tangentbord på laptop

GDPR – dataskyddsförordningen

Dataskyddsförordningen, GDPR, innebär ett stärkt skydd för den enskildes integritet genom hårdare krav på hur personuppgifter får behandlas. Lagen ersätter PUL från 1998.

Informationen är uppdaterad 2018-10-10 (ML)

Dataskyddsförordningen, GDPR (General Data Protection Regulation) har samma grund som PUL med nu kan sanktioner i form av högre viten utdömas än tidigare om lagen inte följs. Här informerar Equmeniakyrkan om hur lagen ska tillämpas i församlingen.

Här informerar vi om det vi vet idag utifrån församlingens perspektiv. Församlingen ska följa dataskyddsförordningen och arbeta med att tillämpa lagen. På equmenia.se finns motsvarande information för barn- och ungdomsarbetet. Båda sidorna uppdateras löpande allt efter som information tillkommer.

Avvikelser från informationen

Den församling som exempelvis äger bolag måste söka information på annat håll. Den informationen tas inte upp i kyrkans information.

Vad innebär dataskyddsförordningen?

Syftet är att stärka skyddet för fysiska personer avseende behandling av deras personuppgifter. Mycket påminner om PUL men i väsentliga delar är kraven högre, och de undantag som fanns i PUL för “ostrukturerad data” (missbruksregeln) gäller inte längre. Med ostrukturerad data menas bland annat löpande text, enklare listor, bilder och filmer, protokoll och e-post.

Både församlingen och Equmeniakyrkan nationellt måste definiera tydligare varför och hur vi hanterar personuppgifter. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte är relevanta för verksamheten. Den enskilde ska enkelt kunna finna tydlig information om de personuppgifter vi samlar in. Hur vi behandlar dem. Varför vi gör det och vilka rättigheter den enskilde har och de skyldigheter Equmeniakyrkan och församlingen har.

Datainspektionen får i GDPR större möjlighet för tillsyn. Myndigheten kan utdöma sanktioner och högre viten än tidigare. Den nya lagen beskriver också hur exempelvis förluster av data eller intrång i register måste anmälas. 

Arken

Arken kommer svara upp mot dataskyddsförordningens alla krav. De som är registrerade kan om de så begär få ut registerutdrag på sina personuppgifter, få felaktiga personuppgifter rättade eller få sina personuppgifter raderade.

Arken har ett bra skydd för personuppgifter bland annat genom säker inloggning men också för att det går att sätta olika behörighetsnivåer så att ingen ser fler uppgifterna än de behöver. Eftersom all aktivitet i systemet sparas i loggfiler är det enkelt att se exempelvis vem som har ändrat uppgifter.

Enligt GPDR ska alla personuppgifterna vara korrekta. Det innebär att personuppgifterna måste uppdateras om en person flyttar, byter namn, e-postadress, telefonnummer med mera. En gång i månaden får Repet därför uppdateringar av folkbokföringsadress och information om personer som avlidit.

Mer än bara Arken

Medlemsregistret Arken är det största systemet för hantering av personuppgifter i Equmeniakyrkan. Equmeniakyrkan och församlingen har ett gemensamt ansvar för att allt som hanteras i Arken ska följa dataskyddsförordningen.

GDPR omfattar all hantering och lagring av personuppgifter, även utanför Arken. Det kan till exempel vara församlingsboken, lägeranmälningar, medlemslistan i pärmen, protokoll, hemsida, mail, molntjänster osv.

Särskild skyddsvärda uppgifter

I GDPR beskrivs också personuppgifter som i förordningen betraktas som särskilt känsliga eller skyddsvärda och därmed ställer högre krav. Det är exempelvis uppgifter om religiös övertygelse, hälsa och allergi, personnummer, skyddade identiteter och uppgifter om barn under en viss ålder (som regeringen inte fastställt än).

Rättsligt stöd för religiösa organisationer

Som organisation med ”religiöst syfte” har församlingen och Equmeniakyrkan ett rättsligt stöd att hantera personuppgifter för medlemmar, tidigare medlemmar eller personer man har regelbunden kontakt med. För de här personuppgifterna krävs högre skyddsåtgärder jämfört med andra personuppgifter. Uppgifterna får hanteras i Equmeniakyrkan och församlingen men inte lämnas ut till annan part utan den registrerades samtycke.

Arbeta tillsammans

Den lokala hanteringen och lagringen av personuppgifter görs normalt i nära samverkan mellan församlingen och föreningen. Därför rekommenderar vi att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma rutiner som underlättar för alla i verksamheten att veta vad som gäller.

Samarbetsorganisationer

De personuppgifter ni samlar in och rapportera till andra, exempelvis kommun eller studieförbund, omfattas också av GDPR. Kontakta dem för att höra hur de anpassar sig till dataskyddsförordningen och vilka nya regler och rutiner som gäller för just ert samarbete.

