Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Volontärarbete

    Vad säger regelverket?

    Församlingen/pastoratet är personuppgiftsansvarig för sin verksamhet. När man engagerar volontärer att hjälpa till har man alltså ett ansvar. Dataskyddsförordningen innebär då att följande måste säkerställas:

    • Laglig grund för behandlingen av personuppgifter måste säkras (att inte klara detta ligger på högsta sanktionsnivån). Vi rekommenderar att ni gör ett avtal med den enskilde volontären vilket då kommer innebära att ni har en laglig grund. Notera att Datainspektionen avråder från användande av samtycken som är en komplex laglig grund att använda. 
    • Det finns även andra fördelar med avtal. I ett avtal kan även andra viktiga frågor regleras och för volontärer finns det flera goda anledningar att noga tänka över hela den juridiska situationen (se också under rubriken Personuppgiftsansvar vid ideellt arbete nedan). Inte minst kan det vara viktigt att klargöra hur volontären ska förhålla sig till personuppgifter i verksamheten. Här är rekommendationen att inte lägga något ansvar på hen rörande personuppgifter. 
    • Tänk på att ni innan ni börjar med avtalet också noga tänker igenom vad ni har för ändamål med varje behandling (detta är mycket viktigt för att ni korrekt ska kunna hantera till exempel rättigheter, integritetspolicy och behandlingsregister korrekt). 
    • I arbetet kan känsliga personuppgifter ingå. Detta innebär att församlingen/pastoratet också måste se till att man har rätt att behandla dem. Det är därför viktigt att noga planera arbetet och reflektera över vad volontärerna får för arbetsuppgifter. Ni kan även behöva hantera volontärernas personuppgifter, som kan omfatta känsliga personuppgifter om ni till exempel tar in hälsoblanketter Det vi då rekommenderar här är att ni lägger in ett uttryckligt samtycke som en del i avtalet. I den mall vi tagit fram gjorde Österåkers pastorat inte detta varför det avtalet inte har någon sådan klausul. 
    • Det är viktigt att församlingen/pastoratet också kan hantera skyldigheten att att informera om hur personuppgifter behandlas. Detta kan göras på flera sätt: Ett sätt är genom avtalet. Ett annat är genom integritetspolicyn. Båda sätten bör användas då de kompletterar varandra. Genom integritetspolicyn får de som överväger att bli volontär information. I den kan ni också lägga in information om hur ni behandlar personuppgifter i samband med olika evenemang och inbjudningar. 
    • Vidare är det viktigt att ni klarar av att hantera alla principer för behandling. Rent konkret innebär detta att ni måste se över er behörighetsstyrning då det inte är lämpligt att volontärer har tillgång till personuppgifter. Istället bör enbart personal som arbetar i denna verksamhet ha tillgång till information om de enskilda som berörs (detta gäller oavsett om personuppgifterna lagras digitalt eller i papperspärmar eller liknande med register). 
    • Det är givetvis också viktigt att fortlöpande gallra personuppgifter. Här följer församlingen främst Svenska kyrkans arkivregler (detta tas också in i avtalet och beskrivs i integritetspolicyn) och specifika lagregler om det finns sådana som täcker den aktuella behandlingen. En dokumenthanteringsplan kan underlätta detta arbete.
    • Om volontärerna arbetar i länder som ligger utanför EU/EES-området är det viktigt att säkerställa att församlingen/pastoratet gör rätt enligt regelverket Överföringar till tredje land eller internationell organisation

    Vad behöver församlingen/pastoratet göra?

    Församlingen/pastoratet behöver klargöra hur man behandlar personuppgifter i praktiken. Ett bra sätt att gå igenom sin verksamhet är genom en processkartläggning. Sådana har gjorts på Österåkers pastorat vilket lett fram till de mallar som finns kopplade till detta avsnitt. Tänk på att man inte bara kan kopiera innehållet i Österåkers pastorats mallar utan eftertanke: Är det verkligen så här vi arbetar? De dokument ni upprättar måste beskriva er egen verksamhet på ett korrekt sätt. Mallarna är tänkta att ge inspiration, men kan givetvis användas om församlingen/pastoratet säkerställt att man gör på det sätt som beskrivs i dem. 

    Det finns en avtalsmall framtagen för volontärer. Fundera över om mallen beskriver er verksamhet korrekt, annars behöver texterna korrigeras så att de överensstämmer. Fundera också på hur er interna delegationsordning ser ut; det är praktiskt om till exempel den som ansvarar för verksamheten själv har rätt att underteckna avtalen för församlingens/pastoratets räkning.

