Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    HR i församlingsarbetet

     

    Vad säger regelverket?

    Församlingen/pastoratet är personuppgiftsansvarig för alla behandlingar man gör som arbetsgivare. Dataskyddsförordningen innebär att följande måste säkerställas:

    • Laglig grund för behandlingen av personuppgifter måste säkras (att inte klara detta ligger på högsta sanktionsnivån). Arbetstagare anses vara utsatta registrerade, vilket innebär att man inte kan använda vissa lagliga grunder kopplade till dem. Ett exempel på laglig grund som inte kan användas i förhållande till anställda är samtycke. Vanliga lagliga grunder är avtal (främst anställningsavtalet om detta är tillräckligt tydligt formulerat vad avser personuppgifter men kan också till exempel vara avtal om försäkringar och pensioner), berättigat intresse (arbetsgivaren har normalt ett berättigat intresse av att anställda utför arbetsuppgifter som ingår i arbetsgivarens arbetsledningsrätt), rättslig förpliktelse (när församlingen/pastoratet följer olika lagar som lagen om anställningsskydd, medbestämmandelagen, diskrimineringslagen, skattelagstiftning, socialförsäkringsbalken och ingångna kollektivavtal) samt allmänt intresse (när handlingar diarieförs). I mallen beskrivs hur Österåkers pastorats HR-processer ser ut. Där kan du se vilka lagliga grunder som används. Exemplet kan vara en inspiration i församlingens/pastoratets egna arbete men kan inte användas rakt av.
    • Tänk på att också noga tänka igenom vad ni har för ändamål med varje behandling (detta är mycket viktigt för att ni korrekt ska kunna hantera till exempel rättigheter, integritetspolicy och behandlingsregister korrekt). Ändamål får inte beskrivas på ett för allmängiltigt sätt. Det är därför inte möjligt att skriva ”personaladministration” som ändamål utan man behöver vara tydligare än så och till exempel ange ”kartlägga löneskillnader mellan kvinnor och män enligt diskrimineringslagen” eller ”fullfölja skyldigheten enligt socialförsäkringsbalken att rehabilitera”. 
    • I HR-arbetet ingår många känsliga personuppgifter. Detta innebär att församlingen/pastoratet också (utöver att klargöra laglig grund och ändamål) måste tillse att man har rätt att behandla dem, eftersom behandlingen av känsliga personuppgifter normalt är förbjudet. Det undantag församlingen/pastoratet oftast kan använda inom HR-området är kopplat till arbetsrätten. Enligt förordningstexten får känsliga personuppgifter ”behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt”. I mallen beskrivs hur Österåkers pastorat har klargjort dessa frågor. Församlingen/pastoratet kan använda detta som inspiration men behöver, om den egna processen inte ser exakt likadan ut, göra erforderliga justeringar. 
    • I vissa delar av arbetet kommer personuppgifter om lagöverträdelser att behöva behandlas. Detta återkommer vi till nedan i ett eget avsnitt om behandling av lagöverträdelser.
    • Vidare är det viktigt att församlingen/pastoratet klarar av att hantera alla principer för behandling. Rent konkret innebär detta att ni måste se över behörighetsstyrning så att enbart personal som arbetar med olika HR-frågor har behörigheter till de uppgifter de behöver för sina arbetsuppgifter (detta gäller oavsett om personuppgifterna lagras digitalt eller i papperspärmar eller liknande papperssystem med register). Ni måste också se över er säkerhet (till exempel låsa in handlingar i plåtskåp). 
    • I många lagar som styr arbetet på HR-området finns krav på att församlingen/ pastoratet ska spara vissa handlingar. Den tidsfrist som finns i dessa lagar utgör också laglig grund att lagra personuppgifter. Till det kommer att de allra flesta av de här handlingarna ska diarieföras, vilket innebär att Svenska kyrkans bestämmelser 2017:1-2 blir tillämpliga. När något diarieförs kan också den lagliga grunden allmänt intresse användas.

    Vad behöver församlingen/pastoratet göra?

    Om församlingen/pastoratet inte har gått igenom HR-processerna behöver detta arbete påbörjas. Här kan exemplen från Österåker vara till hjälp men sannolikt gör alla församlingar/pastorat inte likadant. Upptäcker man att man gör på annat sätt är ett bra sätt att komma vidare att processkartlägga HR-verksamheten. Det är bra att involvera dataskyddsombudet i arbetet både eftersom hen fått arbetsmetoden processkartläggning beskriven under dataskyddsombudsnätverken som Stockholm och Uppsala stift anordnar och eftersom hen ska involveras i dataskyddsarbetet.

