Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Behandling

     

    Vad säger regelverket?

    Personuppgifter förekommer i det mesta vi gör. De följer med oss från att vi hämtar in dem genom momenten lagring, hantering och delning till vi små småningom gallrar dem
    Behandling är varje åtgärd eller kombination av åtgärder beträffande en eller flera personuppgifter såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 

    När man behandlar personuppgifter måste man följa sju grundläggande principer i all sin behandling.
    1)  Principen om laglighet, korrekthet och öppenhet. Dessa krav ska läsas i förhållande till den registrerade.
    2) Ändamålsbegränsning, det vill säga de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
    3) Uppgiftsminimering, det vill säga de ska vara adekvata, relevanta och inte för omfattande i förhållande till det ändamål de behandlas (ändamålet, se punkt 2).
    4) De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till ändamålet (se punkt 2) raderas eller rättas utan dröjsmål. Detta kallas principen om riktighet.
    5) Lagringsminimering, det vill säga de får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål (se punkten 2) för vilka personuppgifterna behandlas. I den här delen finns specialregler rörande arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål. 
    6) Principen om integritet och konfidentialitet, det vill säga att de ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder, Detta ska bland annat skydda mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse
    7) Ansvarsskyldighet, det vill säga den personuppgiftsansvarige ska ansvara för och kunna visa att punkterna 1-6 efterlevs. Se vidare Personuppgiftsansvarig
    Vissa kategorier av integritetskänsliga personuppgifter kräver mer än så: man måste här också hitta ett undantag som gör att man har rätt att behandla dem eftersom utgångsläget är att det är förbjudet att behandla. Vi börjar därför med denna grupp och går sedan kort igenom övriga principer.

    Allt detta kräver att man i detalj kartlägger och beskriver sin personuppgiftshantering. Felaktig hantering av de här regelverken ligger på högsta sanktionsnivå (upp till 20 miljoner euro). 

    Integritetskänsliga personuppgifter 

    Känsliga personuppgifter och personuppgifter om lagöverträdelser är förbjudna att behandla.

    Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, Känsliga personuppgifter får dock behandlas om den registrerade lämnar ett uttryckligt samtycke. Kraven på det samtycket är ännu högre än för ”vanliga samtycken”. Vidare får sådana personuppgifter behandlas om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en organisation som har religiöst syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organisationens ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke (det är detta undantag som möjliggör mycket av den behandling som sker inom kyrkan). Man har också rätt exempelvis behandla känsliga personuppgifter inom arbetsrätten (fackföreningsmedlemskap och hälsorelaterad information) samt om man befinner sig i en rättslig tvist. Det går också att behandla känsliga personuppgifter om enskild själv tydligt har offentliggjort uppgiften (man kan till exempel använda detta undantag beträffande religiös övertygelse hos personer som vigts till präst eller diakon eftersom detta innefattar ett tydligt offentligt ställningstagande). 
    Det finns ytterligare undantag i artikel 9 men de kan i normalfallet inte användas av församlingar. 
    Om man har hittat ett undantag är kraven rörande principerna ovan tuffare. 

    Tydliggör era ändamål

    Det är viktigt att tydligt beskriva ändamålet med varje behandling (se punkten 2 i uppräkningen av principer ovan). Detta ska göras på ett sätt som den enskilde registrerade kan förstå. Slarva inte med detta eftersom det annars blir svårt att hantera dataskyddsförordningen korrekt.

    Tydliggör laglig grund

    Det finns sex lagliga grunder att välja medan när man GDPR-säkrar sin verksamhet (den sjunde grunden nedan är av force majeure-karaktär)

    1. Den registrerade har lämnat sitt samtycke till att hens personuppgifter behandlas för ett eller flera specifika ändamål. Detta är en mycket komplex grund som är svår att hantera och Integritetsskyddsmyndigheten avråder från att använda den om det finns andra möjligheter. 
    2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
    3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Detta innebär att organisationen har en laglig grund när den följer lagbestämmelser. 
    4. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (för församlingens del främst när man följer regler om diarieföring och utlämnande av allmänna handlingar).
    5. Behandlingen är led i den personuppgiftsansvariges myndighetsutövning (laglig grund när  en präst viger två personer).
    6. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Denna grund kallas ibland intresseavvägning. 
    7. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

    Resterande principer

    Uppgiftsminimering innebär bland annat krav på behörighetsstyra och försöka minimera uppgifter som hämtas in och fortsätter lagras.

    Principen om korrekthet och öppenhet innebär bland annat krav på tydlig och lättfattlig information i till exempel en integritetspolicy.

    Principen om riktighet ställer krav på att hålla uppgifter riktiga i systemen men också att låta en person komma in med korrigeringar. 

    Principen om lagringsminimering ställer stora krav på förmågan att gallra. 

    Principen om integritet och konfidentialitet ställer krav på IT-säkerhet och sekretess. Liksom i andra fall ställs här betydligt tuffare krav om det är en integritetskänslig personuppgift (det är därför det finns krav på krypterad e-post rörande sådana uppgifter). 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2021-07-02
    X
    Dokumentid: 1418063- Webid: 28950 - Unitid: 14