Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Västerås stift

    GDPR FAQ

    Här besvarar vi frågor om GDPR

    Blandade frågor

    Vad är en personuppgift?
    All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. 

    I min outlook har jag gjort en egen sändlista med alla kommunikatörer som arbetar i stiftet. Är det enligt GDPR okej att ha en sådan lista?
    Ser inget problem med att du har en kontaktlista i Outlook där du lägger in anställdas svenskakyrkan.se-adresser. Vill dock tipsa om att du bör lägga in dina kollegors e-postadresser som hemlig kopia om du mailar interna och externa personer samtidigt, om den externa parten inte har ett behov av att känna till allas e-postadresser.

    Vad är ett manuellt register?
    Manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek eller när-arkiv) omfattas av personuppgiftslagen om uppgifterna är sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter namn. För att det ska vara ett manuellt register som omfattas av personuppgiftslagen krävs att samlingen av personuppgifter är strukturerad i syfte att påtagligt underlätta eftersökning och sammanställning av personuppgifter.​

    Måste deltagarlistor på papper redovisas?
    Ja, eftersom det är en personuppgift måste den redovisas. 

    Jag har hört att man inte behöver redovisa "ostrukturerat material"
    Det finns inte längre någon regel som säger att behandling av personuppgifter i ostrukturerat material är undantaget från de flesta reglerna. Detta innebär att förordningen sannolikt gäller för t.ex. enkla Exceloch Wordlistor och Outlook.

    Introduktion

    Gäller GDPR även privatpersoner?
    Syftet med GDPR är att stärka nu levande privatpersoners rättigheter till sina egna personuppgifter. Förordningen gäller för företag, organisationer och myndigheter.

    Vad omfattas av GDPR?
    Behandling av personuppgifter, det vill säga uppgifter som direkt eller indirekt kan kopplas till en specifik levande person. Behandling kan vara lite vad som helst som görs med personuppgifterna, till exempel insamling, överföring, läsning, sortering, arkivering. Varje behandling ska ha ett särskilt ändamål, en särskild laglig grund och en viss uppsättning kategorier av personuppgifter. Generell information och vägledning finns på datainspektionen.seVad är en behandling?
    En behandling [av personuppgifter] är en aktivitet, och till exempel "rekrytering till en tjänst" kan innehålla åtta olika behandlingar med olika ändamål, grunder och typer av behandlingar (insamling, lagring, delning med mera).

    Gäller GDPR endast elektroniska dokument?
    Nej, GDPR gäller oavsett om det handlar om digitala databaser eller pappersblad.

    Vad måste vara klart den 25 maj 2018?
    Församlingen/pastoratet måste förankra GDPR inom sin egen verksamhet, personal och förtroendevalda. Man måste inventera sina register och dataprogram utifrån GDPR och utveckla rutiner och arbetssätt kring hantering av personuppgifter inför framtiden. Man ska också anlita och anmäla ett dataskyddombud till datainspektionen före den 25 maj.

    Hur lång tid har man på sig att implementera i hela organisationen?
    Från den 25 maj 2018 gäller GDPR i alla EU-länder. Det är viktigt att man har gjort det man kan för att anpassa system och arbetssätt att leva upp till GDPR. En checklista för församlingen skulle kunna se ut så här:

    1. Informera alla i personalen om GDPR och att det är viktigt att vi behandlar alla personuppgifter enligt intentionen med GDPR.
    2. Inventera era system och register och arbetssätt utifrån GDPR. Material finns på internwww.svenskakyrkan.se/dataskydd.
    3. Anpassa era system och arbetssätt utifrån GDPR, i dialog med eventuella leverantörer.
    4. Anlita och anmäl ett dataskyddsombud till datainspektionen senast den 24 maj.

    Inventering av register och system

    Vilka system ansvarar nationell nivå för?
    På sidan internwww.svenskakyrkan.se/dataskydd finns en lista där man kan läsa vilka system det rör sig om. Listan uppdateras allt eftersom.