    Processkartläggning är bara en metod att förstå och tillämpa dataskyddsförordningen. Svenska kyrkans arbetsgivarorganisation tillhandahåller inom HR-området också stöd i arbetet. De har använt en annan metod att säkerställa kravet på information. Följande är dock viktigt att beakta när de mallarna används: 

    • Samtycke är i princip inte en laglig grund som man ska använda på HR-området och som inte heller går att använda om handlingar diarieförs eller behöver bevaras på grund av en rättslig förpliktelse.
    • Så fort man hanterar en känslig personuppgift behöver man också kunna klargöra med stöd av vilket undantag denna behandlas, eftersom grundläget är att det är förbjudet att behandla känsliga personuppgifter.
    • När man anger rättslig förpliktelse behöver man ange vilken lag (eller om det är kollektivavtal) och när man anger avtal precisera vilket. Detta är inte tydligt i det material arbetsgivarorganisationen tagit fram men det kan församlingen/pastoratet själva förstås tydliggöra. 

      Oavsett vilket underlag församlingen/pastoratet väljer att inspireras av i sitt arbete är det viktigt att inte okritiskt använda sig av mallar utan reflektera över om det som sägs stämmer med den egna verkligheten. Innan rättspraxis utvecklats vidare är det svårt att ha helt korrekta svar på alla frågor.

    En särskilt komplex fråga rör det internationella arbetet som bedrivs. I detta ingår både hanteringen av löpande kontakter, ta emot besökande och att resa själv. Har församlingen sådant arbete är det viktigt att noga gå igenom rekommendationerna rörande överföringar till tredje land och internationella organisationer. Här kommer församlingen/pastoratet behöva låta anställda ingå särskilda avtal som också innehåller riskbeskrivningar. 

    Information till de registrerade

    Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att informera registrerade (anställda, de som är föremål för rekrytering etcetera). Detta kan göras på flera sätt: Ett sätt är genom integritetspolicyn. Detta bör kompletteras med en särskild information till de anställda.  Österåkers pastorat har tagit fram texter till sin integritetspolicy vilka kan tjäna som inspiration.

    Anställningsavtalen är ofta inte så fylliga och det kan därför vara svårt att härleda en laglig grund direkt från dessa. Stockholms stift har därför tagit fram en kompletterande information som också är relevant utifrån kravet att lämna riktig information. Tanken är att denna ska användas både för befintliga anställda och vid nyanställningar. I arbetet har också anställningsavtalet setts över och innehåller nu checklistor för att information getts och om särskilt avtal rörande internationellt arbete ingåtts. Tänk på att texterna rörande Stockholms stift är hämtade från den verksamhet som bedrivs där. Detta innebär att församlingen/pastoratet noga måste fundera över vilka delar som är relevanta i den egna verksamheten när informationsmallen eller anställningsavtalsmallen används.

    Det är viktigt att informationen till registrerade innehåller kontaktuppgifter till församlingens/pastoratets dataskyddsombud. Ett bra sätt är att ha denna information i integritetspolicyn och sedan göra en länk till den i e-postmeddelanden som skickas ut. 

    Rekrytering

    En särskild del i HR-arbetet är rekrytering. Här är det bra att noga gå igenom hur det går till. Anlitar du något företag som ska hjälpa till kan företaget ibland vara personuppgiftsbiträde. Då behöver biträdesavtal ingås. Bäst och enklast är det att använda de mallar som finns på intranätet eftersom de är kvalitetssäkrade.
    Ibland kan rekryteringsfirmor anlitas för att genomföra olika test för att bedöma hur en person kommer att passa till viss arbetsuppgift. Görs detta elektroniskt innebär detta att församlingen/pastoratet blir ansvarig för profilering, vilket är en mycket integritetskänslig behandling. Stockholms stift arbetar med profilering i viss chefstillsättning och har därför beaktat frågan i sitt arbete med integritetspolicyn. Vill du veta hur du kan hantera detta kan du läsa stiftets integritetspolicy rörande rekrytering. I sådana här fall är det också vanligt att företagen vill behålla underlag (särskilt om de arbetar med så kallad Executive Search). Församlingen/pastoratet måste först bedöma om detta är rimligt. Landar man i detta kan ett inbördes arrangemang behöva tas fram. 

