Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Statistik och enkäter

    Vad säger regelverket?

    I dataskyddsförordningen finns ett begrepp ”statistikändamål” som innehåller vissa särregler för viss statistik, främst den officiella statistiken som myndigheter tar fram. Detta begrepp täcker således normalt inte den statistik som tas fram av kyrkans olika enheter. Detta innebär att ett pastorat eller en församling inte kan luta sig mot några särregler när man arbetar med statistik. Istället måste man följa alla vanliga regler rörande behandling av personuppgifter när man arbetar med statistik. Detsamma gäller också enkäter. Detta innebär att man måste ha ett ändamål och en laglig grund för all behandling och också följa alla andra principer rörande behandling. Finns känsliga personuppgifter med behöver man också hantera detta korrekt. 

    Statistik och enkäter innehåller oftast personuppgifter

    Begreppet personuppgift är både brett och kan variera beroende på kontext. Många tror att de inte behandlar personuppgifter i statistik eftersom de i den färdiga statistiken inte själva kan se personuppgifterna (dvs. koppla dem till en levande person). De tror därför felaktigt att de hanterar helt anonymiserade personuppgifter. För att en personuppgift ska vara helt anonymiserad (och få status av att vara en anonymiserad uppgift) ska det inte på något sätt gå att härleda den till en levande person. 
    För att förstå att det kan finnas personuppgifter i olika delar av statistik- eller enkätbehandling kan följande punkter hjälpa:

    • Insamlandet innebär oftast att man arbetar med personuppgifter. Om man tar namn från deltagarlistor och gör statistik av dem innebär detta en behandling av personuppgifter. Om man manuellt går igenom begäran om utträde i diariet och sammanställer statistik över det behandlar man personuppgifter. Detta för att man i båda dessa exempel tar uppgifter från handlingar där personuppgifter tydligt finns med. 
    • Även om man ber någon fylla i en enkät kan man ofta härleda personuppgifter till en person. I elektroniska enkäter kan en deltagare avslöjas av en IP-adress som är en personuppgift. Ibland kan verktyg som används för statistikinsamling innehålla en funktion för pseudonymisering, men även efter en sådan åtgärd finns personuppgiften kvar. När man samlar in pappersenkäter kan man ibland förstå vem som fyllt i enkäten (även om man inte bett personen fylla i sitt namn) antingen därför att hen lämnar den till en person som vet vem hen är eller därför att hen lämnar uppgifter som gör att hen kan identifieras. Om det finns möjlighet att fylla i fritextsvar finns det ofta risk att en person kan identifieras. I en arbetsgrupp som känner varandra väl kan man också känna igen handstilar eller sätt att formulera sig. 
    • När man sedan sammanställer statistiken kan det ofta vara så att den som arbetar med underlagen kan härleda enskilda individer. Detta kan också vara fallet när man presenterar underlaget. 
    • Tänk på att det räcker att någon person kan tänkas härleda en uppgift till en person för att det ska anses vara en personuppgift. Detta behöver inte vara någon som arbetar inom församlingen/pastoratet utan kan vara någon helt utomstående. Kan man inte utesluta att detta är fallet föreligger personuppgifter i statistiken, även om den som presenterar den inte själv kan koppla uppgifterna till en viss person.

    Att det kan vara svårt att helt avidentifiera personuppgifter vid statistikinhämtning visar följande exempel taget från Datainspektionens praxis. Fallet handlade om statistik gjord på registreringsnummer från bilar och en krypteringsteknik användes. Den personuppgiftsansvariges tanke var att uppgifterna genom detta var ”anonyma”. Detta stämde dock inte vilket citatet visar:

    Efter krypteringen lagras …inga registreringsnummer i klartext i den centrala databasen. Där lagras istället unika koder som var och en representerar de olika registreringsnummer som behandlas. Koderna beräknas ur registreringsnumren med en funktion för envägskryptering. Funktionen har egenskaperna att det inte går att direkt återskapa (dekryptera) de kodade registreringsnumren ur koderna samt att samma registreringsnummer alltid genererar en och samma kod. Den senare egenskapen gör det möjligt att jämföra värden och utsöka poster i den centrala databasen som är hänförliga till samma registreringsnummer utan att lagra bilens registreringsnummer i klartext i den centrala databasen.  

    Om man har kännedom om funktionen går det att sammanställa alla poster i den centrala databasen för ett visst registreringsnummer. Det går då också att enkelt baklängesidentifiera de kodade registreringsnumren genom att skapa en lista över de koder som funktionen kan generera utifrån registreringsnummer och sedan återidentifiera koderna i den centrala databasen. Funktionen för kodning uppnår alltså inte en total avidentifiering. Behandlingen av kodade registreringsnummer i den centrala databasen är följaktligen även den en behandling av personuppgifter i personuppgiftslagens mening.

    Hitta en laglig grund

    Det finns några lagliga grunder som kan vara tillämpliga när man tar fram statistik eller använder enkäter. För att kunna veta vilken laglig grund som kan vara tillämplig behöver församlingen/pastoratet först klargöra sitt ändamål. 

