Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Bokning och administrativa ärenden

    Vad säger regelverket?

    Församlingen/pastoratet är personuppgiftsansvarig för behandlingar som sker i samband med kansliets arbete med bokningar, andra ärenden och ekonomi. 

    Dataskyddsförordningen innebär att följande måste säkerställas:

    • Laglig grund för behandlingen av personuppgifter måste säkras (att inte klara detta ligger på högsta sanktionsnivån). Tänk att detta även gäller personuppgifter i statistik även om ni redovisar statistiken på sådant sätt att personuppgifter inte kan härledas. 
    • I arbetet kan ingå att hantera känsliga personuppgifter. Detta innebär att församlingen/pastoratet också måste tillse att man har rätt att behandla dem. Dessutom behöver man tänka igenom än mer noggrant hur man hanterar principerna för behandling. Det är än viktigare att noga överväga vilka som ska ha behörighet att ta del av sådana uppgifter (uppgifterna bör bara vara tillgängliga om det är nödvändigt för den anställde att ha dem för att kunna fullgöra sitt arbete. Vidare behöver man tänka på att säkerställa överföring (t.ex. mejl) genom att kryptering (för närvarande är det inte säkert att e-postadresserna @svenskakyrkan.se är krypterade). Ni måste också se över er säkerhet (till exempel låsa in handlingar i plåtskåp). 
    • Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att informera. Ett sätt att göra det är genom integritetspolicyn.  Bromma församling har tagit fram texter till sin integritetspolicy vilka kan tjäna som inspiration (se mallarna Bokning av förrättning, Hantera inkomna ärenden, In och utträden i Svenska kyrkan samt Ekonomihantering vid kyrkliga handlingar).
    • Det är givetvis också viktigt att fortlöpande gallra personuppgifter. Här följer församlingen/pastoratet främst Svenska kyrkans arkivregler och specifika lagregler om det finns sådana som täcker den aktuella behandlingen. Tänk på att även dubbelkopior, mejl etc. måste gallras (kräver dock att församlingen/pastoratet fattat ett beslut enligt 12 kap. 1 § SvKB 2019:1.  

    Vad behöver församlingen/pastoratet göra?

    Församlingen/pastoratet behöver klargöra hur man behandlar personuppgifter i praktiken. Ett bra sätt att göra det är genom en processkartläggning. Sådana har gjorts av Bromma församling vilket lett fram till de mallar som finns kopplade till detta avsnitt. Tänk på att man inte bara kan kopiera innehållet i mallarna utan eftertanke: Är det verkligen så här vi arbetar? De dokument ni upprättar måste beskriva er egen verksamhet på ett korrekt sätt. Mallarna är tänkta att ge inspiration, men kan givetvis användas om församlingen/pastoratet säkerställt att man gör på det sätt som beskrivs i dem.

    Alla processer bör beskrivas i er integritetspolicy.  Bromma församling har använt sin processbeskrivning (se mallar) som underavsnitt i sin integritetspolicy. Processbeskrivningar ger också bra underlag till pastoratets/församlingens behandlingsregister.
    Svenska kyrkans bestämmelser SvKB 2017:1 och 2019:1 ska följas i arkiverings- och gallringsarbetet.

    Församlingens/pastoratets dataskyddsombud ska fortlöpande följa upp verksamheten. I detta ingår även att granska och rekommendera förbättringar rörande personuppgiftsbehandling i samband med de beskrivna processerna. Tänk också på att det är viktigt att alltid ange dataskyddsombudets kontaktuppgifter när ni lämnar information enligt dataskyddsförordningen och att kontaktuppgifter till hen ska finnas publicerat på hemsidan. 

    Diarieföring och dataskyddsförordningen

    Det är viktigt att församlingen/pastoratet korrekt följer regelverket kring diarieföring, arkivering och gallring (se tolfte avdelningen av kyrkoordningen samt SvKB 2016:6, SvKB 2017:1 samt SvKB 2019:1).  Detta är viktigt eftersom det är en väsentlig del av kyrkans offentlighetsprincip. Det har också betydelse i förhållande till dataskyddsförordningen:

    • När något diarieförs eller i övrigt omfattas av kyrkans offentlighetsprincip blir den lagliga grunden allmänt intresse tillämplig. I det här sammanhanget är det intressant att regeringen uttalade följande i propositionen till lagen 2018:218 med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringslagen):
    ”Svenska kyrkan undrar om det finns en konflikt mellan dataskyddsförordningen och det krav på att lämna ut handlingar som gäller i kyrkans verksamhet. Enligt 11 § lagen om Svenska kyrkan ska var och en ha rätt att ta del av Svenska kyrkans handlingar. Denna rätt får begränsas bara om det är särskilt motiverat med hänsyn till vissa särskilt angivna intressen. Den lagstadgade handlingsoffentlighet som gäller för dessa handlingar liknar således den som gäller i fråga om myndigheternas handlingar enligt tryckfrihetsförordningen. Enligt regeringens bedömning bör Svenska kyrkans handlingar därför betraktas som allmänna i den mening som avses i artikel 86 i dataskyddsförordningen. Dataskyddsförordningen ger således stöd för att Svenska kyrkan lämnar ut handlingar i enlighet med lagen om Svenska kyrkan.”

