Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Dop

    Vad säger regelverket?

    Församlingen/pastoratet är personuppgiftsansvarig för behandlingar som sker i samband med ett dop. Dop kan aktualiseras både för barn och vuxna. Eftersom dop till allra största del avser barn har texten nedan detta fokus men motsvarande kan förstås också appliceras på vuxendop.

    Dataskyddsförordningen innebär att följande måste säkerställas:    

    • Laglig grund för behandlingen av personuppgifter måste säkras (att inte klara detta ligger på högsta sanktionsnivån). Vi rekommenderar att ni gör ett avtal med vårdnadshavarna till det barn som ska döpas samt eventuella faddrar vilket innebär att ni kommer ha en laglig grund för behandlingar som behöver göras. Notera att Datainspektionen avråder från användande av samtycken som är en komplex laglig grund att använda bland annat för att det alltid ska gå att återkalla. Det finns även andra fördelar med avtal. I ett avtal rörande dop kan även registrering av faddrarnas personuppgifter regleras. Tänk på att ni innan ni börjar med avtalet också noga tänker igenom vad ni har för ändamål med varje behandling (detta är mycket viktigt för att ni korrekt ska kunna hantera till exempel rättigheter, integritetspolicy och behandlingsregister korrekt). Österåkers pastorat har efter processkartläggningar tagit fram ett avtal som passar de ändamål som pastoratet har med sin behandling vilket kan tjäna som inspiration i arbetet. Avtalet har därefter också anpassats efter Bromma församlings verksamhet.     
    • I arbetet ingår många känsliga personuppgifter. Detta innebär att församlingen/pastoratet också måste tillse att man har rätt att behandla dem. Det vi rekommenderar här är att ni inhämtar ett uttryckligt samtycke som vi föreslår att ni lägger in som en del i avtalet.         
    • Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att informera. Detta kan göras på flera sätt: Ett sätt är genom avtalet som ingås med barnets vårdnadshavare. Ett annat är genom integritetspolicyn. Båda sätten bör användas då de kompletterar varandra. Genom integritetspolicyn får de som överväger att låta sitt barn döpas information och genom avtalet fördjupas informationen till de som bestämt sig för detta. Österåkers pastorat har tagit fram texter till sin integritetspolicy vilka kan tjäna som inspiration.
    • Vidare är det viktigt att ni klarar av att hantera alla principer för behandling. Rent konkret innebär detta att ni måste se över behörighetsstyrning så att enbart personal som arbetar med olika delar av dopet har behörigheter till de uppgifter de behöver för sina arbetsuppgifter (detta gäller oavsett om personuppgifterna lagras digitalt eller i papperspärmar eller liknande papperssystem med register). Ni måste också se över er säkerhet (till exempel låsa in handlingar i plåtskåp).
    • Det är givetvis också viktigt att fortlöpande gallra personuppgifter. Här följer församlingen/pastoratet främst Svenska kyrkans arkivregler (detta tas också in i avtalet och beskrivs i integritetspolicyn) och specifika lagregler om det finns sådana som täcker den aktuella behandlingen. Tänk på att även dubbelkopior, mejl etc. måste gallras.

    Vad behöver församlingen/pastoratet göra?

    Församlingen/pastoratet behöver klargöra hur man behandlar personuppgifter i praktiken. Ett bra sätt att göra det är genom en processkartläggning. En sådan har gjorts på Österåkers pastorat vilket lett fram till de mallar som finns kopplade till detta avsnitt. Tänk på att man inte bara kan kopiera innehållet i mallar utan eftertanke: Är det verkligen så här vi arbetar? De dokument ni upprättar måste beskriva er egen verksamhet på ett korrekt sätt. Mallarna är tänkta att ge inspiration, men kan givetvis användas om församlingen/pastoratet säkerställt att man gör på det sätt som beskrivs i dem.

    Dopprocessen bör beskrivas i er integritetspolicy. Bromma församling har använt en sådan här processbeskrivning (se mall) som ett underavsnitt i sin integritetspolicy. En processbeskrivning ger också bra underlag till pastoratets/församlingens behandlingsregister.

    Svenska kyrkans bestämmelser SvK 2017:1 SvKB 2019:2 ska följas i gallringsarbetet. Ingångna avtal med bilagor ska diarieföras.

    Församlingens/pastoratets dataskyddsombud ska fortlöpande följa upp verksamheten. I detta ingår även att granska och rekommendera förbättringar rörande personuppgiftsbehandling i samband med dop. Tänk också på att det är viktigt att alltid ange dataskyddsombudets kontaktuppgifter i kontakter och att kontaktuppgifter till hen ska finnas publicerat på hemsidan.