    Vem ansvarar för uppgifterna i Kyrksam?
    Om man med ansvar menar anpassning av systemet Kyrksam, så ansvarar nationell nivå för detta. Den lokala nivån är ansvarig för sin egen användning av Kyrksam. Om man till exempel har egna register över kyrkvärdar, vikarier eller något sådant, måste man själv gå igenom dessa egna, mindre register. För detta finns mallar och information på internwww.svenskakyrkan.se/dataskydd.Om man menar vem som är ansvarig för att GDPR följs för behandlingar i Kyrksam så är det en svårare fråga. Vem som är personuppgiftsansvarig beror på vem som beslutat om den aktuella personuppgiftsbehandlingen:Om det sker olika behandlingar som olika parter har beslutat om så kan det alltså finnas flera olika personuppgiftsansvariga beroende på vilken behandling som avses.Om flera parter tillsammans har beslutat om behandlingen så kan de vara ”gemensamt personuppgiftsansvariga” eller ”delat personuppgiftsansvariga”.Om ni behandlar uppgifterna på uppdrag av någon annan, till exempel om nationell nivå beslutar om varför och hur uppgifterna ska behandlas, så kan ni i stället vara personuppgiftsbiträden.Dessa frågor kring interna ansvarsförhållanden inom Svenska kyrkan är omfattande och viktiga, och är därför föremål för utredningar i nationell nivås projekt Anpassning till dataskyddsförordningen.​

    Kan vi få tydliga exempel på register? Vad ska vi se upp med och tänka på?
    Register är systematiserad, ordnad information i databas, kartotek eller liknande; alla sökbara register, eller all information (oavsett struktur) i datorer (så kallad automatiserad behandling) som innehåller personuppgifter på levande personer som församlingen har för sin verksamhet. Det kan till exempel röra konfirmander, körmedlemmar, verksamhetsgrupper, kyrkvärdar och andra. Ett exempel är också en lista med namn, såsom en deltagarlista, lista med kontaktuppgifter etc.

    Är det speciella bestämmelser när barn är inblandade?
    När barn under 16 år är inblandade – och man förlitar sig på samtycke som laglig grund – måste man ha målsmans godkännande. Det finns dessutom förslag om att detta ska gälla i Sverige för barn under 13 år. Det finns även fem andra lagliga grunderatt använda istället för samtycke.Personuppgifterna ska tas bort så fort som möjligt efter att den aktuella verksamheten är genomförd.

    Hur gör man med alla namnlistor på grupper som finns ute i verksamheten?
    Det är hög tid att inventera alla typer av namnlistor. Man kan göra det tillsammans i arbetslaget eller genom att var och en tar fram uppgifter om vilka register man själv har upprättat. Sedan bedömer man vilka listor som fortfarande behövs och vilka man kan vara utan. De register som inte behövs gallrar man helt enkelt bort. De listor som behövs går man igenom enligt den mall som finns på internwww.svenskakyrkan.se/dataskydd. Personuppgiftsansvarig behöver bedöma vilken laglig grund varje lista har. Finns ingen laglig grund måste listan gallras. Personuppgiftsansvarig måste också upprätta en lista över de register som innehåller personuppgifter.

    Räknas ett bokningssystem där man lägger in dop och begravningar som register?
    Ja, det är ett register. Använder man sig av nationella system tar nationell nivå ansvar för dessa. Har man egna system måste man enheten själv ta ansvar för att gå igenom dessa, utifrån de krav som GDPR ställer.

    Policydokument och mallar

    Kommer det ett policydokument från stiftet eller nationell nivå, eller måste varje lokal enhet producera ett eget?
    Enligt uppgift arbetar nationell nivå med att ta fram ett policydokument för personuppgiftshantering enligt GDPR. Detta kan man på lokal nivå anpassa efter sina egna förhållanden.

