Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Integritetspolicy

    Vad säger regelverket?

    En integritetspolicy är ett dokument som nära hänger samman med öppenhetsprincipen och den registrerades rätt till information. Öppenhetsprincipen handlar om att en personuppgiftsansvarig organisation ska beskriva sin personuppgiftsbehandling öppet och transparent så att den registrerade kan förstå hur deras personuppgifter används. Detta innebär konkret att en församling eller ett pastorat ska kunna beskriva sin personuppgiftsbehandling i förhållande till de personer man kommer i kontakt med: medlemmar, samarbetspartners, anställda, förtroendevalda, volontärer och ideellt arbetande personer, konsulter med flera. Informationen ska ges på klart och tydligt språk (gärna visualiseringar), det vill säga den får inte bli för juridiskt!

    Det sistnämnda är utmanande då informationsskyldigheten är omfattande. Den ska omfatta följande:
    Beskrivning av ändamål och laglig grund inklusive vidarebehandling för andra ändamål än insamlandet.
    • Vem som tar emot personuppgifterna (om de delas vidare till annan).
    • Vem man har fått uppgifterna ifrån (om de inte kommer från den registrerade).
    • Om personuppgifterna överförs till tredje land eller internationell organisation.
    • Hur länge man tänker lagra personuppgifterna, det vill säga principer för bevarande och gallring.
    • Om personuppgifterna behövs för att följa ett avtal eller en lagbestämmelse; vilket avtal/vilken lag och på vilket sätt ska personuppgifterna användas?
    • Om det förekommer automatiserade beslut eller profilering (kan till exempel förekomma om man sponsrar inlägg på sociala medier eller låter sökande göra personlighetstester vid rekrytering).
    • Om behandlingen baseras på samtycke: den registrerade har då rätt att återkalla samtycket.
    • Om behandlingen baseras på berättigat intresse: vad detta består av, det vill säga beskrivning av den intresseavvägning man har gjort.
    • Kontaktuppgifter till församlingen/pastoratet och namn och kontaktuppgifter till dataskyddsombudet.
    • Att den registrerade kan klaga till Datainspektionen.
    • Vilka rättigheter den registrerade har.

    Det innebär ett gott inbyggt dataskydd att samla informationen i en integritetspolicy på webbplatsen som den registrerade enkelt kan komma åt. Att man har en integritetspolicy innebär inte att man därigenom automatiskt har uppfyllt sin informationsskyldighet men finns en sådan kan man hänvisa de registrerade dit eller använda delar av den i annan information till dem. Alla medarbetare kan med fördel också göra en länk till integritetspolicyn i sin mejlsignatur.

    En integritetspolicy kan också vara ett bra ställe att informera om inbördes arrangemang, eftersom sådana har samma syfte: att informera den registrerade om vardera personuppgiftsansvarigs behandling som sker inom ramen för ett gemensamt personuppgiftsansvar.

    Att inte kunna hantera informationsskyldigheten på ett korrekt sätt ligger på högsta sanktionsnivån (som mest 20 miljoner euro). Det är också av detta skäl viktigt att prioritera arbetet.

    Hur kan man arbeta praktiskt med en integritetspolicy

    Informationsskyldigheten är omfattande och samtidigt ska den personuppgiftsansvariga organisationen klara av att informera på ett klart och tydligt språk och gärna visuellt. Stockholms stift, Uppsala stift och Österåkers pastorat, som står bakom många mallar och exempel som finns på detta intranät har valt att göra detta genom att beskriva olika arbetsuppgifter (processer) där stegen i arbetsuppgifterna beskrivs utifrån den registrerades perspektiv. De integritetspolicyer som upprättats innehåller därför följande: 

    • En allmän del som innehåller kontaktuppgifter, allmän information om rättigheter och hur man kan klaga. I den här delen ges också viss allmän information om personuppgiftsansvaret. 
    • I den allmänna delen kan också lämpligen tankar om hantering av ostrukturerad information (främst i mejl och dokumenthanteringssystem som Word och Excel) ges. Vidare kan information om de nationella IT-systemen lämnas här.
    • Olika arbetsuppgifter beskrivna som processer. Detta görs ämnesvis och utifrån den registrerades vinkel. I olika delar på intranätet finns sådana processbeskrivningar intagna, till exempel som mall i avsnittet Konfirmation. I den allmänna delen kan man gärna göra länkar till processer som sedan beskrivs på egna underflikar eller länkade PDF-dokument.

