ägde rum.
Utträdda medlemmar
Medlemmar som sagt upp sitt medlemskap tas bort ur medlemsregistret efter tre månader.
Avregistrerade medlemmar
Medlemmar som sagt upp sitt medlemskap finns kvar i medlemsregistret som avregistrerad under tre månader för att kyrkan ska kunna hantera förvaltningsrutiner som kontakt med skatteverket med mera.
Antecknad i avvaktan på dop
Barn som har minst en vårdnadshavare som är medlem i Svenska kyrkan finns med i kyrkans medlemsregister i ”avvaktan på dop” tills de blir 4 månader. Efter det tas personuppgiften bort.
Kyrklig handling
Kyrkliga handlingar är dop, vigsel, konfirmation och begravning.
Rättslig grund
Varje behandling av personuppgifter kräver laglig grund. En behandling är endast tillåten om något av de sex villkoren i artikel 6 i dataskyddsförordningens är uppfyllt.
Rättslig förpliktelse
Personuppgifter får behandlas om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, alltså en skyldighet som följer av lag. Ett exempel på det är bokföringsskyldigheten som följer av bokföringslagen.
Avtal
Det är tillåtet att behandla personuppgifter om det är nödvändigt för att fullgöra ett avtal där personen är part eller för att vidta åtgärder på begäran av personen innan ett sådant avtal ingås. Två exempel på behandlingar som är nödvändiga i samband med avtal är behandling av personuppgifter i kund- och personaladministrativa system för fakturering och löneberäkning.
Skydd för grundläggande intressen
Det är tillåtet att behandla personuppgifter för att skydda grundläggande intressen. För att denna grund för behandling ska få användas måste det handla om ett intresse som är av avgörande betydelse för den registrerades eller någon annan persons liv. Det skulle kunna röra sig om en personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna sitt samtycke. Denna lagliga grund gäller även för behandling av känsliga personuppgifter.
Uppgift av allmänt intresse
Personuppgifter får behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. För att behandlingen ska vara tillåten enligt denna grund måste den uppgift som den personuppgiftsansvariga utför
vara en del av allmänt intresse eller utgöra ett led i myndighetsutövning
vara fastställd i enlighet med unionsrätten eller den nationella rätten
vara nödvändig (proportionerlig) för ett ändamål som är nödvändigt för att utföra uppgiften.
Denna lagliga grund gäller även för behandling av känsliga personuppgifter.
Berättigat intresse
Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning, om behandlingen är nödvändig för personuppgiftsansvariges eller tredje parts berättigade intressen, och de väger tyngre än personens intressen eller grundläggande rättigheter och friheter. Med tredje part menas en person som varken är personuppgiftsansvarig eller personuppgiftsbiträde.
Enligt dataskyddsförordningen är direktmarknadsföring ett sådant berättigat intresse, om nyttan väger tyngre än risken.
Samtycke
Samtycke innebär att en person går med på att personuppgifter behandlas för ett visst ändamål. Ett giltigt samtycke ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerade om att den godkänner behandlingen av personuppgifterna. Den registrerade har alltid rätt att dra tillbaka sitt samtycke.
För behandling av känsliga personuppgifter krävs att något av villkoren i artikel 9 är uppfyllt.
Tredje land
En överföring till tredje land är när personuppgifter som behandlas i ett EU- eller EES-land görs tillgängliga i ett land utanför EU/EES-området. Ett tillgängliggörande skulle exempelvis kunna ske genom att information innehållande personuppgifter överförs via e-post, eller att personuppgifter lagras i en molntjänst vars servrar finns utanför EU/EES.
Överföring av personuppgifter utanför EU/EES innebär en risk i sig eftersom dataskyddsförordningens skydd inte gäller där. Huvudregeln är därför att personuppgifter endast får överföras till länder inom EU/EES samt de länder, områden eller organisationer som kommissionen har ansett kunna säkerställa en tillräcklig säkerhetsnivå. För övriga överföringar utanför EU/EES krävs extra skyddsåtgärder, vilka framgår av artikel 46.