Blå bakrund, med gula stjärnor i en cirkel runt ett hänglås med text GDPR.

Personuppgiftsbehandling

Västerås stifts riktlinjer innehåller instruktioner för hur skydd av personuppgifter ska hanteras.

Svenska kyrkan Västerås stift (i det följande ”Västerås stift” eller ”stiftet”) månar om din personliga integritet och eftersträvar en hög nivå av dataskydd. I stiftets riktlinjer för personuppgiftshantering informeras om hur stiftet som personuppgiftsansvarig behandlar personuppgifter om dem som på olika sätt kommer i kontakt med stiftet och som stiftet registrerar personuppgifter om. Med Västerås stift avses i detta dokument stiftsorganisationen och inte stiftets församlingar och pastorat. Riktlinjerna är uppdaterade den 27 april 2023.

Genom riktlinjerna för personuppgiftsbehandling lämnar vi information enligt reglerna i EU:s  dataskyddsförordning The General Data Protection Regulation (EU) 2016/679, ofta kallad dataskyddsförordningen, GDPR-förordningen eller bara GDPR. Dataskyddsförordningen antogs av EU den 27 april 2016 och gäller som lag i Sverige sedan 25 maj 2018. 

Stiftets roll som personuppgiftsansvarig.

Stiftsstyrelsen är ytterst ansvarig för stiftets personuppgiftsbehandling. 

Stiftet är personuppgiftsansvarig för följande kategorier av behandlingar: i olika kontakter och möten, när stiftet utövar tillsyn över och främjar arbetet i stiftets församlingar och pastorat (i tillsynsdelen har biskopen domkapitlet till sin hjälp) och när stiftet förvaltar sina egendomar och fonder. Vi behandlar också personuppgifter vid rekrytering och antagning (dels av präster, diakoner, församlingspedagoger och kyrkomusiker, dels av personal till stiftet).
I stiftets stöd till församlingar och pastorat ingår även att bistå dem i deras behandling av personuppgifter. Detta gäller till exempel Servicebyråns verksamhet liksom den gemensamma växeln. I flera av dessa relationer är stiftet personuppgiftsbiträde, då ligger ansvaret för att informera på den personuppgiftsansvariga församlingen.
Stiftet är ytterligare ansvarig inom en rad andra verksamhetsområden, vilka redogörs för utförligare under vilka personuppgifter som behandlas. 

I vissa fall behandlar stiftet personuppgifter även för församlingars/pastorats räkning som personuppgiftsbiträde.

I vissa fall behandlar stiftet personuppgifter även för församlingars/pastorats räkning, och i sådana situationer är stiftet personuppgiftsbiträde. När stiftet är personuppgiftsbiträde och församlingen/pastoratet är personuppgiftsansvarig, så är det församlingen/pastoratet som har ansvar att informera den registrerade. I viss utsträckning kommer även stiftet ändå att informera om dessa behandlingar i sina processbeskrivningar.

I andra fall beskrivs ansvarsfördelningen mellan Västerås stift och församlingar/pastorat i ett så kallat inbördes arrangemang. Detta gäller till exempel för de församlingar/pastorat som anslutit sig till Servicebyråns tjänster inom ekonomi och lön.

Har du synpunkter på församlingarnas/pastoratens personuppgiftsbehandling i dessa processer ska du vända dig direkt till den relevanta församlingen/pastoratet.

Här kan du söka efter ditt pastorat/din församling.

Kontakta dataskyddsansvarig och/eller dataskyddsombudet.

Det är viktigt för oss att du känner förtroende för hur vi behandlar personuppgifter om dig. Har du frågor eller synpunkter kan du kontakta dataskyddsansvarig Karin Spector genom att ringa 021-17 85 00 eller karin.spector@svenskakyrkan.se. Detsamma gäller om du vill utöva dina rättigheter

Du kan också kontakta vårt dataskyddsombud Niklas Barke, genom att ringa 021-17 85 00 eller niklas.barke@svenskakyrkan.se. Dataskyddsombudet har tystnadsplikt och kan självständigt vidta åtgärder i syfte att verka för ett gott inbyggt dataskydd i stiftet. Om du lämnar uppgifter till dataskyddsombudet kommer uppgifterna användas för det syftet, samt lagras för att kunna visa vilken grund det finns för de rekommendationer och åtgärder som ges, eftersom detta är en viktig del i stiftets inbyggda dataskydd. Uppgifter som inte behövs för detta ändamål kommer att gallras. 