Checklista för församlingen

Styrelsen i församlingen ansvarar för att lagen följs men utse gärna en person eller arbetsgrupp som leder arbetet, gärna i samråd med föreningen. Här finns fem frågeställningar för att komma igång med arbetet med GDPR i församlingen.

Hur ser det ut idag?

Vilka samlar in personuppgifter och hur? Vilka sköter Arken och andra register? Vilka personuppgifter behandlar vi? I vilka andra system och register behandlar vi personuppgifter och på vilken laglig grund? Hur avgör vi vilka uppgifter vi behöver samla in? Behöver vi uppdatera information, utskick eller material till medlemmar och allmänhet?

Dokument för nedladdning

Risker

Vilken typ av uppgifter har störst risk att leda till skador eller kränkningar för individen om de sprids? Vilka sätt att behandla de uppgifter vi använder idag innebär störst risker att misslyckas med att leva upp till kraven? (Vi rekommenderar att ni börjar ert GDPR-arbete med dessa.).

Vad får vi inte längre hantera eller spara?

Samlar vi in uppgifter idag som inte längre är tillåtna? Ligger information kvar efter att den inte längre behövs? Vad får vi och vad behöver vi arkivera? Om uppgifterna inte längre har ett berättigat ändamål eller lagstöd ska de raderas. Uppgifter som behöver sparas men inte behövs för daglig verksamhet ska arkiveras. Riksarkivet har ett uppdrag om att ta fram riktlinjer för arkivering, men det kan ta ett tag.

Målsättning

Sätt principer för hur personuppgifter ska behandlas genom exempelvis instruktioner och rutinbeskrivningar. Kanske behövs en policy för arkivering/gallring som beskriver hur och när personuppgifter ska ”städas”. Det är också bra att ta fram rutinbeskrivningar för hur en eventuell incident kring personuppgifter ska upptäckas och rapporteras. Kanske behövs en integritetspolicy.

Dokument för nedladdning

Utvärdera, dokumentera och informera

Se över system för att säkerställa att målsättningen/policyn följs. Dokumentera arbetet för egen del men också för att vid eventuell anmodan kunna visa Datainspektionen. Informera församling, ledare och anställda hur personuppgifter ska hanteras.

Informationsmaterial och blanketter

Förslag till information för församlingsverksamhet

Dessa är förslag från Equmeniakyrkan och kan användas som den är eller anpassas utifrån er församling och verksamhet.

Information till anslagstavla, församlingsblad och församlingsmöte om hantering av personuppgifter i församlingen.

Samtyckesblanketter

Blankett för förtroendevalda, ledare och anställda för att godkänna publicering i församlingsblad, hemsida och annan information

Blankett som skall användas när vi samlar in uppgifter som allergier och hälsotillstånd.

Arbetet framåt

Equmeniakyrkan kommer att fortsätta ta fram stöd i form av mallar för insamling av personuppgifter, förslag på olika arbetssätt och rutiner.

Frågor och svar

Som en organisation med ”religiöst syfte” har församlingen rätt att hantera personuppgifter för medlemmar, tidigare medlemmar och personer som man har regelbunden kontakt med. Uppgifterna får hanteras i församlingen och den nationella kyrkan men inte lämnas ut till annan part utan den registrerades samtycke.

Vi använder tre scenarion för att svara på frågan:

1. Internt församlingsblad som sänd ut till enbart medlemmar.

Om bladet inte når andra personer än medlemmar kan man jämställa församlingsbladet som internt och lika med en medlemslista. Bladet delas inte ut till andra än medlemmarna. Följande uppgifter kan då sändas med, personer som har ändrat adress, jämna födelsedagar och kontaktuppgifter inklusive bild gällande anställda, utan samtycke. Vi föreslår att församlingsmötet behandlar frågan om vilka uppgifter som skall finnas i församlingsbladet.

2. Församlingsblad som delas ut till medlemmar och till församlingens vänner eller församlingsbladet tryckt och delas ut i det lokala samhället.

Nu når församlingsbladet till människor som i den rättsliga grunden benämner \”annan part\”. Vi kan nu enbart publicera kontaktuppgifter inklusive bild gällande anställda och förtroendevalda. Samtycke måste ha intagits och att församlingen har en överenskommelse med varje person innan publiceringen. Man behöver även vara aktsam med bilder från verksamheten om en person kan identifieras måste samtycke intas

3. Församlingsblad som delas ut till medlemmar genom att använda vår hemsida.

Samma förutsättningar som scenario 2 gäller men det handlar om bilder räknas de som en personuppgift om bilden kan identifieras till en person. Man behöver ha samtycke från personen och fotografen.

Riksarkivet uppmanar föreningar, organisationer att inte radera eller gallra personuppgifter i sina arkivbestånd.  Vid kontakt med riksarkivet den 20 maj  2019 har vi fått ny information när regler och instruktioner kommer. Nya instruktioner gällande arkivering kommer innan årets slut.

