Personuppgiftspolicy

1. Tillämplighet och omfattning

Denna policy gäller för Hedvig Eleonora församling och är tillämplig på alla anställda, förtroendevalda och andra personer som behandlar personuppgifter under Hedvig Eleonora församlings ansvar. Denna policy ska, på begäran och i enlighet med tillämplig lag, göras tillgänglig för Integritetsskyddsmyndigheten, vilken är svensk tillsynsmyndighet för behandling av personuppgifter. I den mån dataskyddsförordningen ((EU) 2016/679) fastställer ytterligare krav ska den tillämpas vid sidan av denna policy. Om någon del av denna policy strider mot dataskyddsförordningen ska dataskyddsförordningen tillämpas i den berörda delens ställe.

2. Syfte

Denna policy har tagits fram i syfte att säkerställa att Hedvig Eleonora församling behandlar personuppgifter på ett lagligt och korrekt sätt med hänsynstagande till individens rätt till skydd av integritet. Policyn förklarar Hedvig Eleonora församlings inställning vad gäller skydd av personuppgifter och fastställer instruktioner för hur dessa ska hanteras.

3. Definitioner

Med ”personuppgifter” menas i denna policy all information som direkt eller indirekt går att härleda till en identifierbar levande person, särskilt med hänvisning till en identifierare såsom namn, ID-nummer, lokaliseringsuppgifter eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Med ”registrerad” menas i denna policy en identifierbar levande person vars personuppgifter är föremål för behandling. Med ”tillämplig lag” menas i denna policy dataskyddsförordningen, den svenska dataskyddslagen samt den svenska tillsynsmyndighetens eller relevant EU-organs föreskrifter, ställningstaganden och rekommendationer på personuppgiftsområdet. 

4. Policy

Hedvig Eleonora församling ska följa dataskyddsförordningen och bedriva sin verksamhet på ett sätt som respekterar de registrerades integritet. För att säkerställa detta ska de personer som behandlar personuppgifter under Hedvig Eleonora församlings hantera personuppgifter enligt nedan.

4.1 Insamling

Endast personuppgifter som har ett specifikt, berättigat ändamål och bygger på en laglig grund får samlas in. Personuppgifter som samlats in för ett ändamål får senare inte behandlas för ett andra ändamål som går emot det första. Endast sådana personuppgifter som behöver behandlas för att ändamålet ska kunna uppfyllas ska samlas in. Alla nya behandlingar som inleds och som inte redan finns dokumenterade ska föras in i Hedvig Eleonora församlings behandlingsregister. Information om hur personuppgifterna kommer att behandlas ska lämnas vid insamlingstillfället eller, om personuppgifterna samlas in från annan än den registrerade själv, vid första kontakten med den registrerade, dock senast inom en månad från insamlingstillfället. Om Hedvig Eleonora församling har en publik integritetspolicy vilken innehåller information som ska lämnas enligt lag kan informationsplikten uppfyllas genom att ge den registrerade en länk till policyn.

4.2 Den registrerades insyn

Personuppgifter ska behandlas med öppenhet gentemot de registrerade. Registrerade som vänder sig till Hedvig Eleonora församling för att begära en eller flera åtgärder i enlighet med de rättigheter som de har enligt dataskyddsförordningen ska bli bemötta på ett respektfullt och vänligt sätt. Rättigheter som de registrerade kan komma att utnyttja är:

  • Rätten att få ett utdrag av de personuppgifter som behandlas om den registrerade samt information om hur behandlingen sker.
  • Rätten att i vissa fall få ut sina personuppgifter i ett format som är maskinläsbart och allmänt använt på marknaden samt att i möjlig mån få assistans med att överföra dessa vidare till en annan organisation. 
  • Rätten att få sina personuppgifter rättade på begäran, förutom om det finns en berättigad anledning att lagra personuppgifterna i deras utdaterade form.
  • Rätten att få sina personuppgifter raderade, förutom om det finns en berättigad anledning att lagra personuppgifterna även fortsättningsvis, exempelvis på grund av lagkrav.
  • Rätten att invända mot vissa behandlingar, exempelvis behandling i marknadsföringssyfte. Hedvig Eleonora församling Personuppgiftspolicy 
  • Rätten att återkalla ett lämnat samtycke.
  • Rätten att under vissa förutsättningar få behandlingen av sina personuppgifter begränsad under en viss tidsperiod. När en registrerad vänder sig till Hedvig Eleonora församling med en begäran ska denne tillhandahållas relevant information om hanteringen av dennes begäran, såsom maximal handläggningstid.

    4.3 Underhåll

    Personuppgifter ska alltid behandlas med respekt och hänsynstagande till den registrerades integritet. Hedvig Eleonora församling lånar endast personuppgifterna från den registrerade och ska därför vårda dem väl. Behandlade personuppgifter ska vara korrekta och uppdateras eller kompletteras vid behov, förutom om det finns en berättigad anledning att lagra personuppgifterna i deras utdaterade form.

    4.4 Gallring

    Personuppgifter ska gallras när de inte längre behöver behandlas för att det fastställda ändamålet ska kunna uppfyllas eller för att annars uppfylla krav i lag. Med gallring menas antingen avidentifiering så att personuppgifterna inte längre går att koppla till en individ eller fullständig radering. Mer specifika riktlinjer gällande när radering respektive avidentifiering ska ske finns i annat dokument. Svenska kyrkan har både ett lagstadgat krav på och ett egenintresse i att hålla arkiv. När ändamålen för behandlingen, för vilka personuppgifterna ursprungligen samlades in, har upphört, ska personuppgifterna antingen gallras eller bevaras för arkivändamål. Inga personuppgifter får gallras (raderas) utan gallringsbeslut. Om personuppgifterna ska bevaras för arkivändamål, ska skyddsåtgärder vidtas, som exempelvis uppgiftsminimering och åtkomstbegränsning. Det kan betyda att personuppgiften flyttas från det system där den först behandlades.

    4.5 Åtkomst till personuppgifter

    Åtkomst till personuppgifter för externa organisationer ska ges endast när det är tillåtet enligt tilllämplig lag. Hedvig Eleonora församling får anlita tredje parter för utförandet av en tjänst som innebär behandling av personuppgifter vilka Hedvig Eleonora församling ansvarar för, under förutsättning att det sker enligt tillämplig lag och att avtalet med den tredje parten innefattar villkor som uppfyller dataskyddsförordningens krav på personuppgiftsbiträdesavtal. Innan en tredje part belägen utanför EU/EES ges åtkomst till behandlade personuppgifter ska det säkerställas att den tredje parten uppfyller de krav som ställs på sådana tredje parter enligt tillämplig lag.

    4.6 Säkerhet

    Personuppgifter ska skyddas mot obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse. Innan en särskilt riskfylld behandling inleds ska en utförlig riskanalys göras. IT-system och rutiner ska vara utformade med kraven i tillämplig lag i åtanke redan från början och som standard. Integritetsskydd ska vara regeln, inte undantaget.

    5. Ansvar och överträdelser

    Samtliga personer som behandlar personuppgifter under Hedvig Eleonora församlings ansvar ska ha kännedom om Hedvig Eleonora församlings inställning vad gäller skydd av personuppgifter och ska samarbeta med Hedvig Eleonora församling för att policyn ska kunna uppfyllas. Överträdelser av denna policy kan leda till disciplinära och/eller rättsliga åtgärder. Samtliga personer som omfattas av denna policy är skyldiga att omedelbart rapportera misstänkta överträdelser av denna policy till närmaste chef eller till Hedvig Eleonora församlings kyrkoherde.