Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Registrerades rättigheter

    Vad säger regelverket?

    Det finns ett antal rättigheter som församlingen och pastoratet måste klara av att hantera.

    • Information. 
    • Tillgång (också kallat registerutdrag).  
    • Rättelse. 
    • Radering (kallas också rätten att bli glömd). 
    • Begränsning (kallas också frysning). 
    • Invändning. 
    • Dataportabilitet. 
    • Rätt att slippa automatiserat beslutsfattande inbegripet profilering. 

    Gemensamt för alla rättigheter är att församlingars och pastorats kommunikation med den registrerade (den enskilde vars personuppgifter behandlas) måste ha en koncis, klar, tydlig, begriplig och lätt tillgänglig form. Ett klart och tydligt språk ska användas. I hanteringen av rättigheter kan församlingen/pastoratet kommunicera skriftligt eller elektroniskt (det sistnämnda sker i praktiken genom att man låter enskilda själva använda IT-system om det är möjligt för att se vad som finns i systemen om dem). Om den enskilde själv vill ha muntlig kommunikation får även detta sätt att kommuniceras användas (bör i så fall dokumenteras i en tjänsteanteckning som diarieförs).

    Rättigheter är komplexa att hantera korrekt bl.a. då det finns st   rikta tidsfrister som behöver iakttas. Det är därför bra att utse ansvarig chef och handläggare (kan vara samma person, men kan också delas upp – valet beror på vilka kompetenser församlingen/pastoratet har att tillgå). Även dataskyddsombudet kan oftast vara bra att rådfråga. Av rutinen bör framgå vilka befattningshavare som kan kontaktas rörande rättigheter.
    Felaktig hantering av rättigheterna information, registerutdrag, rättelse och radering ligger på högsta sanktionsnivån (maxbeloppet för sanktioner är 20 miljoner euro) så det är viktigt att kunna hantera dessa rättigheter rätt. Även övriga rättigheter är viktiga att kunna hantera korrekt eftersom de också kan kopplas till de  grundläggande principerna om behandling och principen om inbyggt dataskydd. Felaktig hantering av sådana rättigheter kan därför också innebära sanktion (maxnivåer på sanktioner är 20 respektive 10 miljoner euro).

    Rätten till information

    Rätten till information innebär att den registrerade ska ha rätt till information om all personuppgiftsbehandling. Rätten till information ska avse: 

    • Ändamål med behandlingen.
    • Om vi använder lagliga grunden berättigat intresse: vad det intresset består av.
    • Mottagare eller kategorier av mottagare.
    • Om vi för över uppgifter till tredje land eller en internationell organisation.
    • Den period vi avser behandla uppgifter eller kriterier för lagring.
    • Vilka rättigheter den registrerade har.
    • Uppgifter om vårt personuppgiftsansvar bl.a. kontaktuppgifter.
    • Vem som är dataskyddsombud och kontaktuppgifter.
    • Möjligheten att klaga hos Datainspektionen.

    Informationsskyldigheten är omfattande för den personuppgiftsansvariga organisationen – inte minst att klara av att rätt beskriva alla ändamål, mottagare och gallringsfrister.

    Rätten till information ska ges fortlöpande vilket i normalfallet innebär att den ska ges inom en månad(i rutinen finns fler tidsfrister för denna rättighet beskriven). Ett bra sätt att säkerställa information är att ta fram en integritetspolicy och länka till den i olika sammanhang, till exempel i e-postsignaturen. 
    Man kan också behöva ge information separat om man bjuder in till olika evenemang eller kontaktar registrerade på annat sätt. Finns bra processbeskrivningar rörande det aktuella evenemanget går det förstås bra att länka till policyn eller skicka med som separat information i en PDF. 

    Tänk på att alla registrerade har rätt till information. Datainspektionens skrivningar om e-post illustrerar hur komplext detta kan vara:

    "Om en person skickar e-post till er och nämner en tredje person så kan ni behöva informera den tredje personen om att ni behandlar personuppgifter om hen. Ni måste göra en sammanvägd bedömning utifrån omständigheterna i varje enskilt fall om arbetsinsatsen för att få tag i personen och ge informationen står i proportion till vikten av att personen informeras. Dataskyddsförordningen kräver inte att ni skaffar eller behandlar ytterligare information för att identifiera den registrerade personen endast i syfte att följa förordningen.
    Om det rör sig om personuppgifter av okänslig karaktär, exempelvis i sedvanlig e-postkorrespondens mellan kollegor eller i andra vardagliga meddelanden, anser Datainspektionen att det normalt sett är oproportionerligt att kräva att den tredje personen informeras särskilt.”