Som en organisation med ”religiöst syfte” har församlingen rätt att hantera personuppgifter för medlemmar, tidigare medlemmar och personer som man har regelbunden kontakt med. Uppgifterna får hanteras i församlingen och den nationella kyrkan men inte lämnas ut till annan part utan den registrerades samtycke.

Vi kan sända ut en medlemslista till varje medlem/hushåll. Det är viktigt att medlemslistan inte finns på kyrkans anslagstavla utan i ett skyddat utrymme i kyrkan.

Vi avråder all annan publicering då det skulle innebära att varje medlem skulle behöva ge medgivande.

Dataskyddsförordningen (General Data Protection Regulation eller GDPR) är den nya dataskyddslagstiftningen för EU och dess medlemsstater. Från och med 25 maj 2018 ersätter den vår tidigare nationella lagstiftning PUL, personuppgiftslagen

Syftet med dataskyddsförordningen är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.

GDPR definierar en personuppgift som: ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.”

En upplysning räknas som personuppgift om den kan använda för att identifiera en fysisk person (ej juridisk person), antingen separat, eller i kombination av någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. 

När det gäller ”samtycke” som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.

Under PUL (personuppgiftslagen som GDPR ersätter) fanns det ett undantag för uppgifter i så kallade \”ostrukturerad\” form. Exempelvis personuppgifter i löptext, bilder etc. Undantaget, som kallades för ”missbruksregeln”, har tagits bort och nu omfattas även material i ostrukturerad form av GDPR.

Datainspektionen (som kommer att byta namn till integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Ja, Repet kommer svara upp mot GDPRs alla krav. De som är registrerade kan om de så begär få ut registerutdrag på sina personuppgifter, få felaktiga personuppgifter rättade eller få sina personuppgifter raderade.

Repet har ett bra skydd för personuppgifter bland annat genom säker inloggning men också för att det går att sätta olika behörighetsnivåer så att ingen ser fler uppgifterna än de behöver. Eftersom all aktivitet i systemet sparas i loggfiler är det enkelt att se exempelvis vem som har ändrat uppgifter.

Enligt GDPR ska alla personuppgifterna vara korrekta. Det innebär att personuppgifterna måste uppdateras om en person flyttar, byter namn, epostadress, telefonnummer med mera. En gång i månaden får Repet därför uppdateringar av folkbokföringsadress och information om personer som avlidit.

Hälsoinformation som exempelvis allergier etc, räknas i GDPR som särskilt känsliga uppgifter som ska hanteras extra varsamt och endast inhämtas för specifika arrangemang.

Vi rekommenderar att ni begär samtycke från vårdnadshavaren i samband med att barn anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, och för hur de ska raderas efter avslutat arrangemang. Det här gäller framför allt uppgifter som klassas som känsliga hälsouppgifter.

Ja. Alla personuppgifter omfattas av GDPR och ska hanteras därefter. Personuppgifter i e-post ingår i vad som brukar kallas ”ostrukturerad data”. Det innebär i praktiken att så snart uppgifter skrivits in i till exempel Repet bör meddelandet raderas.

Många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din församlings ansvar att förstå hur din mejllösning fungerar och se till att mejl med personuppgifter raderas när de ska.

Vi rekommenderar att ni formulerar en policy för hur ni ska hantera personuppgifter i e-post. Tänk på att vissa personuppgifter är särskilt känsliga, som exempelvis personnummer, och måste hanteras med extra försiktighet.

Som en organisation med ”religiöst syfte” har församlingen rätt att hantera personuppgifter för medlemmar, tidigare medlemmar och personer som man har regelbunden kontakt med. Uppgifterna får hanteras i församlingen och den nationella kyrkan men inte lämnas ut till annan part utan den registrerades samtycke.

Ja, vi kan publicera uppgifter som bild, namn, telefonnummer och epost. Men vi behöver ha samtycke från den aktuella personen och om det gäller bilder även från den som är fotograf.

Om församlingen använder ett system som inte tillhandahålls av Equmeniakyrkan, ansvarar ni själva för att dataskyddsförordningen följs. Det innebär exempelvis att ni måste se till att det finns en rättslig grund för behandlingen av personuppgifter systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat.

Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar samt specificerar vilken typ av databehandling leverantören får göra.

Om församlingen satt ändamålen för hur personuppgifterna ska behandlas, är det också ni som ansvarar för att behandlingen uppfyller kraven i dataskyddsförordningen.

Datainspektionen om GDPR

På datainspektionens webbplats finns dataskyddsförordningen i sin helhet. Där hittar du mer information.

Kontaktpersoner

Joacim Anesund

Joacim Anesund

Registeransvarig Arken

08-580 031 64

joacim.anesund@equmeniakyrkan.se

Mikael Lindholm

Mikael Lindholm

Support Arken, domänansvarig

08-580 031 61

mikael.lindholm@equmeniakyrkan.se