Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Valwebben

    Information om dataskyddslagen GDPR

    Innehåll: 
    Vad är GDPR?
    Vad är personuppgifter?
    Vad är en behandling?
    Vad är en känslig personuppgift? 
    Grundläggande principer enligt GDPR
    Ansvaret enligt GDPR
    Offentlighetsprincipen
    Vad händer om något går fel?
    Viktigt att tänka på 

    Vad är GDPR?

    EU:s allmänna dataskyddsförordning (GDPR) kom till för att värna enskildas grundläggande fri- och rättigheter när det kommer till behandlingen av deras personuppgifter.

    GDPR står för General Data Protection Regulation (dataskyddsförordningen på svenska) och ersatte den 25 maj 2018 den tidigare gällande personuppgiftslagen (PuL). Genom att GDPR är tillämplig inom de olika medlemsstaterna skapas ett enhetligt och likvärdigt skydd av personuppgifter.

    För Svenska kyrkan är det viktigt att följa GDPR och värna om den personliga integriteten. Inom kyrkovalet hanterar kyrkans olika delar många personuppgifter, ofta s.k. känsliga personuppgifter. De uppgifter som hanteras rör bl.a. anställda, kandidater i kyrkovalet och röstberättigade medlemmar.

    För de flesta personer inkluderar det också en uppgift om personens religiösa övertygelse, vilket anses känsligt. För att värna om deras personliga integritet och att behandla deras personuppgifter på ett lagligt sätt följer en kort introduktion till GDPR och hur personuppgifter i kyrkovalet ska behandlas.

    Vad är personuppgifter?

    GDPR gäller för behandling av personuppgifter. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person (den registrerade). Exempel på personuppgifter är namn, personnummer, nomineringsgrupp och partitillhörighet.

    Vad är en behandling?

    Behandling är en eller flera åtgärder beträffande personuppgifterna och det är oberoende om den utförs automatiserat eller inte. Alla former av åtgärder med personuppgifter är personuppgiftsbehandlingar.

    Om du t.ex. registrerar en kandidatförklaring i Gkand är registreringen en behandling, att kandidatförklaringen lagras i systemet är en behandling och om du raderar kandidatförklaringen är det en tredje behandling.

    Vad är en känslig personuppgift?

    I GDPR:s mening är en känslig personuppgift bl.a. uppgift om

    • hälsa,
    • religiös övertygelse och
    • politiska åsikter.

    Samtliga uppgifter som är att anse som känsliga personuppgifter framgår av artikel 9 GDPR.

    Uppgifter om t.ex. religiös övertygelse kan vara att man är medlem i Svenska kyrkan och att vara medlem eller kandidat i ett politiskt parti eller nomineringsgrupp kan vara en politisk åsikt.

    Normalt är det förbjudet att hantera sådana personuppgifter men det finns undantag från förbudet, t.ex. att kandidaten har offentliggjort hens religiösa övertygelse eller politiska åsikt genom registreringen av kandidatförklaringen.

    Grundläggande principer enligt GDPR

    Det finns några grundprinciper i GDPR som fungerar som ett riktmärke för hur man får behandla personuppgifter. Principerna innebär i korthet att den som är ansvarig för personuppgiftsbehandlingen:

    • måste ha stöd i GDPR för att få behandla personuppgifter, och får bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål, 
    • inte ska behandla fler personuppgifter än vad som behövs för ändamålen,
    • ska se till att personuppgifterna är korrekta,
    • ska radera personuppgifterna när de inte längre behövs,
    • ska skydda personuppgifterna, t.ex. så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs, samt 
    • ska kunna visa att och hur verksamheten lever upp till GDPR.

    Känsliga personuppgifter ska inte skickas via e-post

    För att konkretisera principerna är det exempelvis inte nödvändigt att skicka personnummer per e-post mellan stift eller valkansli när en röstberättigad begär ut dubblettröstkort. Detta eftersom uppgifterna redan finns tillgängliga i Kbok och för att vi inte ska behandla fler personuppgifter än nödvändigt.

    Uppgift om en röstberättigad person kan dessutom utgöra en känslig personuppgift, eftersom det är ett uttryck för medlemskap i Svenska kyrkan. Känsliga personuppgifter ska inte e-postas eftersom e-post i normalfallet är att anse som ett osäkert kommunikationsmedel.

    Ansvaret enligt GDPR

    För de personuppgiftsbehandlingar som genomförs inom kyrkovalet finns det flera olika parter som är att anse som s.k. personuppgiftsansvariga. En personuppgiftsansvarig är en självständig juridisk person som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.

