Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Styrning och ledning

     

    Vad säger regelverket?

    Styrning och ledning är särskilt intressant från ett GPDR-perspektiv, eftersom det måste ses i ljuset av principen om ansvarsskyldighet. Det är den personuppgiftsansvariga organisationen som är ansvarsskyldig. Detta ansvar utövas ytterst av det högsta beslutande organet kyrkofullmäktige, men styrningen sker normalt sett från det högsta verkställande organet kyrkorådet. Man kan därför säga att det är kyrkorådet som ytterst har att hantera ansvarsskyldigheten. Att kyrkoråden har en så central ställning i dataskyddsarbetet ställer krav på att de är ordentligt utbildade så de förstår regelverkskraven och begreppet inbyggt dataskydd.

    Vissa organisationer, bland annat de som i stor omfattning måste hantera känsliga personuppgifter, ska ha ett dataskyddsombud. Det är därför församlingar och pastorat måste ha ett sådant. Det är den personuppgiftsansvariga organisationen som i linje med sin ansvarsskyldighet ska utse dataskyddsombud och som ansvarar för att ombudet har rätt förutsättningar. Organisationer som har dataskyddsombud behöver ha en tydlig röd tråd i sin styrning eftersom dataskyddsombudet förväntas övervaka verksamheten enligt den personuppgiftsansvariges strategi för dataskydd (i detta begrepp innefattas också rollfördelning, dvs i praktiken delegationsordningar och liknande). Det är också ett tydligt krav att dataskyddsombudet ska föredra för det högsta förvaltningsorganet, alltså kyrkorådet. I ett högt riskläge kan man behöva göra detta kvartalsvis. Om verksamheten har lågt riskläge kan 1-2 gånger per år kanske räcka. Dataskyddsombudet ska redovisa sin bedömning och göra sina bedömningar utan att någon försöker påverka hen. Tänk också på att tydligt motivera varför dataskyddsombudets rekommendationer inte följs (att inte göra det kan anses uppsåtligt). 

    Personuppgiftsbehandling i den styrande verksamheten

    Liksom i all annan verksamhet finns krav kopplade till den personuppgiftsbehandling som sker. Bromma församling har tagit fram processbeskrivningar av arbetet i kyrkoråd och kyrkofullmäktige (inklusive förberedande arbete). 

    • Församlingen måste tydliggöra sitt ändamål och sina lagliga grunder för behandling. Detta kan variera. När församlingen/pastoratet till exempel följer en lagbestämmelse är den lagliga grunden rättslig förpliktelse. En komplex fråga brukar vara verksamhetsstatistik av olika slag, så det kan vara bra att noga sätta sig in i arbetet med statistik för att göra rätt.
    • I vissa ärenden, till exempel tillsättningsärenden och andra personalärenden samt ärenden rörande polisanmälningar, kan mycket integritetskänsliga personuppgifter förekomma. Här är det viktigt att först säkra att man har rätt att behandla personuppgifterna
    • Nästa steg är att säkra att man uppgiftsminimerar när man skriver protokoll: vad är absolut nödvändigt att skriva ner och vad kan vi göra mindre integritetskänsligt. En bra tumregel kan vara att man ofta inte behöver nämna personers namn eller andra lätt identifierbara uppgifter i ett protokoll om punkten enbart rör information. 
    • Församlingen måste kunna informera om verksamheten, vilket enklast görs genom en integritetspolicy. I mallen finns förslag på hur en sådan kan se ut.
    • Ett riskområde kan vara principen om säkerhet och konfidentialitet. Eftersom verksamheten är mycket integritetskänslig är det inte rimligt att ledamöter använder egna datorer eller mobil utrustning då det är svårt att kvalitetssäkra den utrusningen (till exempel lösenordsskydd, kryptering, brandväggar och annat). Blir utrustning som innehåller personuppgifter som församlingen/pastoratet är personuppgiftsansvarig för stulen kan en personuppgiftsincident behöva anmälas. Det är därför viktigt att i en IT-policy  och andra styrande dokument ha med också perspektivet förtroendevalda. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-03-12
    X
    Dokumentid: 1485233- Webid: 28950 - Unitid: 14