Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Kommunikation

     

    Vad säger regelverket?

    Församlingen/pastoratet är i de flesta fall personuppgiftsansvarig för personuppgifter som används i kommunikationen. Det finns dock ett viktigt undantag: tryckfrihetsförordningen och yttrandefrihetsgrundlagen står över dataskyddsförordningen. Om en behandling av personuppgifter omfattas av dessa regelverk gäller inte dataskyddsförordningen vilket bland annat innebär att man inte behöver reflektera över begreppet personuppgiftsansvar. Ett exempel på behandlingar som omfattas av yttrandefrihet är de som görs på en webbsida med stöd av ett frivilligt utgivningsbevis (observera att ett sådant dock inte täcker efterföljande publicering eller delning på sociala medier).

    Yttrandefrihet och tryckfrihet är viktiga. Därför finns också ytterligare ett begrepp – journalistiskt ändamål – som är relevant att förstå. Begreppet journalistiskt ändamål finns i dataskyddsförordningen och det innebär ett utvidgat skydd för yttrandefrihet (utöver grundlagsskyddet). I det här fallet är församlingen/pastoratet personuppgiftsansvarig men inte alla delar i dataskyddsförordningen behöver hanteras. Vi återkommer till detta nedan.

    I övriga fall (det vill säga när behandlingen varken faller under de svenska grundlagarna eller utgör ett journalistiskt ändamål) behöver församlingen/pastoratet hantera alla delar av sitt personuppgiftsansvar. Detta innebär bland annat följande:

    • Laglig grund för behandlingen av personuppgifter måste säkras (att inte klara detta ligger på högsta sanktionsnivån). Tänk på att ni också i förväg noga tänker igenom vad ni har för ändamål med varje behandling (detta är mycket viktigt för att ni korrekt ska kunna hantera till exempel rättigheter, integritetspolicy och behandlingsregister korrekt). 
    • Om känsliga personuppgifter behandlas måste församlingen/pastoratet också tillse att det finns laglig möjlighet att behandla dem. Det lär vara svårt att hitta annan möjlighet än uttryckligt samtycke i församlingens/pastoratets utåtriktade kommunikation. Vi föreslår att man i dessa fall arbetar med avtal (se mallar) där ett sådant samtycke tas in. 
    • Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att informera de registrerade. Detta kan göras på flera sätt: Ett är tydliga texter i de avtal som ingås med den registrerade. Ett annat är en tydlig integritetspolicy. Båda sätten kan användas då de kompletterar varandra. 
    • Vidare är det viktigt att församlingen/pastoratet klarar av att hantera alla principer för behandling. Tänk på att texter, bilder och ljudfiler också kan innehålla känsliga personuppgifter (till exempel en bild på en person som tar nattvarden) vilket kräver att församlingen/pastoratet hittar ett undantag som gör behandlingen laglig. 
    • Samarbetar ni med andra behöver ni klargöra den statusen. Antingen är ni gemensamt personuppgiftsansvariga och då krävs ett inbördes arrangemang. I andra fall kan ni behöva ett biträdesavtal.  

    Journalistiskt ändamål

    Begreppet journalistiskt ändamål definieras inte i dataskyddsförordningen. Journalistiska ändamål omfattar enligt tidigare rättsfall att informera, utöva kritik och väcka debatt i samhällsfrågor som är av betydelse för allmänheten. Kommunikationen ska således vara riktad till allmänheten och församlingen/pastoratet ska med kommunikationen framföra tankar som man anser har betydelse för denna. Ett tips kan vara att försöka tänka som en nyhetsredaktion när man skriver. Det finns dock inte något krav på att språket ska vara journalistiskt utan det är syftet som är kärnan i tänket. Givet Svenska kyrkans ändamål är det inte svårt att tänka journalistiskt då mycket som man vill föra ut innebär att man vill ”informera, utöva kritik och väcka debatt i samhällsfrågor som är av betydelse för allmänheten” till exempel berätta om den kristna tron, kristna värderingar och kyrkans gemenskap genom de olika aktiviteterna som församlingar/pastorat erbjuder. 