    Det är alltså inte chefen på t.ex. kyrkokansliet, stiftsdirektorn eller någon annan anställd som är personuppgiftsansvarig utan styrelsen för den juridiska personen, t.ex. kyrkostyrelsen för den nationella nivån och stiftsstyrelsen för stiftet.

    Gemensamt personuppgiftsansvar

    I GDPR finns det även något som kallas för gemensamt personuppgiftsansvar. Det är om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. Det innebär att berörda parter behöver ingå en enklare överenskommelse i form av ett inbördes arrangemang för att bestämma vilken av parterna som är ansvarig för vad.

    Att vara gemensamt personuppgiftsansvariga innebär i praktiken att den registrerade kan vända sig till vilken som helst av de personuppgiftsansvariga för att hävda någon av hens rättigheter enligt GDPR.

    Det innebär bl.a. rätten att korrigera uppgifterna, invända mot behandling eller få informationen om sig själv raderad. Det innebär också att om uppgifterna används på ett felaktigt sätt kan hen vända sig med ett skadeståndsanspråk till vilken som helst av parterna, som sedan får fördela ansvaret inbördes.

    Offentlighetsprincipen

    Svenska kyrkan omfattas av en offentlighetsprincip som framgår av 11 § lagen (1998:1591) om Svenska kyrkan och 53 kap. kyrkoordningen. Den innebär att var och en har rätt att få ta del av de handlingar som finns hos kyrkan, förutsatt det inte finns ett förbud mot att en viss uppgift lämnas ut.

    Personuppgifter får aldrig skickas via e-post

    GDPR hindrar inte Svenska kyrkan från att lämna ut Svenska kyrkans handlingar enligt offentlighetsprincipen. Skyldigheten att lämna ut sådana handlingar omfattar dock inte elektronisk utlämning. GDPR gäller därför fullt ut för ett sådant utlämnade. Det betyder att en handling som lämnas ut och som innehåller personuppgifter aldrig får skickas t.ex. via e-post eller via internet.

    Förbud mot att lämna ut handlingar

    I vissa fall finns det enligt kyrkoordningen förbud mot att lämna ut handlingar som innehåller personuppgifter. När någon begär att få ta del av information där det förekommer eller som utgör personuppgifter behöver alltid en prövning göras utifrån offentlighetsprincipen.

    Om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med dataskyddsförordningen gäller enligt 54 kap. 11 b § kyrkoordningen förbud mot att röja de begärda uppgifterna. Kyrkoordningen kräver då att en bedömning ska göras utifrån GDPR. Ett exempel där det kan finnas förbud är om någon begär ut en stor mängd känsliga personuppgifter. I 53 kap. kyrkoordningen finns bestämmelser om hur det går till att avslå en begäran av handling.

    Vad händer om något går fel?

    Ibland kan det hända att något ändå går fel och en s.k. personuppgiftsincident inträffar. En personuppgiftsincident är när personuppgifter obehörigen eller oavsiktligen sprids, är otillgängliga, förändras eller förstörs. En incident kan t.ex. vara att du glömmer kandidatförklaringarna på bussen eller att du och dina kollegor inte längre kommer åt de system som ni behöver arbeta i.

    Det absolut viktigaste du ska göra om du misstänker att det har skett en incident är att ta din misstanke på allvar och meddela din chef eller din arbetsgivares dataskyddsombud. Du behöver inte fundera på dess allvarlighetsgrad eller konsekvenser i det första läget. Huvudsaken är att du rapporterar den potentiella incidenten.

    Viktigt att tänka på

    I de fall det är ett gemensamt ansvar tillsammans med kyrkostyrelsen för personuppgifterna som behandlas, ser valkansliet till att uppgifterna behandlas i enlighet med GDPR. Ett led i att hantera uppgifterna på ett korrekt sätt är att informera om att personuppgifterna behandlas.

    Det är därför viktigt att se till att de informationstexter som finns tillhandahålls till personerna vars personuppgifter kommer att behandlas och att vi bidrar till att värna om deras personliga integritet genom att behandla deras personuppgifter på ett lagligt och korrekt sätt.  

    Frågor om GDPR

    Systemen du arbetar med för kyrkovalet är anpassade efter GDPR. Om du har några frågor eller behöver hjälp med GDPR kan du titta på valwebben. Om du inom en valnämnd behöver ytterligare stöd ska du i första hand vända dig till stiftet.

    Till toppen på sidan

    Redaktör
    Annika Gustafsson, Valwebben
    Innehållsansvarig
    Malin Wrigstad, Valwebben
    Ansvarig för intranätet Valwebben
    Malin Wrigstad, Valwebben
    Uppdaterad
    2021-02-11
    X
    Dokumentid: 1476281- Webid: 744759 - Unitid: 2147483277