Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Fonder och stiftelser

    Stockholms stiftskansli tillhandahåller en neutral mall som församlingar/pastorat kan använda som bas för att själva ta fram en lokal fondblankett. Mallen innehåller även information om GDPR för den sökande och uttryckligt samtycke för behandling av känsliga personuppgifter. Mallen kan laddas ner här som pdf. Genom att kontakta stiftskansliets grafiska formgivare kan tillgång även ges till mallen i format för bearbetning i InDesign. 

      

    Vad säger regelverket?

    Församlingar och pastorat hanterar ofta olika fonder. De kan vara av olika slag:

    1. Följande behöver säkerställas enligt dataskyddsförordningens bestämmelser:

    Laglig grund för behandlingen av personuppgifter måste säkras (att inte klara av detta ligger på högsta sanktionsnivån). När församlingen/pastoratet följer klara lagregler i stiftelselagen eller bokföringslagen (till exempel att spara underlag under sju års tid) föreligger en rättslig förpliktelse. 

    Man måste alltid kunna klargöra vad man har för ändamål med en behandling (detta är mycket viktigt för att församlingen/pastoratet korrekt ska kunna hantera till exempel rättigheter, integritetspolicy och behandlingsregister korrekt). I hanteringen enligt punkterna ovan framgår det övergripande ändamålet ofta av stiftelseurkunder eller ett kyrkorådsbeslut, men dessa är ofta ganska övergripande och kan behöva preciseras. 

    • Fondändamålen innefattar ofta ändamål som innebär att behandling av känsliga personuppgifter kan behöva göras (kan vara hälsorelaterade uppgifter till exempel att fonden ska stödja döva eller att fonden kan dela ut bidrag till glasögon eller medicin). Detta innebär att församlingen/pastoratet också måste se till att man har rätt att behandla sådana uppgifter.  Detta kan göras genom ett uttryckligt samtycke i fondblanketten. Ett exempel på hur ett sådant samtycke kan se ut finns i Stockholms stifts mall samt i Bromma församlings blankett.

    Till detta kommer att hanteringen ofta rör utsatta registrerade (barn, socialt utsatta och migranter är exempel på grupper som kan anses vara utsatta). Vid osäkerheter kring arbetet kan därför en konsekvensbedömning behöva göras. Följs de rekommendationer som ges här lär dock behovet: av att göra en konsekvensbedömning inte vara så stort.

    Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att informera. Detta kan göras på flera sätt, till exempel i integritetspolicyn. Genom integritetspolicyn kan den som funderar på att ansöka om fondmedel få information om vad fonden kan bevilja medel för och i vilken utsträckning personuppgifter behandlas. Det är bra om man kan vara mycket konkret när man beskriver vad man kan få pengar för, eftersom det hjälper enskilda att bedöma om det är värt att söka pengar. Man kan också ge exempel fortlöpande på sin hemsida vad pengar beviljats till, vilket blir ett bra komplement till integritetspolicytexten.

    Några möjliga formuleringar man kan använda då är:

    • ”Det här har vi beviljat medel till de senaste åren: FYLL I EXEMPEL”
    • ”Att du fått pengar tidigare vägs in när vi prövar behoven. Har vi beviljat medel nyligen är det därför mindre sannolikt att vi gör det igen”.  Kan man vara ännu mer konkret får man gärna sätta en tidsgräns till exempel 6 månader. Ju tydligare man är desto bättre.
    • ”I de här fallen brukar vi avslå ansökan: FYLL I EXEMPEL”

    Eftersom verksamheten kan avse utsatta registrerade kan man behöva tänka igenom hur man formulerar informationen ett extra varv. Här finns riktlinjer från Artikel 29-gruppen att titta på. Det viktigaste är att skriva begripligt. Om fondmedel ofta går till personer med annan språklig bakgrund kan man till exempel överväga att lämna information på ett språk som de förstår.

    Vidare är det viktigt att församlingen/pastoratet klarar av att hantera alla principer för behandling. Detta innebär bland annat att man måste kunna säkra konfidentialitet. Det är inte tillåtet att mejla beslut och handlingar som innehåller personuppgifter eftersom handlingarna innehåller integritetskänsliga uppgifter. Det kan också vara bra att se över sina blanketters utformning så att man kan särskilja den del som behöver gå till ekonomiassistenten för utbetalning (uppgiftsminimering) och den del som innehåller beslutet. Tänk också på att beslut behöver motiveras och skickas till den enskilde som sökt pengar. Självklart ska beslut också diarieföras. 
    I blankettmallen från Bromma församling finns det ett korrekt skrivet samtycke som kan användas som förebild om man använder personuppgifter på det sätt Bromma församling gör. Däremot är mallen inte tänkt att vara ett exempel på vilka uppgifter som bör inhämtas. Bromma församling begär in få uppgifter och ofta kan det finnas skäl att inhämta mer eller andra uppgifter för att klara av de utredningskrav som aktuell fond eller stiftelse kräver. Tänk dock på att uppgiftsminimera och inte ta in mer uppgifter än de som behövs för att församlingen/pastoratet ska kunna fatta ett korrekt beslut.