    Verksamhet där volontärer deltar bör beskrivas i er integritetspolicy. Exemplet i mallen kommer från Österåkers pastorats arbete. En processbeskrivning av den här modellen ger också bra underlag till pastoratets/församlingens behandlingsregister.
    Svenska kyrkans bestämmelser SvKB 2017:1 och 2019:1 ska följas i gallringsarbetet. Ingångna avtal med bilagor ska diarieföras.

    Församlingens/pastoratets dataskyddsombud ska fortlöpande följa upp verksamheten. I detta ingår även att granska och rekommendera förbättringar rörande volontärer. Tänk också på att det är viktigt att alltid ange dataskyddsombudets kontaktuppgifter när ni informerar om personuppgiftsbehandling och att kontaktuppgifter till hen finns publicerat på hemsidan. 

    Personuppgiftsansvar vid ideellt arbete

    Det är viktigt att noga sätta sig in i begreppet personuppgiftsansvar. När man bedriver ideell verksamhet är det särskilt viktigt att göra en avgränsning mot rekvisiten ”behandlingar som är helt och hållet privata eller har samband med personens hushåll”. Utgångspunkten är att ideellt arbete som utförs för en församling eller ett pastorat omfattas av enhetens personuppgiftsansvar.

    En dom från EU-domstolen rörande finska Jehovas vittnen visar att det kan finnas fall då även enskilda medlemmar eller ideellt arbetande personer kan bli personuppgiftsansvariga. EU-domstolen fann i domen att medlemmar som knackar dörr för att sprida Jehovas vittnens trossatser inte ägnar sig åt verksamhet av privat natur (verksamhet av privat natur omfattas inte av dataskyddsförordningen). Därefter noterade domstolen att medlemmarna inte hade tydliga uppdrag från församlingen men också att församlingen själv hade nytta av arbetet och använde det. Domstolens slutsats blev då att både medlemmarna och församlingen var personuppgiftsansvariga. Det förelåg alltså ett gemensamt personuppgiftsansvar. Rättsfallet rörde äldre lagstiftning, men det är sannolikt att slutsatserna skulle bli liknande om dataskyddsförordningen var föremål för bedömning. Detta visar vikten av att reda ut personuppgiftsansvaret inom ideell verksamhet för att inte enskilda som hjälper församlingen ska riskera att drabbas av sanktioner. 

    Det finns således starka skäl att styra upp hur arbetet bedrivs så det inte finns någon tvekan om att allt arbete som utförs av dem ingår i församlingens/pastoratets verksamhet och att församlingen/pastoratet därför är ensamt personuppgiftsansvariga för dem. Ett riskområde kan här vara bilder och hantering av sociala medier. Det är också bra att se till att de inte hanterar kontaktuppgifter. Genom att låta volontärerna underteckna avtal tydliggörs både församlingens/pastoratets personuppgiftsansvar och hur församlingen/pastoratet förväntar sig att arbetet med personuppgifter ska gå till. Det kan därför ses som bra organisatoriska åtgärder.

    Avgränsning av arbetsuppgifterna är viktig

    Det finns tre särskilda riskområden som rör volontärers medverkan i verksamheten som har koppling till dataskyddsförordningen:

    Det första riskområdet rör naturen av personuppgifter som behandlas i församlingens/pastoratets verksamhet. I verksamheten kan finnas personuppgifter kopplade till religiös övertygelse och hälsa. Till det kommer att deltagare i verksamheter ibland kan anses vara utsatta registrerade som förtjänar mer skydd. Det är därför inte lämpligt att personer som inte är anställda av församlingen/pastoratet hanterar sådana uppgifter. Det är därför viktigt att säkerställa att volontärerna inte anförtros arbetsuppgifter där de får tillgång till personuppgifter (till exempel hantering av deltagarlistor eller hälsoblanketter). 