    Internet och bilder 

    Nationella rekommendationer
    Under hösten 2018 kommer det nationella projektet successivt att erbjuda rekommendationer för nya arbetssätt och rutiner i det dagliga arbetet. Rekommendationer kommer att ha bäring på områden som bildhantering, sociala medier, mejl, val av program, med mera.

    Vad gäller för församlingssidor under svenskakyrkan.se? Gäller Svenska kyrkans utgivningsbevis?
    I lagförslaget föreslås​ att GDPR inte ska strida mot varken tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Det innebär att ingen förändring kommer att ske efter 25 maj 2018.

    Måste man ta bort listor på förtroendevalda som finns på externwebben, där utgivningsbevis finns? Räcker det att avpublicera?
    Vilka personer som är förtroendevalda är inte känslig information. Det är dock juste att de förtroendevalda vet om att de finns publicerade på församlingens/pastoratets hemsida. Sidan som innehåller uppgifterna behöver såklart vara aktuell och uppdaterad.Vill man ta bort en sida med personuppgifter helt räcker det inte med att avpublicera. Sida måste raderas från webbverktyget, annars finns den kvar där och är sökbar för dem som har behörighet.

    Vad gäller för intranätet?
    GDPR gäller för intranätet. Svenska kyrkans utgivningsbevis gäller enbart för externa webbplatser som ligger under svenskakyrkan.se.

    Kommunikatörer har ofta stora mängder foton sparade, hur ska de bilderna hanteras?
    Redan i dagsläget ska vi vara aktsamma med hur foton behandlas/lagras och distribueras. Bilden i sig kan vara en personuppgift och också en känslig personuppgift.Lagring av foton är en komplex fråga och det är svårt att ge ett tydligt svar. Så småningom måste det bli mer tydligt var gränsen mellan olika lagar går, exempelvis GDPR kontra upphovsrätten. Det handlar också om arkiv och bilder som kan komma att bli historiskt värdefulla. Avvakta nationell nivås rekommendationer som ska komma i höst.

    Vem ansvarar för den lagliga grunden i användning av bilder som ligger i Svenska kyrkans bildbank Ikon?
    Nationell nivå ansvarar för bedömningen av bildbanken Ikon. Däremot kan en enhet skapa ett eget bildarkiv i Ikon och då är det församlingen/pastoratet som ansvarar för det arkivet.

    Vad gäller för församlingens/pastoratets Facebooksida?
    GDPR gäller för Facebooksidor. Även om företaget är amerikanskt verkar det inom EU och är EU-förordningen tillämplig.

    Hur blir det med foton på församlingens Facebooksida? Om personen sagt ja till bilden, är det OK?
    Om det finns ett samtycke och personen i fråga vet hur bilden kommer att användas, är det okej. Använder man sociala medier som ett kommunikationsverktyg i sin församling, måste man ta hänsyn till GDPR. 

    Vilket ansvar har vi för personuppgifter i kommentarsfält i församlingens sociala medier? GDPR gäller. Det är församlingen/personuppgiftsansvarig som har ansvar för de personuppgifter som förekommer på enhetens kanaler i sociala medier. Därför är det viktigt med rutiner för att ha löpande koll på sina konton och ta bort sådant som enligt GDPR – eller andra lagar, trivselregler eller riktlinjer – inte ska finnas där.

    Gäller de nya bestämmelserna för exempelvis affischer eller foldrar som produceras innan lagen träder i kraft?
    Idag gäller personuppgiftslagen (PuL) och efter den 25 maj 2018 gäller GDPR. Det innebär att man redan nu ska tänka in GDPR i det informationsmaterial som ska användas efter 25 maj. Tänk på vilken laglig grund som gäller dessa personuppgifter tas in.

    Vad gäller för jobbmobilen och uppgifter man har i den? Får man spara telefonnummer?
    Det nationella projektet Anpassning till dataskyddsförordningen arbetar med dessa frågor och rekommendationer kommer att publiceras på den gemensamma sidan internwww.svenskakyrkan.se/dataskydd.  