    • Om ändamålet är att redovisa statistik som krävs enligt årsredovisningslagen eller diskrimineringslagen är den lagliga grunden rättslig förpliktelse.
    • Om församlingen/pastoratet har rätt att behandla personuppgifter enligt ett avtal som ingåtts (flera av mallarna i olika underavsnitt innehåller sådana klausuler) är den lagliga grunden avtal.
    • Den enskilde kan också samtycka till behandlingen. För att samtycket ska vara giltigt krävs att det är tydligt och enkelt formulerat. Det ska också framgå att den enskilde kan återkalla sitt samtycke, vilket innebär att personuppgifter kan behöva raderas. För känsliga personuppgifter kan ett uttryckligt samtycke krävas (finns ofta i de avtalsmallar stiftet har tagit fram på intranätet). 
    • I vissa fall kan också berättigat intresse vara möjligt, men detta kan vara en svår grund att använda då man inte kan utgå ifrån att människor är intresserade av att deras personuppgifter används på detta sätt.
      Vi har tagit fram en checklista och ett verktyg som kan användas i arbetet med punkterna ovan.

    Informera de registrerade

    Finns personuppgifter i något moment av arbetet med enkäter eller statistik behöver församlingen/ pastoratet klara av att hantera rätten till information. För ofta förekommande enkäter och statistik kan församlingen/pastoratet beskriva arbetet i sin integritetspolicy.

    Det är dock inte ovanligt att man gör en enstaka enkät. I detta fall kan det vara rimligare att informera den registrerade direkt i enkäten. En sådan information behöver anpassas efter det särskilda fallet. Vi har tagit fram ett verktyg som församlingen/pastoratet kan använda i det arbetet. Detta verktyg är primärt tänkt för enkäter men det kan också hjälpa till i andra fall av statistikinsamling.
    Tänk också på att den registrerade kan behöva informeras även om ni lämnar vidare insamlad statistik till någon annan. 

    När någon vill ha statistik från församlingen/pastoratet

    Om någon annan vill ha statistik från församlingen/pastoratet och detta innebär att man behöver göra en extra behandling av personuppgifter är det bra att be den som begär statistiken att precisera sitt ändamål och sin lagliga grund. Församlingen och pastoratet måste även i detta fall säkerställa att det finns en laglig grund för behandlingen (se ovan) eftersom församlingen/pastoratet har en ansvarsskyldighet. Tänk också på att det finns en skyldighet att informera registrerade (se ovan).

    Särskilt om enkäter

    Stockholms stift har tagit fram en Checklista GDPR inför en enkät. I enkätverktyget finns frågor som hjälper till att skapa en korrekt enkät utifrån dataskyddsförordningens regelverk. Kopplat till checklistan finns också ett verktyg som kan hjälpa till att skapa information och – om behov finns – samtycke för känsliga personuppgifter.

    Ha koll på biträden och andra samarbeten

    Statistik och enkäter hanteras ibland via personuppgiftsbiträden. Det kan finnas flera fall då ett biträdesavtal behöver tas fram:
    • Om man använder ett verktyg (till exempel en app) för att skapa statistik. Tänk på att det även kan avse enkla undersökningar typ mentometer.
    • Om man tar hjälp från andra för att göra statistik, t.ex. man ber en leverantör hjälpa till med en medlemsundersökning.

    Biträdesavtal krävs när församlingen helt själv bestämmer över ändamål (syftet med statistiken) och medel (om man gör den själv eller ber annan, vilken teknik man använder etcetera). Om den man samarbetar med kan använda statistik för sina egna ändamål föreligger inte ett biträdesavtal utan då uppstår istället behov av inbördes arrangemang. Tänk på att inte använda statistikverktyg som tillhandahålls gratis och där tillhandahållaren har egna ändamål som innefattar profilering (t.ex. verktyg i sociala medier som Facebook eller från plattformsföretag som Google).

    Säkra rätt kompetens

    De som ofta arbetar med statistik och enkäter måste utbildas i dataskyddsförordningens regelverk. När statistik eller en enkät ska göras kommer flera komplicerade ställningstaganden att behöva göras. Detta innebär att såväl dataskyddsombudet som andra dataskyddsansvariga måste ha en ordentlig GDPR-kunskap, vilket oftast innebär att de bör gå kompletterande utbildningar eller fördjupa sig genom att läsa böcker i ämnet. En första orientering finns också i de olika underavsnitten på intranätet. Användande av verktygen förutsätter att det finns bra kompetens hos dataskyddsansvariga och dataskyddsombudet. Utan detta föreligger inte ett godtagbart inbyggt dataskydd.
    De verktyg som tagits fram kan rätt använda leda fram till korrekt hantering av enkäter och i många av de knepigare frågorna hänvisas församlingen/pastoratet till att fråga sitt dataskyddsombud. Detta är förstås enbart relevant om ombudet har tillräcklig kunskap i regelverket. Ett dataskyddsombud som anser att hen inte har rätt kompetens för att bedöma frågorna i checklistan och verktyget måste lyfta frågan om kompetensutveckling med ansvarig chef. 

    ​​​​​​​

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-03-24
    X
    Dokumentid: 1469678- Webid: 28950 - Unitid: 14