Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Ungdomsledare

    Vad säger regelverket?

    Församlingen/pastoratet är personuppgiftsansvarig  för sin verksamhet. När man engagerar unga människor att hjälpa till som ungdomsledare har man alltså ett ansvar. Dataskyddsförordningen innebär då att följande måste säkerställas:

    • Laglig grund för behandlingen  av personuppgifter måste säkras (att inte klara detta ligger på högsta sanktionsnivån). Vi rekommenderar att ni gör ett avtal med den enskilde ungdomsledaren vilket då kommer innebära att ni har en laglig grund. Notera att Datainspektionen avråder från användande av samtycken som är en komplex laglig grund att använda. 
    • Det finns även andra fördelar med avtal. I ett avtal kan även andra viktiga frågor regleras och för just ungdomsledare finns det flera goda anledningar att noga tänka över hela den juridiska situationen (se också under rubriken Personuppgiftsansvar vid ideellt arbete, se nedan. Inte minst kan det vara viktigt att klargöra hur den unge ska förhålla sig till personuppgifter i verksamheten. Här är rekommendationen att inte lägga sådant ansvar på hen, se nedan.  
    • Tänk på att ni innan ni börjar med avtalet också noga tänker igenom vad ni har för ändamål med varje behandling (detta är mycket viktigt för att ni korrekt ska kunna hantera till exempel rättigheter, integritetspolicy  och behandlingsregister korrekt). Tänk här på att det finns två skäl att ha ungdomsledare; dels ger församlingen/pastoratet dem en adekvat ledarutbildning, dels får ni hjälp i er kärnverksamhet. 
    • I arbetet kan känsliga personuppgifter ingå. Detta innebär att församlingen/pastoratet också måste se till att man har rätt att behandla dem. Detta kan för ungdomsledare röra sig om främst hälsouppgifter och personuppgifter som kan avslöja religiös övertygelse (att vara konfirmand är ett exempel på den sistnämnda typen av känsliga personuppgifter). Det vi rekommenderar här är att ni lägger in ett uttryckligt samtycke som en del i avtalet.  
    • Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att informera. Detta kan göras på flera sätt: Ett sätt är genom avtalet. Ett annat är genom integritetspolicyn.  Båda sätten bör användas då de kompletterar varandra. Genom integritetspolicyn får de som överväger att bli ungdomsledare information. I den kan ni också lägga in information om hur ni behandlar personuppgifter i samband med olika evenemang och inbjudningar. 
    • Vidare är det viktigt att ni klarar av att hantera alla principer för behandling. Rent konkret innebär detta att ni måste se över er behörighetsstyrning: det är till exempel inte lämpligt att ungdomsledare har tillgång till personuppgifter rörande de ungdomar som deltar i konfirmations- och ungdomsverksamhet. Istället bör enbart personal som arbetar  i denna verksamhet ha tillgång till information om konfirmanderna och ungdomarna (detta gäller oavsett om personuppgifterna lagras digitalt eller i papperspärmar eller liknande med register). 
    • Det är viktigt att hälsodeklarationer (även de som används för ungdomsledare) förvaras betryggande. De bör inte ligga framme utan låsas in när de inte används. Självklart kan de tas med på läger och resor.
    • Det är givetvis också viktigt att fortlöpande gallra personuppgifter. Här följer församlingen främst Svenska kyrkans arkivregler (detta tas också in i avtalet och beskrivs i integritetspolicyn) och specifika lagregler om det finns sådana som täcker den aktuella behandlingen. Tänk på att även dubbelkopior etcetera och mejl måste gallras. 
    • Om ni har läger/resor till länder som ligger utanför EU/EES-området är det viktigt att säkerställa att församlingen/pastoratet gör rätt enligt det regelverket Överföringar till tredje land eller internationell organisation. Följer en ungdomsledare med på en sådan resa kan ett särskilt avtal med denne behöva göras

    Vad behöver församlingen/pastoratet göra?

    Församlingen/pastoratet behöver klargöra hur man behandlar personuppgifter i praktiken. Ett bra sätt att gå igenom sin verksamhet är genom en processkartläggning. Sådana har gjorts på Österåkers pastorat vilket lett fram till de mallar som finns kopplade till detta avsnitt. Tänk på att man inte bara kan kopiera innehållet i Österåkers pastorats mallar utan eftertanke: Är det verkligen så här vi arbetar? De dokument ni upprättar måste beskriva er egen verksamhet på ett korrekt sätt. Mallarna är tänkta att ge inspiration, men kan givetvis användas om församlingen/pastoratet säkerställt att man gör på det sätt som beskrivs i dem. 