    Vid rekrytering är det viktigt att tänka på att diskrimineringslagen har ett krav på att man under två års tid ska kunna visa att rekryteringen skötts korrekt. Därför behöver underlag diarieföras och sparas. I Österåkers pastorats integritetspolicy finns en beskrivning kopplat till detta lagkrav.
    Tänk på att den här typen av hantering ofta innefattar många integritetskänsliga personuppgifter. I sådana fall får man inte skicka mejl okrypterat.

    Företagshälsovård, handledning och andra liknande tjänster

    För att fullfölja sitt rehabiliteringsansvar kan församlingar och pastorat behöva anlita extern hjälp. Så är också fallet med företagshälsovård. Även handledning till exempel präster och diakoner kan ibland skötas av externa aktörer. 
    I alla de här fallen samarbetar församlingen/pastoratet med andra juridiska personer eller enskilda firmor. Detta innebär att man behöver ta fram antingen ett biträdesavtal eller ett inbördes arrangemang.
    Tänk på att den här typen av hantering ofta innefattar många integritetskänsliga personuppgifter. I sådana fall får man inte skicka mejl okrypterat.

    Behandling av personuppgifter om lagöverträdelser

    Behandlingen av personuppgifter om lagöverträdelser är förbjudet om man inte kan hitta ett tydligt författningsstöd för behandlingen eller om man fått tillstånd av Datainspektionen. Församlingar och pastorat kan med stöd av författningsbestämmelser lagligen behandla personuppgifter om lagöverträdelser i två situationer. 

    Den första rör den registerkontroll som sker i samband med anställning. Här är det viktigt att församlingen/pastoratet noga följer reglerna kring registerkontroll. Man får inte behålla något dokument eller göra andra anteckningar än att utdraget är uppvisat. I Österåkers pastorats integritetspolicy finns exempel på hur detta kan skötas på ett korrekt sätt.

    Det andra fallet är när församlingen/pastoratet behöver behandla personuppgifter för att göra en polisanmälan eller annars hantera rättsliga anspråk de kan ha. I den sistnämnda gruppen ingår de behov församlingar och pastorat som arbetsgivare kan ha, det vill säga när de behöver säkra bevisning för att kunna genomföra en uppsägning eller ett avskedande. Även detta beskrivs i Österåkers pastorats integritetspolicy.  I nuläget är det viktigt att församlingar och pastorat även sätter sig in i den påverkan Datainspektionens beslut har på domkapitlen. I klartext innebär detta att arbetet snarast behöver kvalitetssäkras.

    När det gäller personuppgifter om lagöverträdelser är det viktigt att ha en mycket strikt hantering av behörigheter. Rimligen bör enbart administrativ chef och kyrkoherden vara behöriga att behandla sådana personuppgifter. 

    Påverkan av Datainspektionens beslut om domkapitlen

    Datainspektionen fattade  26 mars 2019 två beslut som rör ansökningar av Stockholms och Uppsala stift om tillstånd att behandla personuppgifter som rör lagöverträdelser inom respektive stifts domkapitel. Datainspektionen nekade tillstånd med motiveringen att stiften inte hade rätt att behandla känsliga personuppgifter. Besluten kommer att överklagas.

    Under den tid överklagandena inte är avgjorda kommer domkapitlen behöva ta ställning till sitt arbete under den tid rättsläget är oklart. Detta kommer sannolikt innebära att handläggning av ärenden som kräver behandling av lagöverträdelser och/eller känsliga personuppgifter inte sker under aktuell tidsrymd. Detta leder till att församlingars/pastorats arbetsrättsliga hantering i samband med lagöverträdelser blir ännu mer viktiga. Stiften har lämnat separat information om detta.
    Av besluten framgår att församlingar och pastorat har tydlig laglig grund att behandla personuppgifter när de behandlar personuppgifter för att avgöra om de vill vidta rättsliga åtgärder när en anställd begått brott. I Österåkers pastorats integritetspolicy finns relevanta processbeskrivningar rörande detta (där beskrivs åtgärder när en medarbetare missköter sig och när anställningen upphör på arbetsgivarens initiativ). Det är viktigt att församlingar/pastorat noga går igenom dessa beskrivningar och tillämpar dem i sin verksamhet. De särskilda anvisningar som stiften gett behöver här också beaktas. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2019-09-06
    X
    Dokumentid: 1441606- Webid: 28950 - Unitid: 14