    Det finns två andra situationer där den enskilde också har rätt till information:

    Rätten till registerutdrag

    Registerutdrag (tillgång) är en mycket komplex rättighet att hantera. Ett registerutdrag ska i princip innehålla motsvarande uppgifter som vid rätten till information (se ovan). Här tillkommer dock också att hitta och beskriva själva personuppgifterna. Finns separata processbeskrivningar i en integritetspolicy kan de användas. Skulle någon begära ett registerutdrag finns de flesta uppgifter som krävs för ett sådant i de separata processbeskrivningarna. 
    Rätten är inte ovillkorlig, den begränsas både av sekretessregler och skyddet för andra registrerade. Det är därför mycket viktigt att göra en säker identifiering av den enskilde. I rutinen med tillhörande checklista finns förslag hur man kan arbeta systematiskt med frågorna. 

    Rätten till rättelse

    En registrerad har rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade också ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. 
    I den här prövningen behöver riktighet vägas mot korrekthet. Det förstnämnda innebär att uppgiften ska vara riktig i förhållande till församlingens/pastoratets ändamål. Korrekthet kopplas till den enskildes känsla av att personuppgiften ska kännas rättvist behandlad. 
    Tänk på att vissa uppgifter inte kan rättas. Detta beskrivs mer ingående i Rutinen för rättighetshantering

    Rätten till radering

    Radering är både något som ska göras automatiskt av den personuppgiftsansvariga organisationen, till exempel om det inte finns laglig grund att lagra personuppgifterna. Det är också en rättighet som den enskilde kan göra gällande. Den enskilde har rätt till radering om hen återkallar ett samtycke eller gör en invändning, men rätten är inte ovillkorlig utan behöver utredas, eftersom det också kan finnas skäl att inte radera. I rutinen för rättighetshantering beskrivs regelverket mer ingående.

    När det gäller rätten till radering behöver också offentlighetsprincipen och dess koppling till arkivering för historiska skäl beaktas. Detta kallas i dataskyddsförordningen ”arkiv av allmänt intresse”. Av arkivlagen (1990:782) framgår att kyrkans hantering av allmänna handlingar (bl.a. de som överlämnades när kyrkan skildes från staten men också de som förekommer i verksamhet med myndighetsutövning som gravrättigheter) ingår i begreppet ”arkiv för allmänt intresse.” Av förarbetena framgår vidare att 12 § lagen (1998:1591) om Svenska kyrkan anses vara en ”arkivlagstiftning” vilket innebär att även kyrkans handlingar (de som omfattas av SvKB 2017:1 och 2019:1) omfattas av begreppet ”arkivändamål för allmänt intresse” i dataskyddsförordningens lagtext. Detta begrepp leder till att det finns vissa särregler. För enheter inom Svenska kyrkan innebär detta konkret att nationell nivå har ansvaret för att pröva bevarandefrågor. 

    För att både hantera dataskyddsförordningen  och Svenska kyrkans bestämmelser på ett korrekt sätt är det viktigt att församlingen/pastoratet noga sätter sig in i SvKB 2017:1. Där finns gallringsfrister för olika typer av handlingar beskrivna. Vidare finns i 14 kap. bestämmelser om gallring av handlingar som har liten eller tillfällig betydelse; av dessa framgår bland annat att församlingen/pastoratet i ett lokalt tillämpningsbeslut ska ta ställning till vilka handlingar som kan komma i fråga för gallring och med vilken frist som handlingarna ska gallras. I avsnittet om gallring finns en bra mall att använda för sådana beslut. Om församlingen eller pastoratet har skött detta korrekt kommer hanteringen av förfrågningar rörande radering att förenklas dels därför att gallring fortlöpande sker mer frekvent, dels därför att man inte alltid behöver involvera nationell nivå i bevarandefrågor). Skulle behovet att göra en bevarandeutredning ändå uppstå finns en särskild blankett för detta.  I Rutinen för rättighetshantering finns mer information om detta.

    Rätten till invändning

    När församlingen/pastoratet använt den lagliga grunden allmänt intresse eller berättigat intresse kan den registrerade invända mot behandlingen. Rör invändningen direktmarknadsföring ska den direkt godtas medan invändningar kopplade till den registrerades egen situation behöver prövas. Det är också viktigt att utreda om det finns några andra lagliga grunder. Den checklista som tagits fram täcker de frågor som behöver utredas.

    Rätten till begränsning

    Den enskilde har rätt att begära begränsning. Det kan krävas både organisatoriska och tekniska åtgärder för att klara av att hantera en sådan fråga korrekt. Rättigheten är nära kopplad till rättigheterna rättelse, radering och invändning. Man kan likna denna rättighet med att vissa personuppgifter fryses under en viss tid. Den checklista som tagits fram täcker de frågor som behöver utredas.