    Det andra riskområdet rör bilder och annat som kan få kopplingar till privatlivet hos volontären eller deltagare i verksamheten. I dagens samhälle finns ofta otydligare gränser mellan privatliv och organisationers verksamhet. Många tar bilder utan att reflektera över att detta sker i verksamheter de är knutna till. Eftersom bilder innehåller personuppgifter är det olämpligt att låta volontärer ta bilder i verksamheten. Det är inte heller lämpligt att de tar bilder för egen användning eftersom detta i förlängningen skulle kunna leda till ett fall som liknar situationen i domen Jehovas vittnen). Detta har därför reglerats i punkt 3 c i avtalet som Österåkers pastorat tog fram. Det kan också vara olämpligt att volontärer får hantera kontaktuppgifter bland annat för att inte skapa en otydlighet mellan privatliv och kyrkans verksamhet. 

    Det tredje riskområdet rör sociala medier. De skäl som gäller beträffande bilder är också relevanta här. Det är olämpligt att volontärer gör inlägg på sociala medier om verksamheten. I en dom från EU-domstolen från 2019 rörande YouTube konstaterades att inlägg på sociala medier inte kunde anses ingå i begreppet ”privat natur” vilket i sig innebär att ett personuppgiftsansvar kan uppstå även för enskilda individer. I fallet hade en man hemligt filmat ett besök han gjort på en polisstation och sedan lagt ut filmen på YouTube. Domstolen konstaterade att mannens tilltag inte ingick i begreppet ”privat natur”. Därefter prövades om hans publicering kunde anses falla under yttrandefrihet, dvs.om det uteslutande rörde sig om journalistiskt ändamål. Kraven för detta är rätt omfattande och man omfattas inte automatiskt av ett sådant ändamål bara för att man gör ett inlägg på sociala medier. För att en behandling ska anses ske uteslutande för journalistiska ändamål krävs en hel del. Till att börja med ska inlägget rikta sig till allmänheten (detta innebär att grupper och chattar aldrig kan omfattas). Inlägget ska vidare endast syfta till att sprida information, åsikter eller idéer till allmänheten. Kriterier som behöver prövas är enligt domstolen bland annat ”…reportagets bidrag till en debatt av allmänintresse, hur känd den aktuella personen är, reportagets syfte, den aktuella personens tidigare agerande, innehållet i, formen på och återverkningarna av offentliggörandet, sättet och omständigheterna då uppgifterna erhölls samt hur tillförlitliga dessa är”. 

    Det finns också ett tidigare fall från 2003 som rör en konfirmandledare i Svenska kyrkan som skapat en hemsida rörande konfirmander. Omständigheterna i fallet var följande (i citatet har namnet på konfirmationsledaren tagits bort - istället anges bokstaven B):

    12. Vid sidan av sin anställning som lokalvårdare arbetade [B] som ledare för konfirmander inom X pastorat (Sverige). Hon deltog i en datakurs. Inom ramen för denna kurs skulle hon bland annat skapa en hemsida på Internet. Mot slutet av år 1998 skapade [B] hemma hos sig och på sin egen dator hemsidor på Internet i syfta att göra det möjligt för församlingsmedlemmar som förberedde sig för konfirmationen att lätt få den information de behövde. På hennes begäran lade den webbansvarige för Svenska kyrkans webbplats på Internet ut en länk mellan dessa sidor och den nämnda webbplatsen. 
    13. Hemsidan innehöll vissa uppgifter om [B] och arton av hennes arbetskamrater inom pastoratet, inklusive deras fullständiga namn och i vissa fall bara förnamn. Därutöver beskrevs, i lätt skämtsamma ordalag, arbetskamratens arbetsuppgifter och fritidsvanor. I flera fall nämndes även familjeförhållanden, telefonnummer och andra uppgifter. Därutöver angav hon att en kvinnlig arbetskamrat hade skadat foten och var halvt sjukskriven. 
    14. [B] hade varken informerat sina arbetskamrater om att dessa sidor existerade, inhämtat deras samtycke eller redovisat sitt handlingssätt för Datainspektionen. Hon tog bort de aktuella sidorna så fort hon fick reda på att vissa av hennes kollegor inte uppskattade dem. 