Du har alltid rätt att kontakta Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen) om du har synpunkter på vår behandling. Detta får du givetvis göra utan att kontakta oss först, men vi värdesätter förstås att du också berättar för oss vad du tycker, så att vi kan rätta till felaktigheter och ta med synpunkterna i vårt kontinuerliga förbättringsarbete. 

Här beskrivs vilka rättigheter du har i förhållande till stiftets personuppgiftshantering.

Om du har synpunkter på hur stiftet behandlar dina personuppgifter eller anser att de behöver kompletteras har du rätt att begära att stiftet rättar dina personuppgifter, och om du inte vill att stiftet ska fortsätta behandla personuppgifter har du rätt att begära att stiftet ska radera dem. Stiftet kommer att rätta och radera personuppgifterna om det är möjligt i förhållande till ändamålet med behandlingen, de lagregler stiftet är skyldiga att följa och de avtal som stiftet ingått med dig som registrerad. I det här sammanhanget kan det vara bra att känna till att kyrkoordningen, som är Svenska kyrkans stadgar, i vissa delar anses vara ett avtal mellan Svenska kyrkan och dess medlemmar. Stiftet har också en skyldighet att registrera såväl inkomna som upprättade handlingar och diarieföra dem, vilket kan påverka möjligheten till rättelse och radering.

Om du gett ett samtycke till behandling har du alltid rätt att återkalla samtycket och då kommer stiftet att radera personuppgifterna som omfattas av samtycket. Den behandling som har skett av uppgifterna innan samtycket återkallades är dock fortfarande giltig.

Om du är i en rättslig tvist och behöver dina personuppgifter som bevis kan du också begära att stiftet inte raderar dina uppgifter (kallas begränsning eller frysning). Du har också rätt att begära begränsning när du ber oss rätta/radera uppgifter eller om du invänt mot en behandling, vilket innebär att stiftet inte får använda uppgifterna under den tid som stiftet undersöker om det är möjligt att göra det du begärt.

Slutligen har du rätt att få besked om vilka personuppgiftsbehandlingar stiftet gör om dig (kallas ibland registerutdrag). Ett sådant ska bland annat innehålla beskrivning av ändamål och laglig grund med behandlingarna och vilka kategorier personuppgifter det rör. Sådan information har vi redan sammanställt på övergripande nivå, se ovan, vilket är ett enkelt sätt för dig att få information hur vi arbetar med personuppgifter. Ett registerutdrag innebär att du ska få en överblick över behandlingar så du förstår var dina personuppgifter eventuellt behandlas (du har dock inte en ovillkorlig rätt att ta del av handlingar där dina personuppgifter finns – den frågan kan istället prövas enligt kyrkoordningens regler om offentlighet och förbud mot att röja uppgifter).  Observera också att stiftet inte kan lämna ut registerutdrag om detta kommer i konflikt med krav på tystnadsplikt i lag och kollektivavtal (lagkrav finns bland annat beträffande stiftets dataskyddsombud, och stiftet har också inskrivna krav om tystnadsplikt i kyrkoordningen och i stiftets kollektivavtal).

Här beskrivs hur personuppgifter behandlas i verksamheten.

Dessa riktlinjer beskriver på en övergripande nivå hur stiftet behandlar personuppgifter i olika verksamheter där stiftet har ett personuppgiftsansvar. För att förtydliga på detaljnivå kommer det också att läggas till ett antal processbeskrivningar i form av länkade PDF-dokument vilka utgår från stiftets vanligaste processer. I dessa processbeskrivningar kan du sedan steg för steg läsa om vilka personuppgifter stiftet behandlar, vilket ändamål behandlingen avser samt vilken rättslig grund respektive behandling baseras på. 

En beskrivning hur stiftet lagrar, gallrar och raderar personuppgifter.