    Vad behöver församlingen/pastoratet göra?

    Församlingen/pastoratet behöver klargöra hur man behandlar personuppgifter i praktiken. Ett bra sätt att gå igenom sin verksamhet är genom en processkartläggning. Bromma församling har gjort en kartläggning och den har lett till en integritetspolicytext. Även Stockholms stift har gjort en kartläggning vilket också lett fram till en beskrivning i stiftets integritetspolicy

    Tänk på att man inte bara kan kopiera innehållet i Bromma församlings mallar utan eftertanke: Är det verkligen så här vi arbetar? De dokument ni upprättar måste beskriva er egen verksamhet på ett korrekt sätt. Mallarna är tänkta att ge inspiration, men kan givetvis användas om församlingen/pastoratet säkerställt att man gör på det sätt som beskrivs i dem. 

    Församlingens/pastoratets dataskyddsombud ska fortlöpande följa upp verksamheten. I detta ingår även att granska och rekommendera förbättringar rörande fondhanteringen. Tänk också på att det är viktigt att alltid ange dataskyddsombudets kontaktuppgifter när ni informerar om personuppgiftsbehandling samt att kontaktuppgifter till hen också alltid finns publicerade på hemsidan. 

    En stiftelse kan vara personuppgiftsansvarig 

    En stiftelse är en juridisk person och är därför personuppgiftsansvarig för all personuppgiftsbehandling för vilken stiftelsen bestämmer ändamål och medel. I den här situationen kan ett gemensamt personuppgiftsansvar uppstå vilket innebär att man behöver ta fram ett inbördes arrangemang. Det är viktigt att bottna i de här frågorna och hantera dem.

    Ge eller få intyg från andra

    Människor som söker fondmedel kan ibland också söka medel på annat håll. Såväl socialtjänsten som andra församlingar kan ställa frågor om vilka medel som tidigare beviljats och för vilka ändamål. För att kunna lämna ut sådana uppgifter krävs normalt den enskildes uttryckliga samtycke eftersom hanteringen ofta innehåller känsliga personuppgifter (det kan till exempel vara ett krav att vara med i Svenska kyrkan eller ha viss församlingstillhörighet för att få medel; i sådana fall hanteras känsliga personuppgifter som kan avslöja religiös övertygelse).

    I mallen från Stockholms stift samt i mallen från Bromma församling finns exempel på hur ett samtycke kan se ut i de fall församlingen lämnar ifrån sig uppgifter till andra. I Bromma församlings fall ges intyg till socialtjänsten, vilket framgår av mallen. Skulle församlingen/pastoratet ge intyg till andra än socialtjänsten (till exempel en annan församling) kan detta läggas till eller ändras. Det viktiga är att det blir korrekt. Bromma församling begär själv inte in intyg så mallen visar inte det fallet, men om församlingen/pastoratet gör detta behöver sådan text också tas in. Skulle det behövas kan texten formuleras till exempel så här (gör i så fall en ny kryssruta i blanketten): 
    ”Vi behöver också ditt samtycke för att kunna inhämta intyg från andra som har eller kan ha beviljat medel till exempel annan församling eller socialtjänsten. Ändamålet med detta är att vi ska kunna pröva din ansökan enligt våra regelverk”.
    Intygsgivande och/eller begäran om intyg behöver också hanteras i integritetspolicyn. I exemplet från Bromma församling kan man se hur texten kan se ut om församlingen/pastoratet ger ett intyg. 

