Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Behandlingsregister

    Vad säger regelverket?

    Ett behandlingsregister är ett register som visar hur en personuppgiftsansvarig organisation behandlar personuppgifter. Normalt behöver en organisation som sysselsätter färre än 250 personer inte ha ett sådant. Anledningen till att församlingar och pastorat ändå är skyldiga att föra ett sådant register (trots att man inte kommer upp i antalet sysselsatta) är att man inte bara tillfälligt behandlar s.k. känsliga personuppgifter. I varje församlings/pastorats kärnverksamhet behandlas tvärtom regelmässigt en stor mängd känsliga personuppgifter (främst personuppgifter som kan avslöja religiös uppfattning men också till exempel personuppgifter om hälsa).

    Formellt finns följande kriterier som avgör om en organisation med under 250 sysselsatta behöver ha ett behandlingsregister. Om personuppgiftsbehandlingen

    • är annat än tillfällig
    • sannolikt kommer att medföra en risk för de registrerades rättigheter och friheter, eller 
    • omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser.

    Alla kriterier kan vara bra att känna till för församlingar och pastorat men det är som redan nämnts främst kriterierna ”ej tillfällig behandling som omfattar känsliga personuppgifter” som leder till att församlingar och pastorat normalt omfattas.

    Datainspektionens uppfattning för organisationer som sysselsätter färre än 250 personer är att varje behandling ska bedömas för sig och bara de som omfattas av kriterierna behöver tas med. Datainspektionen menar att någon eller några behandlingar kan uppfylla de kriterier som gör att registerskyldigheten föreligger medan andra behandlingar inte behöver inkluderas i registret. För vanliga företag måste enligt inspektionens bedömning exempelvis den behandling som utförs i syfte att administrera löner till de anställda registreras eftersom den inte är tillfällig, samtidigt som en annan typ av behandling inte nödvändigtvis behöver registreras.
    Om man jämför med exemplet ”vanligt företag och sedvanlig lönebehandling” som kan innehålla behandling av känsliga personuppgifter rörande hälsa och fackföreningstillhörighet är det lätt att inse att det mesta som görs av församlingar/pastorat kommer att omfattas av skyldigheten.

    Ett behandlingsregister ska upprättas skriftligen, vilket inbegriper att man också kan använda elektronisk form. På begäran ska församlingen/pastoratet kunna göra registret tillgängligt för Datainspektionen (Datainspektionen menar att man alltid ska kunna göra dem tillgängliga i elektronisk format). Ett behandlingsregister ska hållas uppdaterat.

    Notera att behandlingsregister är ett ska-krav i förordningen. Att inte klara av att följa ett sådant kan leda till sanktioner. För behandlingsregister ligger högsta sanktionsnivå på tio miljoner euro. Regelverket för organisationer under 250 sysselsatta är inte tydligt formulerat. Vid osäkerhet rekommenderas att låta ett register för behandlingar omfatta även de behandlingar som inte helt klart omfattas, eftersom en sanktion annars kan drabba organisationen. Ett behandlingsregister hjälper också dataskyddsombudet och andra ansvariga att hålla ordning och reda, så det är ett vettigt arbete att göra oavsett om det är ett formellt krav eller inte. Det är bra om dataskyddsombudet fortlöpande kontrollerar behandlingsregistret och dess status.

    Vad ska ett behandlingsregister innehålla?

    Ett behandlingsregister ska innehålla följande delar:

    1. Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
    2. Ändamålen med behandlingen.
    3. En beskrivning av kategorierna av registrerade (kan till exempel vara anställda, förtroendevalda, medlemmar, ungdomar som medverkar i ungdomsverksamhet etcetera) och av kategorierna av personuppgifter.
    4. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredje land eller i internationella organisationer.
    5. I tillämpliga fall, överföringar av personuppgifter till ett tredje land eller en internationell organisation, inbegripet identifiering av tredje landet eller den internationella organisationen och, vid sådana överföringar, i vissa fall också dokumentationen av lämpliga skyddsåtgärder.
    6. Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av personuppgifter. Här kan man ofta ha stor hjälp av gallringsreglerna i Svenska kyrkans bestämmelser.
    7. Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna. En teknisk säkerhetsåtgärd kan vara till exempel kryptering, behörighetsstyrning och logguppföljning. En organisatorisk säkerhetsåtgärd kan vara att man antagit policyer eller rutiner i frågan (hänvisa i så fall till rutinen). I organisatoriska åtgärder kan också statusen rörande biträdesavtal och inbördes arrangemang ingå.

    Hur kan man arbeta med ett behandlingsregister

    Det finns inget föreskrivet format för ett behandlingsregister (förutom att det ska upprättas skriftligen): det man behöver iaktta är att man får med alla punkterna 1-7 i föregående avsnitt. Tänk också på kravet på att hålla registret uppdaterat. Det innebär att det inte är bra att dubblera uppgifter i registret om de också finns på ett annat ställe, eftersom man då behöver underhålla på två ställen. Finns det en utförligare beskrivning på annat ställe (till exempel i en processbeskrivning i en integritetspolicy) så ange enbart att uppgiften finns där.

    När Stockholms och Uppsala stift arbetat med sina behandlingsregister har de använt en mall i Excel. För att få övergripande ordning har stiften delat upp behandlingarna i kategorier utifrån de IT-system eller andra sammanhang de finns i.  