Stiftet lagrar personuppgifter i enlighet med regler om diarieföring och arkivering i allmän lagstiftning, kyrkoordningen, Svenska kyrkans bestämmelser och Lagen om Svenska kyrkan. Svenska kyrkan har en tradition av att bevara information som kan vara av ett historiskt intresse, som ett sätt att dokumentera verksamheten. Stiftet lagrar inte personuppgifter längre än vad som är nödvändigt för att uppfylla ändamålet med behandlingen. Gallring sker därför i enlighet med dataskyddslagstiftningen. Radering av uppgifter kan också komma att ske i enlighet med gällande lagstiftning. Hur lagring, gallring och radering sker specifikt i stiftets olika verksamheter, framkommer av dessa riktlinjers olika processbeskrivningar. 

Exempelvis kan samma personuppgift (till exempel ditt namn) lagras på flera olika ställen för olika ändamål. Det kan innebära att en uppgift som har raderats ur ett system för att den inte längre är nödvändig kan finnas kvar i ett annat system eller register där den lagras för ett annat ändamål där personuppgiften fortfarande behövs.

Ett gemensamt personuppgiftsansvar kan föreligga mellan stift och nationell nivå.

Svenska kyrkan på nationell nivå har tagit fram flera nationella IT-system och stöd som vi använder i stiftets verksamhet. I många av processerna kan därför ett gemensamt personuppgiftsansvar föreligga eftersom vi inte helt kan bestämma över hur de systemen utformats och används. Vårt ansvar som personuppgiftsansvariga är vilka urval vi gör ur systemen och de registreringar som vi tillför. I de delar registrering sker i enlighet med ett gemensamt regelverk föreligger enligt stiftets mening ett gemensamt personuppgiftsansvar, vilket beskrivs i ett av Västerås stift upprättat inbördes arrangemang. Detta styr också hur vi kan arbeta i våra processer. Närmare beskrivning kommer att finnas i de processbeskrivningar där det är relevant. 

Svenska kyrkan har på nationell nivå beslutat om tre inbördes arrangemang som beskriver ansvarsfördelningen mellan Svenska kyrkans olika enheter. Det gäller det centrala tillhörighetsregistret, arbetet med kyrkoval samt jourhavande präst.

Svenska kyrkans bestämmelser om kyrkobokföring, se kap 6

Svenska kyrkans bestämmelser om kyrkoval

Promemoria ansvarsutredning jourhavande präst

I vårt uppdrag ingår att hjälpa våra församlingar och pastorat med IT-relaterade frågor. Detta innebär att vi ibland även har ett gemensamt personuppgiftsansvar med våra församlingar. 

Stiftet använder sig i stor utsträckning av Microsofts program i sitt arbete, vilket kan innebära en viss risk för att personuppgifter överförs till USA av Microsoft. Detta kan inträffa om Microsoft får ett föreläggande från en amerikansk myndighet att lämna personuppgifter till dem. Avtalet om tjänsterna har ingåtts mellan nationell nivå och Microsoft. Kommissionens godkända standardavtal används i den relationen. Microsoft uppger även att man kommer att motsätta sig överlämnande av personuppgifter till amerikanska myndigheter och att man är beredd att försvara detta i amerikanske domstol. Stiftets bedömning är att stiftet inte behandlar några personuppgifter som kan vara av intresse för amerikanska myndigheter. Detta i kombination med Microsofts försäkringar innebär att det finns en mycket liten risk att någon faktiskt tredjelandsöverföring kommer att ske. Stiftet kommer dock att följa frågan noggrant. 

Var får stiftet personuppgifter ifrån.

Stiftet kan komma att motta personuppgifter från tredje part inom en rad olika verksamheter. Det vanligaste är att detta sker vid kontakt via e-post. Även vid bokning av utbildningar och konferenser, anmälan till nyhetsbrev och vid kontakt i olika ärenden förekommer det att en person lämnar personuppgifter om en eller flera andra personer. 

Stiftet framhåller därför vikten av att noga överväga vilka personuppgifter du som individ lämnar till stiftet, och om vem. Som en del av det informationskrav som åligger varje personuppgiftsansvarig enligt dataskyddsförordningen, kommer stiftet att informera personen ifråga om att vi har fått uppgifter från dig i enlighet med denna lagstiftning. 

För att kunna hålla dina personuppgifter uppdaterade och korrekta kompletterar och uppdaterar vi i vissa fall uppgifterna från Skatteverket och kyrkobokföringen.