    Vad har vi för ansvar för personuppgifter i ett inkommande mail?
    Den personuppgiftsansvarige har ansvar att se till att inga otillbörliga personuppgifter behandlas utan laglig grund. Detta gäller all information som finns lagrad i organisationens register/databaser/servrar. För en organisation/församling gäller det att utarbeta rutiner och arbetssätt för personuppgifter som inkommer via e-post, och att dessa uppgifter gallras eftersom.

    Vad krävs för att kunna mejla personuppgifter?
    Eftersom vanlig, icke krypterad e-post inte är att betrakta som en säker hantering av personuppgifter ska man inte använda e-post för denna typ av kommunikation.Skicka aldrig känsliga personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.Undvik även att skicka andra integritetskänsliga uppgifter som exempelvis lönebesked via e-post.För över personuppgifter till andra system och radera mejlet. Mejlar en anställd in och sjukanmäler sig, registrera det i lönesystemet och radera mejlet.Om ni har kontaktformulär på er webb som genererar ett mejl till er, så försök att undvika fritextfält. Har ni sådana fält så uppmana den som fyller i formuläret att inte skriva in några personuppgifter i fältet.Bestäm hur länge ni behöver spara e-post och radera mejlen efter den tiden. Spara aldrig mejl med personuppgifter ”för att det kan vara bra att ha”.Informera era anställda om ovanstående punkter. 

     

    Samtycke och laglig grund

     
    Vilka är de sex olika stöden som utgör så kallad laglig/rättslig grund?
    Samtycke, avtal, rättslig förpliktelse, skydd för grundläggande intressen, uppgift av allmänt intresse och myndighetsutövning, intresseavvägning.
     
    Ska samtycke ges för varje tillfälle en personuppgift ska hanteras, eller kan det ges ett mer generellt samtycke?
    Man ska vara sparsam med användningen av samtycke som laglig grundför hantering av personuppgifter. Samtycket ska vara tydligt och informativt samt beskriva varför personuppgiften tas och hur den ska hanteras. Att formulera detta i generella skrivningar kan vara väldigt svårt för att säkerställa att informationen blir tydlig för den enskilda. Man kan inte samtycka till något man inte helt har förstått, i så fall är samtycket ogiltigt. Samtycket måste dessutom kunna styrkas av den personuppgiftsansvarige, vilken i sig är svårt.Samtycket bör därför användas väldigt sparsamt och endast vid specifika tillfällen då de andra lagliga grunderna inte kan användas. Om behandlingen är något som den registrerade personen förväntar sig, så är oftast den lagliga grunden intresseavvägning mer lämplig.
     
    Räcker det att ha en kryssruta för medgivande, till exempel i ett anmälningsformulär eller på hemsidan?
    Att inhämta samtycke genom att den som lämnar ut sina personuppgifter kryssar i en ruta, kan vara ett sätt att göra detta på. Samtycke kräver att informationen är tydlig och informativ så att den som lämnar ifrån sig sina uppgifter är införstådd med vad detta innebär i fråga om behandling, gallring, utlämning, återtagning, portabilitet med mera. 
     
    Hur ska information till den registrerade om att vi lagrar personuppgifter se ut? Hur kan den lämnas?
    Att ta in personuppgifter med stöd av samtycke kräver att informationen till den enskilde är tydlig, begriplig och informativ. Man behöver vara säker på att den som samtycker har uppfattat det helt korrekt. Uppgifterna kan tas in skriftligt, via en blankett eller via ett webbformulär där den registrerade gör en markering i exempelvis en kryssruta.   
     