    Detta innebär att mallen kan behöva innehålla ett antal flikar:

    • Nationella IT-system som används. 
    • Eget upphandlade IT-system. Detta kan också avse IT-stöd som avropats från ett avropsavtal (församlingen/pastoratet är själv avtalspart rörande denna kategori system).
    • Samverkansrum som används.
    • Lokalt använda Excellistor.
    • Lokalt använda Wordlistor.
    • Lokalt sparade bildbanker (se även avsnittet Kommunikation).
    • Ej digitala register till exempel pärmar, system med pappersakter eller manuellt förda diarium

    Datainspektionen anger också att exempelvis e-post kan behöva beskrivas i ett behandlingsregister. Detta innebär (liksom lokalt sparade Excel- och Wordfiler) en särskild utmaning som vi återkommer till.

    Mallen innehåller de flikar som Stockholms stift idag anser vara ändamålsenliga för stiftet. Tänk på att flikarna ska vara relevanta utifrån hur den egna verksamheten ser ut. Mallen kan därför inte användas rakt av men kan tjäna som inspiration.

    I de små röda hörnen till rubrikraderna finns vissa tankar på hur man kan fylla i mallen. Dessa ger instruktioner till vad som kan ingå. När stiftet arbetat med sitt behandlingsregister har man haft nytta av sitt processbaserade arbetssätt att ta fram en integritetspolicy vilket avspeglar sig i kommentarerna. Om församlingen/pastoratet inte har tagit fram en integritetspolicy på detta sätt än behöver man fylla i mycket fler uppgifter. Detta innebär att man även kan behöva justera texten i de små hörnen (detta gör man genom att ändra innehållet i en granskningskommentar; de röda hörnen är sådana).

    Några praktiska och strategiska frågor att börja med

    Det är viktigt att ta reda på vilka IT-system man har, eftersom varje IT-system innehåller behandling av personuppgifter (som minimum innehåller de personuppgifter som behövs för att logga in, inloggningsnamn och lösenord). Ett första steg är därför att inventera vilka IT-system man har.

    För nationell nivås system kan man använda checklistan över nationella system. Tänk på att församlingen eller pastoratet kanske bara använder 15-20 nationella system och en del system på listan används sannolikt enbart av nationell nivå. Om man har ett system kan man skriva ja i kolumnen ”Har systemet?”. Efter inventeringen kan de system man använder föras över i behandlingsregistret (se mallen).

    För att hitta alla egenupphandlade system kan man behöva gå igenom alla inköpsavtal. Tänk också på att ”gratis”-program som Facebook är ett IT-system som behöver förtecknas.

    Tänk på att ett behandlingsregister inte bara avser IT-system. Det avser också alla register som finns i mer ostrukturerade källor som Word- och Excel-filer samt mejl-mappar och en del pärmar. För att undvika ett Sisofys-arbete bör man minimera lagring i mejl och lokala Word- och Excel-filer. Man behöver också fundera på vad man sparar i manuella pärmar eller arkiv. Detta innebär att det är mycket bra att församlingen/pastoratet innan man börjar arbeta med behandlingsregistret tar följande strategiska beslut: 

    • Tillse att alla medarbetare vet hur man diarieför allmänna handlingar (förekommer när församlingen/pastoratet har myndighetsutövande arbetsuppgifter som till exempel hantering av gravrätter och annat enligt begravningslagen) och kyrkans handlingar (se kyrkoordningen och Svenska kyrkans bestämmelser).  Idag finns sannolikt brister i kunskap vad avser diarieföring rörande till exempel inkommande och utgående mejl. Besluta om att man inte får lagra mejl lokalt efter att de har diarieförts.
         
    • Besluta om att man i första hand ska använda de nationella system som finns istället för lagring i Excel, Word och mejl-mappar. Har församlingen/pastoratet Public 360 ska det användas (se föregående punkt om diarieföring). I övrigt innebär detta till exempel att Kyrksam ska användas för alla ändamål det passar till. Vidare är det bra att använda samverkansrum när flera samarbetar (det får också ner mejl-trafiken). Andra bra system är Kursadministration och Anmälan, som bör användas om församlingen/pastoratet har dessa.

    Vem ansvarar för behandlingsregistret?

    Det är den personuppgiftsansvariga, som företräds av kyrkorådet, som ansvarar för att det finns ett behandlingsregister. Statusen rörande registret behöver föredras där och det är också kyrkorådet som ytterst ansvarar för resurstilldelningen. För att kunna hålla behandlingsregistret uppdaterat behöver man utse en ansvarig. Detta bör helst inte vara dataskyddsombudet eftersom hen ska kontrollera statusen fortlöpande (dataskyddsombudets kontrollarbete finns med i mallen i särskilda kolumner). Det är också bra om dataskyddsombudet fortlöpande gör riskvärderingar av de behandlingar som ingår. Anledningen till att dataskyddsombudet inte ska göra allt arbete med behandlingsregistret själv utan att det också måste finnas en motpart i organisationen beror på kraven på dataskyddsombudets integritet. Självklart kan dataskyddsombudet bidra med råd och stöd i framtagandet av ett register, men hen bör inte vara i föredragande i beslut rörande registret eller ensamt drivande i arbetet med det. Dataskyddsombudet kan vidare föredra innehållet och sina riskbedömningar av behandlingarna när hen deltar i ledningsgruppsmöten och kyrkoråd.

    Det är också klokt att ta ställning till hur man ska hantera versioner av behandlingsregistret. Ett bra sätt kan vara att vid utgången av varje år diarieföra statusen av registret. Det kan också vara bra att spara ner en ny version av registret varje gång det uppdaterats. Ett bra sätt att arbeta kan vara att inrätta ett samverkansrum där alla som arbetar med registret inklusive dataskyddsombudet har tillgång till det.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2019-03-28
    X
    Dokumentid: 1438421- Webid: 28950 - Unitid: 14