    Det finns en avtalsmall framtagen för ungdomsledare. I den mallen finns plats för den unge att själv underteckna. Österåkers pastorats personal bedömde att det var rimligt att den unge själv läste igenom och skrev under för att bottna i frågorna. Självklart är det bra att också muntligen noga gå igenom innehållet med den unge så att hen förstår det. Åtminstone en av vårdnadshavarna bör också skriva under avtalet, eftersom avtalet är komplext för ungdomar att förstå och det därför inte är säkert att de i en prövning skulle anses ha rättshandlingsförmåga. Fundera över om mallarna beskriver er verksamhet korrekt: annars behöver texterna korrigeras så att de överensstämmer. Fundera också på hur er interna delegationsordning ser ut; det är praktiskt om till exempel den som ansvarar för verksamheten själv har rätt att underteckna avtalen för församlingens/pastoratets räkning.

    Verksamhet där ungdomsledare deltar bör beskrivas i er integritetspolicy. Exemplet i mallen kommer från Österåkers pastorats arbete med ungdomsledare. En processbeskrivning av den här modellen ger också bra underlag till pastoratets/församlingens behandlingsregister .

    Svenska kyrkans bestämmelser SvKB 2017:1 och 2019:1 ska följas i gallringsarbetet. Ingångna avtal med bilagor ska diarieföras.

    Församlingens/pastoratets dataskyddsombud ska fortlöpande följa upp verksamheten. I detta ingår även att granska och rekommendera förbättringar rörande ungdomsledare. Tänk också på att det är viktigt att alltid ange dataskyddsombudets kontaktuppgifter när ni informerar om personuppgiftsbehandling och att kontaktuppgifter till hen finns publicerat på hemsidan. 

    Personuppgiftsansvar vid ideellt arbete

    Det är viktigt att noga sätta sig in i begreppet personuppgiftsansvar. När man bedriver ideell verksamhet är det särskilt viktigt att göra en avgränsning mot rekvisiten ”behandlingar som är helt och hållet privata eller har samband med personens hushåll”. Utgångspunkten är att ideellt arbete som utförs för en församling eller ett pastorat omfattas av enhetens personuppgiftsansvar.  

    En dom från EU-domstolen rörande finska Jehovas vittnen visar att det kan finnas fall då även enskilda medlemmar eller ideellt arbetande personer kan bli personuppgifts-ansvariga. EU-domstolen fann i domen att medlemmar som knackar dörr för att sprida Jehovas vittnens trossatser inte ägnar sig åt verksamhet av privat natur (verksamhet av privat natur omfattas inte av dataskyddsförordningen). Därefter noterade domstolen att medlemmarna inte hade tydliga uppdrag från församlingen men också att församlingen själv hade nytta av arbetet och använde det. Domstolens slutsats blev då att både medlemmarna och församlingen var personuppgiftsansvariga. Det förelåg alltså ett gemensamt personuppgiftsansvar. Rättsfallet rörde äldre lagstiftning, men det är sannolikt att slutsatserna skulle bli liknande om dataskyddsförordningen var föremål för bedömning. Detta visar vikten av att reda ut personuppgiftsansvaret inom ideell verksamhet. 

    När det gäller ungdomsledarna i Österåkers pastorat får de ett arvode av församlingen. Deras arbete är därför inte helt ideellt. Ändå finns det starka skäl att styra upp hur arbetet bedrivs så det inte finns någon tvekan om att allt arbete som utförs av dem ingår i församlingens/pastoratets verksamhet och att församlingen/pastoratet därför är ensamt personuppgiftsansvariga för dem. Ett särskilt riskområde kan här vara bilder och hantering av sociala medier, se nedan. Genom att låta ungdomsledarna underteckna avtal och gå igenom avtalen med dem tydliggörs både församlingens/pastoratets personuppgiftsansvar och hur församlingen/pastoratet förväntar sig att arbetet med personuppgifter ska gå till. Det kan därför ses som bra organisatoriska åtgärder.

    Avgränsning av arbetsuppgifterna är viktig

    Det finns tre särskilda riskområden som rör ungdomsledares medverkan i verksamheten som har koppling till dataskyddsförordningen:

    Det första riskområdet rör naturen av personuppgifter som behandlas i församlingens/pastoratets verksamhet. Både i konfirmationsutbildning  och barn- och ungdomsverksamhet förekommer känsliga personuppgifter till exempel personuppgifter kopplade till religiös övertygelse och hälsa. Till det kommer att barn och ungdomar anses vara utsatta registrerade som förtjänar mer skydd. Det är därför inte lämpligt att personer som inte är anställda av församlingen/pastoratet hanterar sådana uppgifter. Ungdomsledare är dessutom själva fortfarande juridiskt sett att anse som barn fram till att de blir myndiga på 18-årsdagen. Det är därför viktigt att säkerställa att ungdomsledarna inte anförtros arbetsuppgifter där de får tillgång till personuppgifter (till exempel hantering av deltagarlistor eller hälsoblanketter). 