    Vilka samtycken behöver vi ta in internt för att hålla uppgifter om anställda, exempelvis facklig tillhörighet?
    Arbetsgivaren och den anställde ingår ett avtal vid anställningen. Avtalet innehåller ett antal personuppgifter som arbetsgivare behöver för bland annat lön och skatt med mera. Dessa uppgifter är OK, men ska hanteras med hög säkerhet. Vissa personuppgifter måste behandlas för att arbetsgivaren ska uppfylla lagkrav, och i de fallen är den lagliga grundenrättslig förpliktelse.Facklig tillhörighet är en så kallad känslig personuppgift och bör behandlas med extra högt skyddsvärde. Behöver arbetsgivaren bara kunskap om facklig tillhörighet under lönerevisionen, bör uppgiften bara tas i samband med detta och gallras när lönerevisionen är över. Som arbetsgivare kan man hävda intresseavvägning som laglig grund för att hantera dessa uppgifter.Andra uppgifter, till exempel om anhöriga, är det extra viktigt att hantera på ett korrekt sätt. De anhöriga ska också vara informerade och har gett sitt samtycke kring att dessa uppgifter tas in. Om det bara rör den personliga säkerheten och inte är fler uppgifter än namn och telefonnummer, kan man eventuellt använda den lagliga grunden intresseavvägning istället för samtycke. Vill man spara kontaktuppgifter till anhöriga för att kunna kontakta dessa vid olycksfall eller sjukdom, bör du ge skriftlig information som dina anställda kan ta med till sina anhöriga. 

    Vad gäller kring personuppgifter för någon som söker sommarjobb på kyrkogården?
    De som får sommarjobb på kyrkogården ska hanteras som alla andra som har tillfälliga arbeten. Det vill säga, alla personuppgifter som behövs för att personen ska får lön, att skatten betalas med mera ska tas in.Sommarjobbsansökningar ska gallras senast efter två år, om det inte finns arkiv- eller gallringsregler som säger något annat, och man ska informera om att detta görs. Ansökningshandlingar kan också återsändas till den sökande. 

    När personer betalar med Swish får vi en lista med deras namn och telefonnummer. Hur funkar detta ihop med GDPR?
    Swish är en betaltjänst som levereras av ett företag. Det är Swish:s organisation som tar emot dessa personuppuppgifter. Församlingen som är alltså mottagare av denna betaltjänst. Listan motsvarar ett kvitto och ska behandlas på samma sätt som övriga kvitton. Det är därmed bokföringslagen som utgör den lagliga grunden för att ta in dessa personuppgifter, så länge inte listan används till något annat ändamål, då måste det finnas laglig grund för det. 

    Kan man förenklat säga att så fort man skriver ett namn eller personuppgift, måste man tänka GDPR? Till exempel namnet på fakturor.
    Det beror på. En personuppgift på en faktura tillhör fakturan och ska behandlas enligt bokföringslagen. Även ett vanligt namn som Anders Nilsson är en personuppgift, men inte så skyddsvärd, trots att det är många som heter så.Man kan säga så här: om det går att koppla till en specifik person, kanske genom företagsnamnet på fakturan, (och det bara finns en Anders Nilsson som är anställd på företaget), eller om det står ett personnummer eller privat adress på fakturan, så är det en personuppgift. Dessutom är det så extremt att det kan vara så att den som mottar fakturan vet vem just den Anders Nilsson är, och därför är det en personuppgift.Det går alltså att utgå ifrån att det mesta är personuppgifter. Detta gör också att vi har bra koll på vilken information vi har i verksamheten, oavsett om det är personuppgifter eller inte. 