    • När regelverket följs korrekt kommer det lättare gå att fastställa vad som ska bevaras och vad som ska gallras och när så ska ske. Detta kommer att beskrivas mer ingående i avsnittet Gallring. Ett bra första steg i arbetet är att kyrkorådet tar ett beslut enligt 12 kap. 1 § SvKB 2019:1. Bromma församling har tagit fram ett beslut om detta som kan tjäna som inspiration. Nästa steg är att ta fram en dokumenthanteringsplan. En GDPR-anpassad mall för detta håller på att tas fram och kommer att finnas i avsnittet Gallring.

    • Om man korrekt hanterar regelverket kommer det att underlätta hantering av registrerades rättigheter. Det kommer också ge bra information till behandlingsregistret som bland annat ska innehålla beskrivning av gallringsfrister. 

    I arbetet med att anpassa församlingars och pastorats arbete till dataskyddsförordningen har framkommit att regelverket kring diarieföring, arkivering och gallring inte alltid tillämpas korrekt. Det är därför viktigt att dataskyddsombudet följer upp tillämpningen. För att kunna göra detta kan dataskyddsombudet själv ibland behöva få kompletterande utbildning vilket i så fall bör genomföras.

    Det är självklart viktigt att även annan personal får utbildning i de här frågorna eftersom det idag i många fall sannolikt inte diarieförs i den utsträckning som regelverket kräver (ibland finns till exempel ett missförstånd att handlingar som diarieförs i större utsträckning kan behöva lämnas ut om någon begär det, vilket är felaktigt: regelverket för utlämnande av handlingar gäller oavsett om handlingen diarieförts eller inte). För att göra hanteringen mer smidig kan det vara bra om var och en löpande kan diarieföra det som händer i olika ärenden, men för att kunna göra detta krävs utbildning både i regelverk, metoder och system (till exempel Public 36o). Med ökad intern kunskap kan kansliets arbete vara att öppna och stänga ärenden och kvalitetssäkra tillämpningen medan den dagliga diarieföringen sköts av var och en. 

    Effekter av Datainspektionens beslut rörande domkapitlet för bokningen

    Datainspektionen har i ett beslut ifrågasatt kyrkans rätt att hantera känsliga personuppgifter. Beslutet har överklagats och förhoppningsvis vinner kyrkan processen men då det ska prövas i domstol finns inga garantier rörande utgång. Enligt Datainspektionens mening kan det så kallade medlemsundantaget (ett trossamfunds rätt att behandla känsliga personuppgifter om medlemmar, före detta medlemmar och de som ofta interagerar med kyrkan så länge uppgifterna inte lämnas vidare till annan) bara användas så länge uppgifterna inte lämnar den personuppgiftsansvariga organisationen. Skulle den linjen vinna kan undantaget inte åberopas i de fall en känslig personuppgift lämnas vidare från en församling till en annan om detta inte säkras med ett uttryckligt samtycke. 

    Det finns ett krav i dataskyddsförordningen att säkerställa att de personuppgifter man hanterar också hanterats korrekt i tidigare led. Av det här skälet har Bromma församling tagit fram en försäkran som man använder när man interagerar med andra församlingar i samband med bokning av kyrkliga handlingar (till exempel när en präst från församlingen döper ett barn tillhörigt en annan församling. Bromma församling kommer inte själva värdera hur andra församlingar/pastorat arbetar med dataskyddsförordningen utan ber bara om en försäkran att frågan är hanterad. Undertecknade försäkringar diarieförs av församlingen i enlighet med SvKB 2016:6, se även SvKB 2017:1 och 2019:1.

    Var försiktig med att skicka e-post

    E-post är inte ett säkert sätt att hantera personuppgifter. Extern e-post är inte krypterad och det finns också vissa frågetecken kring hur e-post i kyrkans Exchange-servrar de facto krypteras vilket även gör att vi idag inte kan vara säkra på att ens intern e-posttrafik är krypterad. Känsliga personuppgifter får inte skickas via okrypterad mejl.
    I det här sammanhanget är det också bra att beakta nationell nivås varning rörande hantering av e-post från KBOK, nämligen att församlingar och pastorat inte ska använda e-post för att skicka information eller underlag från KBOK.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-03-03
    X
    Dokumentid: 1482247- Webid: 28950 - Unitid: 14