    Vikten av att uppgiftsminimera

    En grundläggande princip är att inte hämta in eller spara fler uppgifter än nödvändigt. I fondhanteringen finns det flera bra sätt att uppgiftsminimera:

    • Anpassa fondblanketten så att ni inte behöver spara känsliga personuppgifter i bokföringen. Av det skälet har  Bromma församling omdisponerat sin blankett så att en sida kan kopieras och läggas som verifikat i bokföringen. Samma disposition finns även i Stockholms stifts mall
    • Lämna tydlig information om fondens ändamål i blanketten (se exemplet på sidan 1 i Bromma församlings blankett) och utbilda diakoner och/eller andra som handlägger ansökningarna att vara strikta i vad de antecknar när de hjälper till med ifyllandet. Enbart det som faktiskt beaktas i bedömningen bör tas med i den enskildes motivering. 
    • Tydliggör i blanketten att sökanden inte ska lämna uppgifter om annat än sig själv eller barn hen har vårdnaden om. Även detta har Bromma församling gjort på sidorna 1-2 i sin blankett. Kommer ändå sådana uppgifter in kan ni behöva överväga er informationsskyldighet. Ni kan också behöva ta en arbetskopia av handlingen där ni mörkar de avsnitt som rör annan person (originalet behöver alltid finnas kvar i diariet).Tänk på att utbilda era diakoner och andra som arbetar med frågorna rörande detta.
    • Tänk på att den enskilde enbart ska lämna uppgifter om sig själv och barn hen kan ha vårdnaden om. Brommas blankettmall avser en ensam sökande (eventuellt med barn). Är det vanligt att par söker tillsammans behöver ni ta fram en blankett i vilken båda kan underteckna. ​
    • Var tydlig och transparent med information kring fondens ändamål och hur ni brukar tillämpa reglerna. Genom exempel kan enskilda lättare förstå vad de kan få medel till och på så sätt bedöma om de vill lämna en ansökan.
    • Var noga med att enbart personer som arbetar med fondhantering har behörighet att se ansökningar, beslut och andra bilagor oavsett hur de hanteras. Det är av samma skäl också viktigt att tänka på hur handlingar förvaras. De bör vara inlåsta inlåsta i säkerhetsskåp som bara behörig personal kommer åt.

    Diarieföring och gallring

    Inkomna ansökningar, andra handlingar och beslut ska diarieföras liksom handlingar som lämnas ut till annan (se dock sista stycket i detta avsnitt). Vid utlämnande spelar det ingen roll hur detta görs (om det sker formellt genom att ett brev skickas iväg eller om man lämnar handlingar i handen till den berörde). Den lagliga grunden för alla dessa fall är allmänt intresse. Kyrkoordningens regler i 53-54 kapitlet ska då följas. Detta innebär bland annat att det finns sekretessregler som behöver gås igenom om någon vill ta del av en kyrkans handling.

    Om handlingarna i dessa fall ska diarieföras (både ansökningen och beslutet samt olika intyg som ges eller inhämtas) behöver man också tänka på att behörighetsstyra i diariet. En bra praxis kan också vara att sätta en sekretess-markering på handlingen. En sådan är inte juridiskt bindande vid en prövning av utlämnande av kyrkliga handlingar utan är tänkt att ge en varningssignal i den och andra situationer.​

    Det är givetvis också viktigt att fortlöpande gallra personuppgifter. Här kan församlingar och pastorat hitta vägledning i  Svenska kyrkans arkivregler SvKB 2017 1-2 (att Bromma församling följer de reglerna beskrivs i församlingens integritetspolicy). Församlingar och pastorat måste självklart även följa regler i stiftelselagen och bokföringslagen. Tänk på att även dubbelkopior och mejl etcetera måste gallras. 

    Om församlingen hanterar medel ur stiftelser och fonder är det inte säkert att handlingarna anses vara kyrkans handlingar enligt ett uttalande i kommentaren till Kyrkoordningen (handlingarna anses tillhöra stiftelsen eller fonden som är egna juridiska personer). Detta kan påverka den lagliga grunden (om handlingen inte anses vara en kyrkans handling kan den lagliga grunden sannolikt inte vara allmänt intresse). I de här fallen krävs också att församlingen/pastoratet tar fram ett inbördes arrangemang för att tydliggöra de olika ansvarsområdena.​

    Var försiktig med att använda adresstjänster på nätet

    Det är viktigt att kunna betala ut pengar till rätt person och skicka ut underrättelser om beslut. De uppgifter som lämnats i blanketter kan visa sig felaktiga och behöva rättas. Det är i sådana situationer inte bra att använda sig av sidor som eniro.se och hitta.se eftersom all användning av internet lämnar IP-adresser. Det är inte bra att lämna församlingens IP-adresser i sökningar av utsatta människors namn. Detta kan vara svårt att förena med dataskyddsförordningens regler och också svårt att informera korrekt om. 

    Behoven av att hitta adresser kan istället säkerställas genom system som kyrkan tillhandahåller, till exempel Kyrkspar. Det är rimligt att de som ofta behöver kontrollera adressuppgifter i sitt arbete har behörighet att använda systemet. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-10-07
    X
    Dokumentid: 1453844- Webid: 28950 - Unitid: 14