    Får man ta ut listor med namn på gamla konfirmander, exempelvis för 80 årsfirande?
    Att ta in personuppgifter från konfirmander kräver målsmans underskrift om det rör sig om barn under 16 år. Det finns dessutom förslag om att detta ska gälla i Sverige för barn under 13 år.Andra lagliga grunder kan användas, det finns inget generellt krav på att det måste vara samtycke. Vissa situationer kräver det, men oftast är någon annan laglig grund mer lämplig.Personuppgifterna får bara behandlas under pågående aktivitet. Efter avslutad aktivitet ska personuppgifterna gallras. När personen är konfirmerad skrivs uppgifterna in i Svenska kyrkans register KBOK och det är där denna information sparas och bevaras. KBOK är ett av de prioriterade system som projektet Anpassning till dataskyddsförordningen arbetar med. På internwww.svenskakyrkan.se/dataskydd finns en lista med alla system.Den lagliga grunden gäller bara för insamlingen och bevarandet. Det är två behandlingar, som är okej för historiska och forskningsändamål. När man tar ut en lista så är det en tredje behandling, som görs av ett annat ändamål (”80 års-firande”) och inte för historiskt eller forskningsändamål. Därför behövs det en laglig grund för den behandlingen.  

    Vem bestämmer lagringstiden för exempelvis samtycken?
    Det är den personuppgiftsansvarige som bestämmer lagringstiden. När behovet för samtycket tas in ska det tydligt framgå i vilket syfte personuppgiften tas in, hur länge den behandlas och hur man kommer i kontakt med ansvarig för informationen. När villkoren för samtycket är över ska samtycket gallras.Man får också spara det för att försvara sig om det blir tvist, så man kan bevisa att man hade samtycke om någon klagar i efterhand. Då sparas samtycket bara för det ändamålet, och få bara användas till det. 

    Vilken laglig grund använder vi oss av för registrering vid bokning av kyrklig handling?
    Vid kyrkliga handlingar finns flera olika skäl som kan utgöra laglig grund för behandling av personuppgifter. Vid vigsel är det främst rättslig grund, vid begravning är det både rättslig grund och avtal som utgör laglig grund. Eftersom dop innebär medlemskap i Svenska kyrkan kan intresseavvägning utgöra motiv för laglig grund. Observera att kyrkoordningen och SvKB inte räknas som "rättsligt förpliktelse", det måste stå i lag.  

    När vi bjuder in till barnverksamheten, räcker det med föräldrarnas skriftliga anmälan?
    Använder man sig av samtycke som laglig grund för att ta in personuppgifter, gäller det att vara så tydlig som möjligt med information kring hur personuppgifterna ska behandlas. Föräldrarna har rätt att samtycka för barnets räkning, men barnet kan (och bör) själv vara den som samtycker om barnet är 15 år eller äldre. Detta med hänvisning till Datainspektionens vägledning om att 15-åringar generellt sett kan förstå vad samtycket innebär. Hur länge uppgifterna ska vara tillgängliga, när de ska gallras, hur man ta tillbaka uppgifterna och till vem man ska vända sig till i fråga om uppgifternas behandling, varför behandlingen görs. Även information om vilka rättigheter den registrerade personen har, oavsett om det är barnet eller en förälder vars personuppgifter behandlas, samt den lagliga grundenför behandlingen. De uppgifter som tas in ska endast vara sådana som det finns anledning till.  

    Hur är det med gravregister, ska man lägga till samtycke på blanketten eller faller detta inom laglighetsgrunderna?
    Att hålla gravregister är i sig ett statligt uppdrag och utgör en laglig grundför behandling av personuppgifter. Det är ingen nackdel att vid intagande nya personuppgifter kring gravregister också ge tydlig information kring behandlingen av personuppgifter utifrån GDPR. 

    Visst krävs inget samtycke om det finns laglig grund? Men exempelvis ett register för en barnkör anses väl inte vara lagligt grundad?
    Samtycke är en av sex lagliga grunder. Andra lagliga grunder kan vara med lämpliga, beroende på situation.Ett register för en barnkör (behandlingen insamling, behandlingen spara, behandlingen skriva ut listor av registret) kan använda andra lagliga grunder, beroende på vilka personuppgifter som finns i registret och vad det används till (om det sprids till samarbetsorganisationer exempelvis).
    Om samtycke är den mest lämpliga grunden, ska samtycke användas. Då gäller följande: Ett samtycke för en barnkör måste tas in från varje barns målsmän, skriftligt eller via hemsida, med tydlig information och en egen insats i form av en namnteckning eller kryssmarkering. När det gäller samtycke är det viktigt att det finns dokumenterat att samtycke medgivits och att tydlig information har förmedlats kring hur personuppgifterna behandlas och vilka rättigheter uppgiftslämnaren har. Det ska vara enkelt för den som gett samtycket (det vill säga vårdnadshavaren) att återkalla samtycket. 