Här beskrivs hur i vissa fall profilering sker i rekryteringsförfaranden. Västerås stift har inga processer där automatiserade beslut sker.

Automatiserade beslut är en typ av process där personuppgifter ligger till grund för beslut som genereras utan att någon person är inblandad i beslutsfattandet. Detta sker till exempel när banker beslutar om beviljande eller avslag av kreditkortsansökningar. Angivande personuppgifter såsom inkomst behandlas då utifrån en algoritm som avgör om en sökt kredit kan beviljas en person eller ej. Västerås stift använder sig, som indikerat ovan, inte av några sådana algoritm-baserade beslut. Däremot sker i viss utsträckning automatisk profilering utifrån angivna personuppgifter och till exempel tester som används vid rekrytering. Sådan profilering används för att uppskatta en sökandes arbetsförmåga, pålitlighet, hälsa och liknande.  

Här beskrivs vilken rättslig grund stiftet stödjer sig på.

Alla behandlingar inom Västerås stifts verksamhet ska ha ett tydligt och avgränsat ändamål och behandlas med stöd av en rättslig grund, i enlighet med dataskyddsförordningen. Västerås stift arbetar utifrån processer där ändamål och rättslig grund identifieras och utgör grund för beslut om vilka behandlingar av personuppgifter som får ske och på vilket sätt de ska utföras.

Det kan förekomma att samma personuppgift behandlas med stöd av flera lagliga grunder i olika sammanhang. Det innebär att även om du skulle återkalla ett samtycke eller begära radering, så kan personuppgiften ändå finnas kvar hos oss för andra ändamål, om det till exempel finns ett avtal eller en rättslig förpliktelse som grund. 

Dataskyddsförordningen medger i enlighet med artikel 6 personuppgiftsbehandling om en eller flera av följande rättsliga grunder föreligger: 

- Samtycke

- Avtal

- Rättslig förpliktelse

- Skydda intressen av grundläggande betydelse

- Allmänt intresse

- Berättigat intresse

Stiftet utvärderar kontinuerligt riskerna med personuppgiftsbehandling.

Västerås stift vidtar löpande åtgärder för att uppfylla principerna om ”inbyggt dataskydd och dataskydd som standard”, i enlighet med Riktlinjer 4/2019 om artikel 25. Vi utvärderar kontinuerligt riskerna med den personuppgiftsbehandling som sker och vidtar nödvändiga säkerhetsåtgärder för att minska eventuella risker.

Två led i att uppfylla dessa principer är att stiftets personal utbildas kontinuerligt i dataskyddsfrågor och personuppgiftsbehandling, samt att stiftet har utsett ett dataskyddsombud.  

Anställdas personuppgifter behandlas som regel i processer inom verksamheten.

Som regel behandlas våra anställdas personuppgifter (till exempel namn, adressuppgifter, e-postadresser, telefonnummer, titel, befattning) i de flesta processer inom verksamheten när de anställda utför sina arbetsuppgifter, till exempel när de svarar på en fråga eller kontaktar någon. Olika ändamål med behandlingar beskrivs i varje process och gäller också för anställdas personuppgifter. Den rättsliga grunden för personuppgiftsbehandling i dessa situationer är framförallt avtal (anställningsavtalet eller till exempel avtal om publicering av bilder) och ibland kan en annan/ytterligare rättslig grund föreligga, såsom rättslig förpliktelse eller berättigat intresse (den beskrivs då i respektive process).

Inhyrd personal/konsulter som utför sitt arbete som om de vore anställda, det vill säga har sin huvudsakliga arbetsplats på stiftskansliet, räknas i detta sammanhang som anställda och inte som personuppgiftsbiträden. Relationen regleras i uppdragsavtal, sekretessförbindelser och liknande. 

Stiftets principer för hantering av personuppgifter i e-postmeddelanden och andra handlingar.

