Publicerat 

GDPR – dataskyddsförordningen

GDPR

DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Sidan är uppdaterad 2018-06-01 (ML)

Dataskyddsförordningen, GDPR, innebär ett stärkt skydd för den enskildes integritet genom hårdare krav på hur personuppgifter får behandlas. Lagen ersätter PUL från 1998.

Den 25 maj kommer en ny lag om personuppgifter att träda i kraft. Den nya dataskyddsförordningen, GDPR (General Data Protection Regulation) har samma grund som PUL med nu kan sanktioner i form av högre viten utdömas än tidigare om lagen inte följs. Här informerar Equmeniakyrkan om hur lagen ska tillämpas i församlingen.

Eftersom lagen är ny och instruktionerna till hur lagen ska tillämpas inte är klara, är det svårt att veta hur lagen ska tolkas. Men församlingen ska följa dataskyddsförordningen den 25 maj och därefter fortsätter arbetet med att tillämpa lagen.

Här informerar vi om det vi vet idag utifrån församlingens perspektiv. På equmenia.se finns motsvarande information för barn- och ungdomsarbetet. Båda sidorna uppdateras löpande allt efter som information tillkommer.

Repet

Repet kommer svara upp mot dataskyddsförordningens alla krav. De som är registrerade kan om de så begär få ut registerutdrag på sina personuppgifter, få felaktiga personuppgifter rättade eller få sina personuppgifter raderade.

Repet har ett bra skydd för personuppgifter bland annat genom säker inloggning men också för att det går att sätta olika behörighetsnivåer så att ingen ser fler uppgifterna än de behöver. Eftersom all aktivitet i systemet sparas i loggfiler är det enkelt att se exempelvis vem som har ändrat uppgifter.

Enligt GPDR ska alla personuppgifterna vara korrekta. Det innebär att personuppgifterna måste uppdateras om en person flyttar, byter namn, epostadress, telefonnummer med mera. En gång i månaden får Repet därför uppdateringar av folkbokföringsadress och information om personer som avlidit.

Avvikelser

Den församling som exempelvis äger bolag måste söka information på annat håll.

Mer än bara Repet

Medlemsregistret Repet är det största systemet för hantering av personuppgifter i Equmeniakyrkan. Equmeniakyrkan och församlingen har ett gemensamt ansvar för att allt som hanteras i Repet ska följa dataskyddsförordningen.

GDPR omfattar all hantering och lagring av personuppgifter, även utanför Repet. Det kan till exempel vara församlingsboken, lägeranmälningar, medlemslistan i pärmen, protokoll, hemsida, mail, molntjänster osv.

Särskild skyddsvärda uppgifter

I GDPR beskrivs också personuppgifter som i förordningen betraktas som särskilt känsliga eller skyddsvärda och därmed ställer högre krav. Det är exempelvis uppgifter om religiös övertygelse, hälsa och allergi, personnummer, skyddade identiteter och uppgifter om barn under en viss ålder (som regeringen inte fastställt än).

Undantag

Som organisation med ”religiöst syfte” får församlingen och Equmeniakyrkan enligt ett undantag hantera personuppgifter för medlemmar, tidigare medlemmar eller personer man har regelbunden kontakt med. För de här personuppgifterna krävs högre skyddsåtgärder jämfört med andra personuppgifter. Uppgifterna får hanteras i Equmeniakyrkan och församlingen men inte lämnas ut till annan part utan den registrerades samtycke.

Arbeta tillsammans

Den lokala hanteringen och lagringen av personuppgifter görs normalt i nära samverkan mellan församlingen och föreningen. Därför rekommenderar vi att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma rutiner som underlättar för alla i verksamheten att veta vad som gäller.

Samarbetsorganisationer

De personuppgifter ni samlar in och rapportera till andra, exempelvis kommun eller studieförbund, omfattas också av GDPR. Kontakta dem för att höra hur de anpassar sig till dataskyddsförordningen och vilka nya regler och rutiner som gäller för just ert samarbete.

Checklista för församlingen

Styrelsen i församlingen ansvarar för att lagen följs men utse gärna en person eller arbetsgrupp som leder arbetet, gärna i samråd med föreningen. Här finns fem frågeställningar för att komma igång med arbetet med GDPR i församlingen.
Hur ser det ut idag?

Vilka samlar in personuppgifter och hur? Vilka sköter Repet och andra register? Vilka personuppgifter behandlar vi? I vilka andra system och register behandlar vi personuppgifter och på vilken laglig grund? Hur avgör vi vilka uppgifter vi behöver samla in? Behöver vi uppdatera information, utskick eller material till medlemmar och allmänhet?

 

Dokument för nedladdning:
Instruktion till inventeringen av församling och förening (Word)
Förslag inventeringsmall Dataskyddsförordningen (Excel)

 

Risker

Vilken typ av uppgifter har störst risk att leda till skador eller kränkningar för individen om de sprids? Vilka sätt att behandla de uppgifter vi använder idag innebär störst risker att misslyckas med att leva upp till kraven? (Vi rekommenderar att ni börjar ert GDPR-arbete med dessa.).

Vad får vi inte längre hantera eller spara?

Samlar vi in uppgifter idag som inte längre är tillåtna? Ligger information kvar efter att den inte längre behövs? Vad får vi och vad behöver vi arkivera? Om uppgifterna inte längre har ett berättigat ändamål eller lagstöd ska de raderas. Uppgifter som behöver sparas men inte behövs för daglig verksamhet ska arkiveras.