    Det andra riskområdet rör bilder. I dagens samhälle finns ofta otydligare gränser mellan privatliv och organisationers verksamhet. Många tar bilder utan att reflektera över att detta sker i verksamheter de är knutna till. Eftersom bilder innehåller personuppgifter är det olämpligt att låta ungdomsledare ta bilder i verksamheten (se första punkten ovan). Det är inte heller lämpligt att de tar bilder för egen användning eftersom detta i förlängningen skulle kunna leda till ett fall som liknar situationen i domen om Jehovas vittnen). Detta har därför reglerats i punkt 3 b i avtalet som Österåkers pastorat tog fram.

    Det tredje riskområdet rör sociala medier. De skäl som gäller beträffande bilder är också relevanta här. Det är olämpligt att ungdomsledare gör inlägg på sociala medier om verksamheten. I en dom från EU-domstolen från 2019 rörande YouTube konstaterades att inlägg på sociala medier inte kunde anses ingå i begreppet ”privat natur” vilket i sig innebär att ett personuppgiftsansvar kan uppstå även för enskilda individer. I fallet hade en man hemligt filmat ett besök han gjort på en polisstation och sedan lagt ut filmen på YouTube. Domstolen konstaterade att mannens tilltag inte ingick i begreppet ”privat natur”. Därefter prövades om hans publicering kunde anses falla under yttrandefrihet, dvs.om det uteslutande rörde sig om journalistiskt ändamål. Kraven för detta är rätt omfattande och man omfattas inte automatiskt av ett sådant ändamål bara för att man gör ett inlägg på sociala medier. För att en behandling ska anses ske uteslutande för journalistiska ändamål krävs en hel del. Till att börja med ska inlägget rikta sig till allmänheten (detta innebär att grupper och chattar aldrig kan omfattas). Inlägget ska vidare endast syfta till att sprida information, åsikter eller idéer till allmänheten. Kriterier som behöver prövas är enligt domstolen bland annat

    ”…reportagets bidrag till en debatt av allmänintresse, hur känd den aktuella personen är, reportagets syfte, den aktuella personens tidigare agerande, innehållet i, formen på och återverkningarna av offentliggörandet, sättet och omständigheterna då uppgifterna erhölls samt hur tillförlitliga dessa är”. 

    Det finns också ett tidigare fall från 2003 som just rör en konfirmandledare i Svenska kyrkan som skapat en hemsida rörande konfirmander. Omständigheterna i fallet var följande (i citatet har konfirmationsledarens namn tagits bort (istället anges bokstaven B):

    12. Vid sidan av sin anställning som lokalvårdare arbetade [B] som ledare för konfirmander inom X pastorat (Sverige). Hon deltog i en datakurs. Inom ramen för denna kurs skulle hon bland annat skapa en hemsida på Internet. Mot slutet av år 1998 skapade [B] hemma hos sig och på sin egen dator hemsidor på Internet i syfta att göra det möjligt för församlingsmedlemmar som förberedde sig för konfirmationen att lätt få den information de behövde. På hennes begäran lade den webbansvarige för Svenska kyrkans webbplats på Internet ut en länk mellan dessa sidor och den nämnda webbplatsen. 
    13. Hemsidan innehöll vissa uppgifter om [B] och arton av hennes arbetskamrater inom pastoratet, inklusive deras fullständiga namn och i vissa fall bara förnamn. Därutöver beskrevs, i lätt skämtsamma ordalag, arbetskamratens arbetsuppgifter och fritidsvanor. I flera fall nämndes även familjeförhållanden, telefonnummer och andra uppgifter. Därutöver angav hon att en kvinnlig arbetskamrat hade skadat foten och var halvt sjukskriven. 
    14. [B] hade varken informerat sina arbetskamrater om att dessa sidor existerade, inhämtat deras samtycke eller redovisat sitt handlingssätt för Datainspektionen. Hon tog bort de aktuella sidorna så fort hon fick reda på att vissa av hennes kollegor inte uppskattade dem. 


    Även här kom domstolen fram till att det inte kunde anses vara en behandling av privat natur (noterbart är att det också var B, inte Svenska kyrkan, som ådrog sig Datainspektionens intresse). Det som B hade behandlat var främst uppgifter om personal, men givetvis gäller samma tänk beträffande andra registrerade som t.ex. ungdomar som deltar i konfirmationsundervisning.  