Hanteringen av handlingar ingår i beskrivningen av verksamhetens processer. För att göra bilden mer komplett redovisar vi här särskilt de principer vi har för hantering av personuppgifter i e-postmeddelanden och andra handlingar:

  1. De bestämmelser om diarieföring, arkivering och gallring som finns i kyrkoordningen och Svenska kyrkans bestämmelser är styrande för hanteringen av Svenska kyrkans handlingar. Bestämmelserna tydliggörs genom enhetens dokumenthanteringsplan.
  2. För arbetsmaterial (ännu ej färdigställda handlingar) gäller att flera versioner av dokument undviks (dokument ska sparas på ett sätt på en plats).
  3. E-postmeddelanden diarieförs i den utsträckning som framgår i dokumenthanteringsplanen och i övrigt sparas de på avsedd plats enligt punkt 2.
  4. När det behövs, kan vi vidarebefordra ett inkommande e-postmeddelande internt till rätt mottagare.
  5. Känsliga personuppgifter får endast skickas per e-post om de är krypterade.
  6. Vissa handlingar anges i gällande regelverk och dokumenthanteringsplan som handlingar av liten eller tillfällig betydelse. Så snart sådan e-post eller annan handling inte längre behövs för det ändamål det sparats för ska det raderas/destrueras.
  7. Om det finns behov att spara ett dokument som mall ska dokumentet rensas på alla personuppgifter innan mallen sparas.
  8. Det ska finnas en tydlig behörighetsstyrning i alla system som innehåller personuppgifter.

Utlämnande av personuppgifter i enlighet med stöd av Lagen om Svenska kyrkan och enlighet med kyrkoordningens bestämmelser.

Västerås stift lämnar ut personuppgifter med stöd av Lagen om Svenska kyrkan och i enlighet med kyrkoordningens bestämmelser om offentlighet och sekretess samt med hänsyn till de begränsningar som dataskyddsförordningen sätter, eller som i övrigt följer av svensk lagstiftning. 

I de fall det är nödvändigt delar stiftet dina personuppgifter med andra organisationer i den utsträckning dessa biträder stiftet i verksamheten. Sådana samarbetspartners kallas för personuppgiftsbiträden. Ett personuppgiftsbiträde är en organisation som behandlar information för stiftets räkning och enligt stiftets instruktioner. 

När dina personuppgifter delas med personuppgiftsbiträden sker det endast för de ändamål stiftet har angivit. Stiftet kontrollerar sådana personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier för de personuppgifter som delas. Stiftet skriver avtal med alla personuppgiftsbiträden där de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa stiftets säkerhetskrav.

Personuppgifter överförs normalt inte till tredjeland utanför EU/EES (där dataskyddsförordningen inte gäller) eller till internationella organisationer. Skulle en sådan överföring ändå ske, kommer vi att informera dig om detta. 

Detaljerna för olika typ av samarbeten där personuppgiftsbiträden används redogörs för i det följande.

Här beskrivs syftet med personuppgiftsbehandlingen och vilken typ av uppgifter som stiftet behandlar.

Västerås stift behandlar personuppgifter inom en rad verksamheter. De vanligaste uppgifterna som behandlas omfattar namn, kontaktuppgifter, uppgifter om medlemskap i Svenska kyrkan, anställning eller förtroendeuppdrag och nomineringsgrupps­tillhörighet. Inom domkapitlet och stiftsstyrelsens verksamhet förekommer bland annat även uppgifter om familjeförhållanden, hälsa, personliga omdömen och liknande. För de olika aktiviteter vi arrangerar kan vi också hämta in uppgifter om specialkost i de sammanhang där det serveras någon form av förtäring. De verksamheter inom vilka personuppgifter särskilt behandlas är:

- Biskopens kontakter

- Kyrko- respektive biskopsval

- Rekrytering

- Introduktion av nyanställda

- Antagning av präst och diakon

- Växelservice

- Servicebyrån

- Domkapitlets verksamhet

- Extern kommunikation

- Intern ekonomi

- Beviljande av medel ur stiftelser och liknande

- Barn och ungdomsverksamhet

- Internationellt arbete

- Intern och extern kommunikation

Stiftet hanterar även personuppgifter som inkommit från tredje part, detta redogörs separat under personuppgifter från tredje part

Definitioner

Begrepp som används för att beskriva personuppgiftsbehandling enligt dataskyddsförordningen.

Grundläggande principer

I dataskyddsförordningen finns ett antal grundläggande principer som gäller för all behandling av personuppgifter.