    Beträffande journalistiska ändamål finns vissa undantag, det vill säga att vissa bestämmelser i dataskyddsförordningen inte behöver följas. Detta gäller i följande fall:
    • Principerna för behandling
    • Den registrerades rättigheter
    • Vissa skyldigheter för den personuppgiftsansvarige och personuppgiftsbiträdet
    (bland annat behandlingsregister, inbyggt dataskydd och biträdesavtal)
    • Konsekvensbedömning och förhandssamråd
    •  Överföring av personuppgifter till tredjeländer eller internationella
    organisationer

    Webbplatsen

    Finns ett frivilligt utgivningsbevis så kan vissa delar av hemsidan omfattas av yttrandefrihet. Om församlingen/pastoratet vill söka ett sådant krävs bland annat att en person utses till ansvarig utgivare. Poängen att söka ett frivilligt utgivningsbevis är dock inte stor då efterföljande publiceringar på sociala medier ändå inte skyddas av utgivningsbeviset. En bättre lösning kan då vara att tillämpa reglerna om journalistiska ändamål.
    På andra delar av webbplatsen där utgivningsbevis eller journalistiskt ändamål inte kan tillämpas behöver en genomgång enligt dataskyddsförordningens regelverk göras. Ett exempel på en sådan fråga är sidan med kontaktuppgifter och bilder på anställda. Här kan församlingen/pastoratet behöva GDPR-säkra sidan genom att fundera över följande frågor: Varför har vi information/bilder på våra anställda på vår webbplats? Om det är för att allmänheten lättare ska komma i kontakt med rätt person, kan man överväga dels varför alla anställda behöver finnas på sidan (räcker det inte med dem som har utåtriktade arbetsuppgifter?), dels hur man presenterar de anställda (förklarar vi vad de gör så att allmänheten förstår vem de kan kontakta?). Tänk på att de anställda anses vara utsatta registrerade så en behandling av deras personuppgifter på webbplatsen bör inte stödjas av samtycke. Avtal (anställningsavtalet) eller berättigat intresse kan dock vara lagliga grunder som är möjliga att använda men då bör en publicering förstås vara relevant för en arbetsuppgift som den anställde ansvarar för.

    Sociala medier

    Sociala medier tar oftast inte betalt i pengar för att en organisation har en sida hos dem. Det motkrav de har är istället att de får profilera på personuppgifter som finns på sidan och sälja reklam. Profilering är ett juridiskt ord. Det innefattar varje form av automatiserad behandling av personuppgifter som består i att personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person (det vill säga en registrerad), i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Det församlingen/pastoratet egentligen ”betalar med” när man har en Facebook-sida är personuppgifter från de enskilda som interagerar på sidan eftersom dessa personuppgifter används för profilering av det sociala medieföretaget eller andra organisationer som köper sponsrade annonser.

    I dagsläget är det svårt att hitta sociala medieföretag som har säkrat att de har en tydlig laglig grund för sin behandling i förhållande till de registrerade. EU-domstolen har i en dom fastslagit att en organisation som har en sida på Facebook är gemensamt personuppgiftsansvarig  när organisationen gjort egna statistikinställningar på Facebook-sidan, vilket bland annat innebär att det då finns ett krav på inbördes arrangemang. Då det inte går att träffa avtal med sociala medieföretag om inbördes arrangemang har stiftet på sina Facebook-sidor valt att förklara det inbördes arrangemanget (se mall). För att kunna använda den mallen behöver pastoratet/församlingen besluta att man inte sponsrar inlägg (sponsrade inlägg innebär en sorts profilering) och inte gör statistikinställningar. Det är mycket svårt idag att se att en församling/pastorat som sponsrar inlägg skulle kunna visa upp en laglig grund för denna profilering. Att sakna laglig grund för profilering ligger på högsta sanktionsnivån, upp till 20 miljoner euro. Bedömningen av agerandet kan dessutom förvärras på grund av Facebooks agerande inom det gemensamma personuppgiftsansvarets ramar.