    Vissa komplexa frågor att hantera

    Många frågor är särskilt utmanande eftersom kärnverksamheten innefattar personuppgifter som kan avslöja religiös övertygelse. I arbetet med mallarna har en särskild utmaning varit behandling av uppgifter om tredje man, det vill säga personer ni inte kan ingå avtal med.  Tredje man kan vara personer som ska medverka i dopet på önskemål av föräldrarna (till exempel genom att läsa en bibeltext). Tänk på att om prästen vid till exempel dopsamtal gör anteckningar om tredje man som hen sedan tänker använda vid den kyrkliga handlingen rörande sådana personer kan det vara fråga om personuppgiftsbehandling som omfattas av dataskyddsförordningen (Österåkers pastorat bestämde sig för att inte göra sådana anteckningar). När personer medverkar i kyrkliga handlingar är det i en religiös kontext vilket innebär att det ofta kan anses röra behandling av känsliga personuppgifter (personuppgifter som kan avslöja religiös övertygelse). Om namnen också nämns under den kyrkliga handlingen kan inte undantaget som medger behandling av känsliga personuppgifter rörande medlemmar och personer som är i kontakt med kyrkan användas. Detta undantag är inte tillämpligt om man lämnar ut personuppgifter utanför kyrkan (för att kunna göra det krävs samtycke); gudstjänster, där kyrkliga handlingar ingår, är enligt kyrkoordningen offentliga.

    Det sagda innebär att det alltid är viktigt att reflektera över hur man använder och sparar minnesanteckningar av olika slag. Man behöver alltid ha laglig grund för behandlingen. Lika viktigt att komma ihåg är att gallra minnesanteckningar fortlöpande. Det är inte godtagbart att spara sådana för att det kan vara ”bra att ha dem någon gång i framtiden”.

    Däremot kan det finnas krav på att spara tal (nationell nivås mall för dokumenthanteringsplan anger att predikningar ska bevaras för evigt vilket lär innebära att även tal ska sparas; för att uppfylla detta behöver man också i en dokumenthanteringsplan klargöra var man sparar handlingar). Laglig grund för bevarande av handlingarna är allmänt intresse.

    Kravet på laglig grund innebär också att det är vanskligt att registrera uppgifter i Kboks fritextfält om till exempel psalmer. Vill man göra detta behöver avtalet omfatta detta.

    Församlingen/pastoratet behöver också säkra en laglig grund rörande faddrar eftersom de behöver antecknas i kyrkobokföringen. Då alla faddrar inte omfattas av undantaget för känsliga personuppgifter rörande medlemmar (efterhand kan också deras medlemsstatus komma att ändras) och uppgiften är viktig i kyrkobokföringen behöver även faddrarna underteckna avtalet.

    Man behöver också fundera på hur hanteringen av avtalen ska skötas. Österåkers pastorat har kommit fram till att det bästa är om bokningen sköter det praktiska så att prästens samtal med dopföräldrarna kan fokusera på dopet. Man har också sett att avtal kan vara ett bra sätt att lämna information till de registrerade, vilket är ett krav i dataskyddsförordningen. För att underlätta förståelsen och lämna bra information har ett informationsmaterial tagits fram som skickas ut till berörda av bokningen.

    Effekter av Datainspektionens beslut rörande domkapitlet

    Datainspektionen har i ett beslut ifrågasatt kyrkans rätt att hantera känsliga personuppgifter. Beslutet har överklagats och förhoppningsvis vinner kyrkan processen men då det ska prövas i domstol finns inga garantier rörande utgång. Enligt Datainspektionens mening kan det så kallade medlemsundantaget (ett trossamfunds rätt att behandla känsliga personuppgifter om medlemmar, före detta medlemmar och de som ofta interagerar med kyrkan så länge uppgifterna inte lämnas vidare till annan) bara användas så länge uppgifterna inte lämnar den personuppgiftsansvariga organisationen. Skulle den linjen vinna kan undantaget inte åberopas i de fall en känslig personuppgift lämnas vidare från en församling till en annan om detta inte säkras med ett samtycke. 

    Det finns ett krav i dataskyddsförordningen att säkerställa att de personuppgifter man hanterar också hanterats korrekt i tidigare led. Av det här skälet har Bromma församling tagit fram en försäkran man avser använda när man interagerar med andra församlingar i samband med kyrkliga handlingar (till exempel när en präst från församlingen döper ett barn tillhörigt en annan församling). Bromma församling kommer inte själva värdera hur andra församlingar/pastorat arbetar med dataskyddsförordningen utan ber bara om en försäkran att frågan är hanterad. Undertecknade försäkringar kommer att diarieföras.

    Var försiktig med att skicka e-post

    E-post är inte ett säkert sätt att hantera personuppgifter. Extern e-post är inte krypterad och det finns också vissa frågetecken kring hur e-post i kyrkans Exchange-servrar de facto krypteras vilket även gör att vi idag inte kan vara säkra på att ens intern e-posttrafik är krypterad. Känsliga personuppgifter får inte skickas via okrypterad mejl

    I det här sammanhanget är det också bra att beakta nationell nivås varning rörande hantering av e-post från KBOK, nämligen att församlingar och pastorat inte ska använda e-post för att skicka information eller underlag från KBOK. När nya versioner av Office-paketet börjar rullas ut under 2020 kan läget ändras. Det är därför viktigt att följa nyheter om detta.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-03-24
    X
    Dokumentid: 1438243- Webid: 28950 - Unitid: 14