    Vilken laglig grund passar bäst för personuppgifter som används i extern information eller marknadsföring om kyrkans verksamhet?
    Om man vänder sig till människor utanför medlemskretsen kan man hävda intresseavvägning i syfte att öka sitt medlemstal eller att föra ut sitt budskap. Intresseavvägning är en bedömning som personuppgiftsansvarig har gjort och då får man också vara beredd på att någon eller några kanske inte delar denna bedömning och motsätter sig detta.Intresseavvägning måste därför göras noggrant och kunna motivera varför behandlingen är nödvändig för sitt ändamål, att behandlingen inte kan göras på ett mindre integritetskränkande sätt för att uppnå ändamålet, och att ändamålet i sig är legitimt. Intresseavvägningen bör också vara dokumenterad, så att ni kan visa att ni har tydliga och väl underbyggda resonemang för att genomföra behandlingen av personuppgifter på detta sätt. Denna intresseavvägning, inklusive resonemang, måste vara med i informationen som lämnas till de personer vars personuppgifter behandlas.När GDPR väl är gällande kan sådana bedömningar bli ett fall för rättslig prövning, och då kommer så småningom prejudicerande domar. 

     

    Övriga frågor

    Vem i pastoratet bör vara personuppgiftsansvarig?
    Personuppgiftsansvarig är inte något som kan utses, utan motsvarar det faktiska ansvarsförhållandet. Den personuppgiftsansvarige är den som beslutar om varför och hur en behandling av personuppgifter ska ske, och ansvaret rör bara de behandlingar som den ansvarige beslutar om. Det är oftast den som är ansvarig i organisationen, i detta fall kyrkorådet. Sedan kan kyrkorådet i delegation utse någon som ansvarar för frågan i praktiken. 

    Vad räknas som personlig information och inte?
    Personlig information kan vara väldigt många olika typer av information. All information som kan kopplas till en specifik person är personuppgifter, som till exempel personnummer, adress, telefonnummer, en bils registreringsnummer och fotografier. Även teknisk data som IP-adresser och e-postadresser är personuppgifter.Till så kallade känsliga personuppgifter räknas livsåskådning, facklig tillhörighet, politisk uppfattning och sexuell läggning. I och med GDPR räknas också genetisk och biometrisk information som känsliga personuppgifter.

    Visst innebär GDPR att en enskild kan begära ut alla personuppgifter som vi har lagrade om denne?
    Ja. GDPR är en förstärkning av den enskildes rättigheter kring sina egna personuppgifter. Det innebär att den enskilde kan begära ut alla personuppgifter från en personuppgiftsansvarig, något som innan GDPR kallades rätten till registerutdrag. Vissa personuppgifter behöver dock inte lämnas ut, så som personuppgifter som även berör en annan person, eller som är belagd med sekretess till skydd för en annan person.Det innebär också att vissa personuppgifter ska kunna flyttas till en annan personuppgiftsansvarig, till exempel vid byte av elleverantör, vilket är den nya rätten till dataportabilitet. Den gäller bara uppgifter som den registrerade själv har tillhandahållit, och bara om insamlingen gjordes med stöd av samtycke eller avtal som laglig grund.

     

    Källor: Internww.svenskakyrkan.sewww.datainspektionen.se och internww.svenskakyrkan.se/luleastift

    Redaktör och innehållsansvarig
    Åke Paulsson, Västerås stift
    Uppdaterad
    2018-04-25
    X
    Dokumentid: 1391144- Webid: 29143 - Unitid: 6