    Stiftskansliet har också valt att enbart publicera och dela inlägg som stöds av det journalistiska ändamålet. Detta beskrivs i stiftets integritetspolicy i avsnittet om kommunikation (se mall). Då det i dagsläget är mycket svårt att bedöma hur Facebook-domen kommer att tolkas är detta en rekommenderbar praxis. Vill du få inspiration hur man skriver journalistiskt kan du titta på stiftets Facebook-sidor (sidorna Stockholms stift samt Gör inte skillnad på människor, se länkar). Om församlingen/pastoratet inte vill göra som stiftet kan det föreligga en skyldighet att göra en konsekvensbedömning eftersom det rör sig om högriskbehandlingar där den lagliga grunden är högst osäker. 

    Annan kommunikation

    När församlingen/pastoratet använder andra sätt att kommunicera (utskick, foldrar, affischer och kampanjer) gäller dataskyddsförordningens regler kring behandling, vilket bland annat innebär att ändamål och laglig grund behöver fastställas. För att kunna göra detta behöver man gå igenom sina kommunikativa processer. Österåkers pastorat har gjort detta och beskrivit dem i sin integritetspolicy. I den kan församlingen/pastoratet få tips kring lagliga grunder i olika verksamheter. Även mallen från Stockholms stift (utdrag ur stiftets integritetspolicy) kan användas som inspirationskälla i dessa frågor.

    Bilder

    Tidigare bildhantering har i många fall inte varit tillräckligt stabil när det gäller laglig grund för behandlingen. Detta gäller den nationella bildbanken IKON (som just nu gås igenom för att säkerställa laglig grund) men också sannolikt för andra bilder som församlingen/pastoratet köpt, laddat ner eller tagit själv. Det är därför viktigt att noga gå igenom bilder och radera dem som saknar laglig grund. Finns bilderna i diariet eller i arkivet ska SvKB 2017:1-2 följas, se länksamling t höger. Om bilder saknar laglig grund kan församlingen/pastoratet dels drabbas av en sanktion (högsta sanktionsnivån är 20 miljoner euro), dels tvingas betala skadestånd. 

    Bilder som enbart används för journalistiska ändamål eller med stöd av ett utgivningsbevis kräver inte laglig grund (se ovan vilka regler i dataskyddsförordningen som gäller). Församlingen/pastoratet kan alltså arbeta med ett bildarkiv för nämnda ändamål om man säkerställer att bilder bara använts i detta syfte (tagga dem då så det framgår att det är ett journalistiskt ändamål med bilden). Rekommendationen är att göra ett sådant bildarkiv för nya bilder (alltså inte gamla där den lagliga grunden kan vara grumlig och där den registrerade kan känna sig sviken om de använts på ett sätt som inte förankrats). 

    Vill man använda bilder för andra ändamål, som affischer, foldrar eller kampanjer, bör man säkra att det finns laglig grund genom ett avtal (se mall). Detta gäller också om man tagit en bild för ett journalistiskt ändamål och sedan vill använda den på annat sätt. Observera att avtalet är komplext att fylla i och församlingen/pastoratet måste ägna detta stor eftertanke så att man inte slentrianmässigt ber enskilda kryssa för ändamål som man inte är intresserade att använda sig av.

    Avtalsmallen utgår också ifrån att namnpublicering inte är nödvändig. Om detta är aktuellt kommer ett mer komplext avtal behöva ingås eftersom den enskilde då enkelt kan identifieras. Rådfråga gärna dataskyddsombudet på församlingen/pastoratet när avtalet ska hanteras. Avtal som träffas ska diarieföras och bilder som kan kopplas till avtalet ska taggas så man enkelt kan hitta dem. Tänk på att bilder som innehåller känsliga personuppgifter också kräver ett uttryckligt samtycke (finns med i avtalsmallen). Anlitar man en fotograf för att ta bilderna behöver den relationen hanteras. Ofta vill fotografen kunna fortsätta använda bilder med stöd av sin upphovsrätt vilket gör att ett inbördes arrangemang är mest lämpligt i detta fall (se mall).

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2019-11-20
    X
    Dokumentid: 1424239- Webid: 28950 - Unitid: 14