    Övriga rättigheter

    Rätten till dataportabilitet och rätt att slippa automatiserat beslutsfattande lär inte vara rättigheter som ofta aktualiseras. Görs detta lär svaret ofta bli att detta inte är möjligt eller förekommer. Rättigheterna beskrivs kortfattat i rutinen

    Tidsfrister 

    Rätten till information, se ovan, ska enligt huvudregeln ges inom en månad. 
    För alla övriga rättigheter gäller följande:

    • Svar ska kunna ges inom en månad. Denna tid börjar räknas från det att begäran inkommit. Det är därför viktigt att tidigt göra en plan för arbetet och prioritera resurser till det. En felaktigt hanterad fråga kan  leda till klagomål, skadeståndsanspråk och i förlängningen sanktioner, se ovan.
    • Om det behövs kan tiden förlängas i två månader. Den enskilde måste då få besked om vad församlingen/pastoratet gjort och motivering till varför man inte klarat av att svara inom en enmånadersfrist. Besked om förlängning ska lämnas senast inom en månad räknat från när begäran inkom.

    Kostnader

    Huvudregeln är att arbetet med rättigheter ska vara kostnadsfritt för den enskilde, vilket leder till att församlingen/pastoratet i de allra flesta fallen kommer behöva bära kostnaden för arbetet. Rätten till information ska aldrig kunna föranleda att en registrerad behöver betala något, men för övriga rättigheter finns en viss möjlighet att ta ut ersättning:

    • Om begäran är uppenbart ogrundad eller orimlig. Detta torde främst gälla om en enskild med korta mellanrum återkommer rörande samma rättighet. I det här fallet kan man vägra att tillgodose önskemålet eller ta ut en administrativ avgift.
    • Den administrativa avgiften som får tas ut i ovannämnda fall måste vara rimlig. Detta innebär sannolikt att man kan ta ut en avgift som täcker administrativa kostnader men med det menas sannolikt inte hela den kostnad som församlingen/pastoratet har för arbetet. Om en sådan här situation uppstår kan det vara bättre att vägra begäran än att ta ut en avgift som den enskilde inte kan förväntas klara av. Det lär också vara arbetsbesparande för församlingen/pastoratet.

    Viktigt förbereda sig och utbilda

    Rättigheter som registerutdrag, se avsnitt ovan, och radering kan vara mycket komplexa och tidskrävande att tillämpa men även andra rättigheter kan vara krävande. Att ha tagit fram en rutin är en bra förberedelse som kommer att spara tid. Det är också bra att ha fördelat roller: Vem beslutar och vem utreder? Vad är dataskyddsombudets roll? I den rutin vi föreslår är detta ett moment.

    Församlingen/pastoratet har även stor nytta av tidigare gjort arbete med GDPR-infrastruktur, se nedan, som integritetspolicy och behandlingsregister. Till exempel så utgår mallen Rutin för Rättighetshantering ifrån att det finns en integritetspolicy med tillhörande processbeskrivningar (om församlingen/pastoratet valt ett annat arbetssätt, får ni justera rutinen i enlighet med det).  

    När en rättighet väl ska utövas kommer man behöva agera konsekvent och strukturerat för att klara kraven. Det är därför bra att medarbetare är väl införstådda med rutinen, vilket innebär att utbildning är nödvändig. 

    Möjligheterna med en bra integritetspolicy och ett behandlingsregister 

    Både processbeskrivningar i integritetspolicyn och behandlingsregistret kan vara till stor hjälp. När det gäller processbeskrivningarna kan de till exempel vara värdefulla både i utredningsskedet och i själva registerutdraget. I utredningsskedet hjälper både texterna i integritetspolicyn och underlag från kartläggningarna till att förstå hur personuppgiftsbehandlingen går till. I registerutdraget kan den processbeskrivning som tagits in i integritetspolicyn användas som bilaga så länge den fortfarande är korrekt. Det sparar mycket arbete att ange allt som annars behöver förklaras. Skillnaden syns tydligt i blanketten Registerutdrag
    Behandlingsregistret är ett utmärkt verktyg att checka av att man hittar alla IT-stöd och pappersbaserade register etcetera som församlingen/pastoratet har. Det kan alltså vara mycket användbart i utredningsskedet. I en omfattande begäran om radering och registerutdrag kan detta vara särskilt värdefullt. 
    Yttrandefrihet och rättigheter
    Om personuppgifter enbart hanteras för ändamålet yttrandefrihet eller inom ramen för det journalistiska ändamålet behöver församlingar och pastorat inte hantera förfrågningar om rättigheter. Även om rättigheten inte gäller måste dock ges ett svar med detta besked. Hanteringen beskrivs i rutinen.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-02-25
    X
    Dokumentid: 1458469- Webid: 28950 - Unitid: 14