    Båda rättsfallen rörde dataskyddsförordningens föregångare och det finns vissa uttalanden i skäl 18 till förordningen som kan påverka bedömningen av begreppet ”privat natur”, så det är inte helt säkert vad utgången skulle bli i en prövning enligt förordningen. Dessutom kan yttrandefriheten ha fått en starkare ställning. Om ett liknande fall skulle komma upp idag är det dock på intet sätt uteslutet att EU-domstolen skulle göra en liknande bedömning som i de båda rättsfallen. Det är därför en stor risk för ungdomsledarna själva att publicera inlägg från verksamheten, eftersom de kan anses bli personuppgiftsansvariga, vilket bland annat kan leda till sanktioner. Till det kommer att församlingen/pastoratet själv bör ha stramat upp sin kommunikationsverksamhet och det är då rimligt att alla som ingår i verksamheten, även ungdomsledare, följer de tankarna. Även detta har därför reglerats i punkt 3 b i avtalet som Österåkers pastorat tog fram. 

    Organisatoriska åtgärder

    Att ta fram avtal och utbilda ungdomsledare är exempel på organisatoriska åtgärder, vilket är viktigt för det inbyggda dataskyddet . Om församlingen/pastoratet har tillsett att det finns avtal och om ungdomsledaren sedan inte följer dem kan hen ändå komma att bedömas som personuppgiftsansvarig. Det är därför viktigt att också utbilda de unga så de förstår vikten av att följa reglerna. I avtalet anges också att det är viktigt att vårdnadshavaren förklarar avtalet för den unge. Församlingens/pastoratets personal bör därför kunna svara på frågor. För att personalen ska kunna göra ett bra jobb behöver de också få utbildning.

    Andra frågor i avtalet

    Det är bra att vara stringent och låta avtalet omfatta alla frågor som gäller i avtalsrelationen. I Österåkers fall innebar det följande

    • Frågor rörande pastoratets behandling av ungdomsledarens personuppgifter regleras. Detta innebär exempelvis att både användning av bilder och hälsodeklaration finns med i avtalstexterna. Vidare finns ett uttryckligt samtycke för behandling av känsliga personuppgifter med.
    • Vidare behandlas frågan om tystnadsplikt. Detta är inte en dataskyddsfråga i det här sammanhanget men ändå bra att tydliggöra.
    • Slutligen anges att registerkontroll, se nedan, kan bli aktuell. 

    Hur ungdomsledare rekryteras

    För varje behandling ska finnas en laglig grund. Det kan därför vara bra att fundera över hur ungdomsledare rekryteras och tillse att det finns en laglig grund i detta moment.
    I Österåkers pastorat rekryteras ungdomsledare från de ungdomar som konfirmerar sig. Pastoratet tog därför höjd för denna fråga i samband med att ungdomarna undertecknade ett GDPR-avtal i konfirmationsverksamheten. Detta framgår också av förs ta steget i processbeskrivningen som gjordes till integritetspolicyn.

    Har man gjort på annat sätt kan man behöva fundera på andra lagliga grunder. I det initiala stadiet när man marknadsför möjligheten att bli ungdomsledare kan berättigat intresse  ligga närmast till hands (i intresseavvägningen som görs behöver man då förklara hur man vägt sina egna intressen mot ungdomarnas). När ungdomar väl hör av sig och visar intresse kan den lagliga grunden vara avtal  eftersom även förhandlingar om att ingå avtal kan omfattas av den lagliga grunden. Det är dock bättre och stabilare att göra som Österåkers pastorat om det är möjligt.

    Registerkontroll

    Registerkontroll kan aktualiseras om någon får ett uppdrag som innebär direkt och regelbunden kontakt med barn (i förarbetena anges att Svenska kyrkans konfirmationsverksamhet är sådan verksamhet men även annan barn- och ungdomsverksamhet omfattas förstås). I ett sådant fall kan ett registerutdrag behöva uppvisas om ungdomsledaren har fyllt 15 år (före den åldern kan hen inte påföras en påföljd vilket framgår av 1 kap. 6 § brottsbalken). 

    Ett registerutdrag kan innehålla personuppgifter om lagöverträdelser och behöver därför hanteras mycket varsamt. I lagen anges att en kontroll av ett registerutdrag inte får dokumenteras på något annat sätt än genom en anteckning om att utdraget har visats upp. Församlingen/pastoratet får alltså inte spara utdraget (eller en kopia av det) eller göra några anteckningar om vad det innehåller. Däremot får en anteckning göras att det har uppvisats. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2021-08-26
    X
    Dokumentid: 1460123- Webid: 28950 - Unitid: 14