Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Personuppgiftsansvar 

    Vad säger regelverket?

    En personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som bestämmer syftena och metoderna för behandlingen av personuppgifter. Det centrala i meningen är ordet ”bestämma” och i praktiken innebär det att den som själv avgör vad man tänker behandla för personuppgifter för (syftet) och hur man tänker göra detta (metoden) kan bli personuppgiftsansvarig. Ordet ”bestämma” är avgörande bland annat när man ska avgöra om man har ett personuppgiftsbiträde. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter till ett biträde men personuppgiftsansvaret kan aldrig överlåtas.

    Med personuppgiftsansvaret följer skyldigheten att behandlapersonuppgifter på ett korrekt sätt vilket bland annat innebär att vidta organisatoriska och tekniska åtgärder för att skapa ett gott inbyggt dataskydd. En personuppgiftsansvarig är i vissa fall skyldigt att föra ett behandlingsregister, ha dataskyddsombud, göra konsekvensbedömningar och begära förhandssamråd med Datainspektionen. Personuppgiftsansvariga är vidare ansvariga att anmäla personuppgiftsincidenter och de måste också ha kontroll över överföringar till tredje land.

    Personuppgiftsansvaret vilar på organisationen vilket innebär att det är kyrkorådet som har det yttersta ansvaret för att skyldigheterna hanteras korrekt. Den som är personuppgiftsansvarig  kan drabbas av sanktioner och behöva betala skadestånd. 

    Gemensamt personuppgiftsansvar

    Om två personuppgiftsansvariga tillsammans bestämmer villkoren för behandlingen är de gemensamt personuppgiftsansvariga. För att den registrerade ska kunna tillvarata sina rättigheter behöver gemensamt personuppgiftsansvariga oftast beskriva sin relation i ett ”inbördes arrangemang”. För kyrkans del beskrivs rollerna nationell nivå/stift/församling i kyrkoordningen och på så sätt kan de delar som beskrivs där sägas ha ett ”inbördes arrangemang”. 

    Ett annat typiskt fall som kan vara intressanta för en församling eller ett pastorat är kontakterna med begravningsbyråer. Här kan konstateras att församlingen/pastoratet inte ”bestämmer” över begravningsbyrån lika lite som den ”bestämmer” över församlingen. Till höger finns ett exempel på hur ett inbördes arrangemang kan utformas för just begravningsverksamhet. (exemplet är baserat på verksamheten i Österåkers pastorat så den som använder mallen bör noga kontrollera att texten stämmer också i den egna verksamheten). Det är viktigt att de registrerade får tillgång till det inbördes arrangemanget (kan till exempel bifogas eller nämnas i kontakter med den registrerade). 

    Om relationerna mellan två personuppgiftsansvariga beskrivs i en lag behövs inget ”inbördes arrangemang”. Församlingen behöver därför inte beskriva sin skyldighet att lämna kontrolluppgifter till Skatteverket i ett inbördes arrangemang eftersom detta tydligt framgår av lag. 

    När fysisk person kan vara personuppgiftsansvarig

    Enligt definitionen kan en fysisk person bli personuppgiftsansvarig. Personer som bedriver näringsverksamhet i enskilda firmor eller är självanställda är klassiska exempel på detta.
    Privatpersoners behandlingar av privat natur (det vill säga behandlingar som är helt och hållet privata eller har samband med personernas hushåll) faller utanför dataskyddsförordningens tillämpningsområde (dessa är alltså inte att anse som personuppgiftsansvariga). 

    Det är i övriga fall viktigt att reda ut gränserna för detta eftersom det bland annat kan få betydelse för ideellt arbetande personer. I ett EU-rättsfall om Jehovas vittnen ansåg EU-domstolen att de som knackade dörr för att sprida Jehovas läror blev gemensamt personuppgiftsansvariga med församlingen. För att undvika ett sådant utfall är det viktigt att tydligt styra upp volontärer och ideellt arbetande personers arbete och klargöra att församlingen/pastoratet tar ansvar för det. Det som i rättsfallet gjorde att den enskilda personen (vittnet) fick ett gemensamt ansvar med församlingen var:

    • Verksamheten är utåtriktad (kunde inte anses höra till de predikande medlemmens privata sfär).

    • En del av uppgifterna som medlemmen samlade in skickades vidare till församlingen (namn på sådana som i fortsättningen inte vill ha besök). På detta sätt gjorde medlemmen en del av de insamlade uppgifterna tillgängliga för ett potentiellt obestämt antal personer.

    • Av domen framgår också att medlemmen hade frihet att avgöra vilka personuppgifter de samlade in (hade betydelse när domstolen kom fram till att det förelåg ett gemensamt personuppgiftsansvar).

    Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan privat verksamhet. Givet utgången i Jehovas vittnen-domen är det dock inte säkert att publicering av inlägg i sociala medier som inte har samband med privat verksamhet omfattas av begreppet privat natur. Det är därför en klok strategi att inte använda medarbetares och frivilligas sociala mediekonton i församlingens verksamhet eftersom detta annars skulle kunna leda till ett gemensamt ansvar. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2019-03-11
    X
    Dokumentid: 1419563- Webid: 28950 - Unitid: 14