    Även här kom domstolen fram till att det inte kunde anses vara en behandling av privat natur (noterbart är att det också var B, inte Svenska kyrkan, som ådrog sig Datainspektionens intresse). Det som B hade behandlat var främst uppgifter om personal, men givetvis gäller samma tänk beträffande andra registrerade som t.ex. deltagare i olika verksamheter där det finns volontärer.
    Båda rättsfallen rörde dataskyddsförordningens föregångare och det finns vissa uttalanden i skäl 18 till förordningen som kan påverka bedömningen av begreppet ”privat natur”, så det är inte helt säkert vad utgången skulle bli i en prövning enligt förordningen. Dessutom kan yttrandefriheten ha fått en starkare ställning. Om ett liknande fall skulle komma upp idag är det dock på intet sätt uteslutet att EU-domstolen skulle göra en liknande bedömning som i de båda rättsfallen. Det är därför en stor risk för volontärerna själva att publicera inlägg från verksamheten, eftersom de kan anses bli personuppgiftsansvariga, vilket bland annat kan leda till sanktioner. Till det kommer att församlingen/pastoratet själv bör ha stramat upp sin kommunikationsverksamhet och det är då rimligt att alla som ingår i verksamheten, även volontärer, följer de tankarna. Även detta har därför reglerats i punkt 3 b i avtalet som Österåkers pastorat tog fram. 

    Organisatoriska åtgärder

    Att ta fram avtal och utbilda volontärer är exempel på organisatoriska åtgärder, vilket är viktigt för det inbyggda dataskyddet. Om församlingen/pastoratet har tillsett att det finns avtal och om volontären sedan inte följer dem kan hen ändå komma att bedömas som personuppgiftsansvarig. Det är därför viktigt att också utbilda volontärerna så de förstår vikten av att följa reglerna. För att personalen ska kunna göra ett bra jobb behöver de också få utbildning.

    Andra frågor i avtalet

    Det är bra att vara stringent och låta avtalet omfatta alla frågor som gäller i avtalsrelationen. I Österåkers fall innebar det följande:
    • Frågor rörande pastoratets behandling av volontärens personuppgifter regleras (se punkterna 4-5 i avtalet).
    • Vidare behandlas frågan om tystnadsplikt. Detta är inte en dataskyddsfråga i det här sammanhanget men ändå bra att tydliggöra.
    • För att säkra att volontäruppgifter kan gallras behöver man skapa tydliga rutiner för avslut. Detta regleras i avtalets punkt 6.
    • Slutligen anges att registerkontroll, se nedan, kan bli aktuell. 

    Registerkontroll

    Registerkontroll kan aktualiseras om någon får ett uppdrag som innebär direkt och regelbunden kontakt med barn (i förarbetena anges att Svenska kyrkans konfirmationsverksamhet är sådan verksamhet men även verksamhet där barn deltar omfattas förstås). I ett sådant fall kan ett registerutdrag behöva uppvisas av volontären. 
    Ett registerutdrag kan innehålla personuppgifter om lagöverträdelser och behöver därför hanteras mycket varsamt. I lagen anges att en kontroll av ett registerutdrag inte får dokumenteras på något annat sätt än genom en anteckning om att utdraget har visats upp. Församlingen/pastoratet får alltså inte spara utdraget (eller en kopia av det) eller göra några anteckningar om vad det innehåller. Däremot får en anteckning göras att det har uppvisats. 

    Använd Kyrksam för administration

    I mallen från Österåkers pastorat anges att man tagit fram egna Excel-listor för att kunna jobba med mejlutskick till deltagare. Att göra på det sättet – och inte använda Kyrksam – kommer leda till merarbete rörande dataskyddsförordningen och är egentligen inget som vi rekommenderar. Dataskyddsförordningen kräver för den här typen av register följande:

    • Ha koll på gallring, vilket är mer komplext att göra manuellt. Det som anges i församlingens/pastoratets dokumenthanteringsplan (som ska vara byggd på bestämmelser i SvKB 2017:1 och 2019:2) behöver hanteras.
    • Om det finns anledning att tro att listan kan avslöja religiös övertygelse (kan vara aktuellt om volontäruppdraget är kopplat till t.ex. missionsverksamhet i ett annat land) behöver listan finnas i församlingens/pastoratets behandlingsregister.
    • Ha koll på behörighetsstyrning och annan säkerhet. System som Kyrksam är säkrare än lokala listor i Excel som sparas i egna eller gemensamma mappar på G: eller H:. I Kyrksam går det också följa vem som varit inne i dokument på ett helt annat sätt.

      Det finns alltså flera fördelar med att noga tänka igenom sitt arbetssätt. Att ständigt göra detta innebär att man också skapar ett gott inbyggt dataskydd.
    Redaktör
    Björn Ericsson, Häftstiftet
    Innehållsansvarig
    Rikard Johansson, Häftstiftet
    Uppdaterad
    2020-03-11
    X
    Dokumentid: 1484779- Webid: 28950 - Unitid: 14