Målsättning

Sätt principer för hur personuppgifter ska behandlas genom exempelvis instruktioner och rutinbeskrivningar. Kanske behövs en policy för arkivering/gallring som beskriver hur och när personuppgifter ska ”städas”. Det är också bra att ta fram rutinbeskrivningar för hur en eventuell incident kring personuppgifter ska upptäckas och rapporteras. Kanske behövs en integritetspolicy.

 

Dokument för nedladdning:
Skyddspolicy gällande personuppgifter (Word)

 

Utvärdera, dokumentera och informera

Se över system för att säkerställa att målsättningen/policyn följs. Dokumentera arbetet för egen del men också för att vid eventuell anmodan kunna visa Datainspektionen. Informera ledare och anställda hur personuppgifter ska hanteras.

Fortsättning följer

Equmeniakyrkan kommer att ta fram stöd i form av mallar för insamling av personuppgifter, informationstexter, förslag på olika arbetssätt och rutiner.

Hur skall vi hantera radering, gallring och arkivering?

Riksarkivet uppmanar föreningar, organisationer att inte radera eller gallra personuppgifter i sina arkivbestånd.

Läs mer

Vad är GDPR?

Dataskyddsförordningen (General Data Protection Regulation eller GDPR) är den nya dataskyddslagstiftningen för EU och dess medlemsstater. Från och med 25 maj 2018 ersätter den vår tidigare nationella lagstiftning PUL, personuppgiftslagen

Syftet med dataskyddsförordningen är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.

Vad är en personuppgift?

GDPR definierar en personuppgift som: ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.”

En upplysning räknas som personuppgift om den kan använda för att identifiera en fysisk person (ej juridisk person), antingen separat, eller i kombination av någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. 

Vad skiljer GDPR från PUL?

När det gäller ”samtycke” som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.

Under PUL (personuppgiftslagen som GDPR ersätter) fanns det ett undantag för uppgifter i så kallade ”ostrukturerad” form. Exempelvis personuppgifter i löptext, bilder etc. Undantaget, som kallades för ”missbruksregeln”, har tagits bort och nu omfattas även material i ostrukturerad form av GDPR.

Datainspektionen (som kommer att byta namn till integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Uppfyller Repet GDPRs krav?

Ja, Repet kommer svara upp mot GDPRs alla krav. De som är registrerade kan om de så begär få ut registerutdrag på sina personuppgifter, få felaktiga personuppgifter rättade eller få sina personuppgifter raderade.

Repet har ett bra skydd för personuppgifter bland annat genom säker inloggning men också för att det går att sätta olika behörighetsnivåer så att ingen ser fler uppgifterna än de behöver. Eftersom all aktivitet i systemet sparas i loggfiler är det enkelt att se exempelvis vem som har ändrat uppgifter.

Enligt GPDR ska alla personuppgifterna vara korrekta. Det innebär att personuppgifterna måste uppdateras om en person flyttar, byter namn, epostadress, telefonnummer med mera. En gång i månaden får Repet därför uppdateringar av folkbokföringsadress och information om personer som avlidit.

Hur göra vi med anmälningar till läger, kurser och andra arrangemang?

Hälsoinformation som exempelvis allergier etc, räknas i GDPR som särskilt känsliga uppgifter som ska hanteras extra varsamt och endast inhämtas för specifika arrangemang.

Vi rekommenderar att ni begär samtycke från vårdnadshavaren i samband med att barn anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, och för hur de ska raderas efter avslutat arrangemang. Det här gäller framför allt uppgifter som klassas som känsliga hälsouppgifter.

Om en person mejlar personuppgifter – omfattas de av GDPR?

Ja. Alla personuppgifter omfattas av GDPR och ska hanteras därefter. Personuppgifter i e-post ingår i vad som brukar kallas ”ostrukturerad data”. Det innebär i praktiken att så snart uppgifter skrivits in i till exempel Repet bör meddelandet raderas.

Många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din församlings ansvar att förstå hur din mejllösning fungerar och se till att mejl med personuppgifter raderas när de ska.

Vi rekommenderar att ni formulerar en policy för hur ni ska hantera personuppgifter i e-post. Tänk på att vissa personuppgifter är särskilt känsliga, som exempelvis personnummer, och måste hanteras med extra försiktighet.

På vår hemsida och i information använder vi bilder och namn på personer – måste vi radera dessa?

En person måste vara identifierbart för att en bild ska omfattas av dataskyddsförordningen. Det bästa är att ta för vana att alltid inhämta samtycke från den/de som figurerar på en bild redan innan publicering av en bild eller information om en person. Är en bild eller information redan upplagd på er hemsida rekommederar vi att ni kontaktar den/de det gäller för att kontrollera att de inte motsätter sig publiceringen.

Församlingen använder ett eget medlemsregister som vi inte fått från Equmeniakyrkan – hur gör vi med det?

Om församlingen använder ett system som inte tillhandahålls av Equmeniakyrkan, ansvarar ni själva för att dataskyddsförordningen följs. Det innebär exempelvis att ni måste se till att det finns en rättslig grund för behandlingen av personuppgifter systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar samt specificerar vilken typ av databehandling leverantören får göra. Om församlingen satt ändamålen för hur personuppgifterna ska behandas, är det också ni som ansvarar för att behandlingen uppfyller kraven i dataskyddsförordningen.

Joacim Anesund
registeransvarig
Repet
08-580 031 64

Mikael Lindholm
support
Repet
08-580 031 61