    Det finns flera fördelar med att dela upp policyn i en allmän information som inte behöver vara så lång och processer som man kan klicka sig vidare till. Det gör integritetspolicyn mer lättläst eftersom var och en av de registrerade kan klicka på den arbetsuppgift (process) som hen är intresserad av. Det är viktigt att göra informationen så lättillgänglig som möjligt och på så sätt undvika informationsutmattning hos läsarna. 
    Vidare kan separata processbeskrivningar användas till mer än bara vara underlag i en integritetspolicy. De kan till exempel användas för att ge information till de registrerade när man hanterar deras frågor (till exempel kan processbeskrivningen för konfirmation användas när man informerar föräldrar om möjligheten att låta sina ungdomar konfirmeras). Skulle någon begära ett registerutdrag finns de flesta allmänna uppgifter som krävs för ett sådant i de separata processbeskrivningarna. Detsamma gäller behandlingsregistret: här har man stor nytta av att kunna hämta uppgifter från en integritetspolicy eftersom kraven är liknande.

    Ett exempel baserat på det arbete som gjorts i stiften och pastoratet som omfattar de två första punkterna ovan kan tjäna som inspiration för pastorat och församlingar som fortfarande inte har tagit fram en egen policy. Att länka till nationell nivås policy är inte adekvat eftersom verksamheten ser mycket olika ut på olika nivåer av Svenska kyrkan. Tänk på att de registrerade ska förstå vad församlingen/pastoratet gör med deras personuppgifter. Ju mer konkret och jordnära församlingen/pastoratet kan bli i sina beskrivningar, desto bättre.
    Många processer inom till exempel HR-området berör enbart anställda. Här kan det vara mer adekvat att anslå integritetspolicyn rörande de processerna på intranätet. Självklart kan man här välja hur man vill arbeta. I exemplet har vi delat upp policyn i två delar av den anledningen. 

    Policyn ska vara ett levande dokument

    Tänk på att en integritetspolicy är ett levande dokument. Om medarbetare kommer på smartare arbetssätt eller andra förbättringar av integritetsskyddet bör policyn snarast uppdateras då den måste spegla de riktiga förhållandena. Framgångsfaktorn i arbetet är att medarbetare får vara med både i utformningen av processerna och att de får ta ett eget ansvar för uppdateringar. 
    Integritetspolicyn kan också behöva uppdateras om rättsläget klargörs genom rättspraxis eller genom uttalanden av Datainspektionen (en av dataskyddsombudets arbetsuppgifter är omvärldsbevakning vilket kan föranleda ändringar av policyn). I detta liksom i övrigt i framtagandet av en korrekt integritetspolicy kan dataskyddsombudet vara ett stöd.
    Just eftersom policyn är ett levande dokument är det bättre att fortlöpande uppdatera den med ny information och inte vänta in att man har en ”perfekt utformad” integritetspolicy som täcker 100 procent av arbetet.  Det första steget kan vara att ta in den allmänna delen och sedan lägga till process efter process. 

    Processkartläggning av arbetet

    När Stockholms stift, Uppsala stift och Österåkers pastorat har jobbat fram sina integritetspolicyer har de använt processkartläggning som metod. Tillsammans med berörda medarbetare har respektive arbetsuppgift kartlagts och resultatet har blivit de olika processbeskrivningarna som finns i integritetspolicyerna på hemsidorna (se länkar till höger).
    Processkartläggningen har också inneburit att medarbetarna dels fått konkret utbildning i vad regelverket innebär, dels kan bli aktivt engagerade i de förändringar som kan behövas i verksamheten. Det är bra om den som modererar processkartläggningen har bra kunskaper i regelverket (kanske kan detta vara en arbetsuppgift som passar dataskyddsombudet?).

    Det arbete som har gjorts kan tjäna som inspiration till andra församlingar och pastorat, men bör användas med försiktighet. Stockholms stifts intranät (där du är just nu) innehåller redan flera mallar med exempel på processer och fler kommer att tillkomma efter hand. Det är viktigt att den policy som anslås på webben verkligen speglar det arbetssätt som församlingen/pastoratet har. 

    Vill man använda mallarna utan att processkartlägga rekommenderas istället djupintervjuer med berörda medarbetare. Känner de igen sig i beskrivningen och arbetar på det sättet kan mallar användas. Annars får de justeras så länge församlingen/pastoratet klarar av att följa de grundläggande principerna för behandling.

    Kyrkorådets roll

    Beslut om policyer tas normalt av kyrkoråden eller till och med ibland av fullmäktige; detta beror på hur delegationerna ser ut. Det är självklart bra att kyrkorådet noga följer dataskyddsarbetet men då det är viktigt att hela tiden kunna ge korrekt information är det också viktigt med snabba beslutsvägar. 
    Det är därför viktigt att se över delegationerna. Rekommenderbart är att kyrkoherden ges delegation att besluta att uppdatera eller ändra integritetspolicyn. Självklart kan kyrkorådet  följa vad som hänt genom fortlöpande information av kyrkoherden och kan själv självklart oavsett delegation initiera de ändringar man ser behov av. På så sätt kan kyrkorådet fortfarande styra verksamheten. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2019-09-12
    X
    Dokumentid: 1435967- Webid: 28950 - Unitid: 14