Personuppgiftspolicy

1. Tillämplighet och omfattning

Denna policy gäller för Hedvig Eleonora församling och är tillämplig på alla anställda, förtroendevalda och andra personer som behandlar personuppgifter under Hedvig Eleonora församlings ansvar. Denna policy ska, på begäran och i enlighet med tillämplig lag, göras tillgänglig för Integritetsskyddsmyndigheten, vilken är svensk tillsynsmyndighet för behandling av personuppgifter. I den mån dataskyddsförordningen ((EU) 2016/679) fastställer ytterligare krav ska den tillämpas vid sidan av denna policy. Om någon del av denna policy strider mot dataskyddsförordningen ska dataskyddsförordningen tillämpas i den berörda delens ställe.

2. Syfte

Denna policy har tagits fram i syfte att säkerställa att Hedvig Eleonora församling behandlar personuppgifter på ett lagligt och korrekt sätt med hänsynstagande till individens rätt till skydd av integritet. Policyn förklarar Hedvig Eleonora församlings inställning vad gäller skydd av personuppgifter och fastställer instruktioner för hur dessa ska hanteras.

3. Definitioner

Med ”personuppgifter” menas i denna policy all information som direkt eller indirekt går att härleda till en identifierbar levande person, särskilt med hänvisning till en identifierare såsom namn, ID-nummer, lokaliseringsuppgifter eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Med ”registrerad” menas i denna policy en identifierbar levande person vars personuppgifter är föremål för behandling. Med ”tillämplig lag” menas i denna policy dataskyddsförordningen, den svenska dataskyddslagen samt den svenska tillsynsmyndighetens eller relevant EU-organs föreskrifter, ställningstaganden och rekommendationer på personuppgiftsområdet. 

4. Policy

Hedvig Eleonora församling ska följa dataskyddsförordningen och bedriva sin verksamhet på ett sätt som respekterar de registrerades integritet. För att säkerställa detta ska de personer som behandlar personuppgifter under Hedvig Eleonora församlings hantera personuppgifter enligt nedan.

4.1 Insamling

Endast personuppgifter som har ett specifikt, berättigat ändamål och bygger på en laglig grund får samlas in. Personuppgifter som samlats in för ett ändamål får senare inte behandlas för ett andra ändamål som går emot det första. Endast sådana personuppgifter som behöver behandlas för att ändamålet ska kunna uppfyllas ska samlas in. Alla nya behandlingar som inleds och som inte redan finns dokumenterade ska föras in i Hedvig Eleonora församlings behandlingsregister. Information om hur personuppgifterna kommer att behandlas ska lämnas vid insamlingstillfället eller, om personuppgifterna samlas in från annan än den registrerade själv, vid första kontakten med den registrerade, dock senast inom en månad från insamlingstillfället. Om Hedvig Eleonora församling har en publik integritetspolicy vilken innehåller information som ska lämnas enligt lag kan informationsplikten uppfyllas genom att ge den registrerade en länk till policyn.

4.2 Den registrerades insyn

Personuppgifter ska behandlas med öppenhet gentemot de registrerade. Registrerade som vänder sig till Hedvig Eleonora församling för att begära en eller flera åtgärder i enlighet med de rättigheter som de har enligt dataskyddsförordningen ska bli bemötta på ett respektfullt och vänligt sätt. Rättigheter som de registrerade kan komma att utnyttja är:

  • Rätten att få ett utdrag av de personuppgifter som behandlas om den registrerade samt information om hur behandlingen sker.
  • Rätten att i vissa fall få ut sina personuppgifter i ett format som är maskinläsbart och allmänt använt på marknaden samt att i möjlig mån få assistans med att överföra dessa vidare till en annan organisation. 
  • Rätten att få sina personuppgifter rättade på begäran, förutom om det finns en berättigad anledning att lagra personuppgifterna i deras utdaterade form.
  • Rätten att få sina personuppgifter raderade, förutom om det finns en berättigad anledning att lagra personuppgifterna även fortsättningsvis, exempelvis på grund av lagkrav.
  • Rätten att invända mot vissa behandlingar, exempelvis behandling i marknadsföringssyfte. Hedvig Eleonora församling Personuppgiftspolicy 
  • Rätten att återkalla ett lämnat samtycke.
  • Rätten att under vissa förutsättningar få behandlingen av sina personuppgifter begränsad under en viss tidsperiod. När en registrerad vänder sig till Hedvig Eleonora församling med en begäran ska denne tillhandahållas relevant information om hanteringen av dennes begäran, såsom maximal handläggningstid.

    4.3 Underhåll

    Personuppgifter ska alltid behandlas med respekt och hänsynstagande till den registrerades integritet. Hedvig Eleonora församling lånar endast personuppgifterna från den registrerade och ska därför vårda dem väl. Behandlade personuppgifter ska vara korrekta och uppdateras eller kompletteras vid behov, förutom om det finns en berättigad anledning att lagra personuppgifterna i deras utdaterade form.

    4.4 Gallring

    Personuppgifter ska gallras när de inte längre behöver behandlas för att det fastställda ändamålet ska kunna uppfyllas eller för att annars uppfylla krav i lag. Med gallring menas antingen avidentifiering så att personuppgifterna inte längre går att koppla till en individ eller fullständig radering. Mer specifika riktlinjer gällande när radering respektive avidentifiering ska ske finns i annat dokument. Svenska kyrkan har både ett lagstadgat krav på och ett egenintresse i att hålla arkiv. När ändamålen för behandlingen, för vilka personuppgifterna ursprungligen samlades in, har upphört, ska personuppgifterna antingen gallras eller bevaras för arkivändamål. Inga personuppgifter får gallras (raderas) utan gallringsbeslut. Om personuppgifterna ska bevaras för arkivändamål, ska skyddsåtgärder vidtas, som exempelvis uppgiftsminimering och åtkomstbegränsning. Det kan betyda att personuppgiften flyttas från det system där den först behandlades.

    4.5 Åtkomst till personuppgifter

    Åtkomst till personuppgifter för externa organisationer ska ges endast när det är tillåtet enligt tilllämplig lag. Hedvig Eleonora församling får anlita tredje parter för utförandet av en tjänst som innebär behandling av personuppgifter vilka Hedvig Eleonora församling ansvarar för, under förutsättning att det sker enligt tillämplig lag och att avtalet med den tredje parten innefattar villkor som uppfyller dataskyddsförordningens krav på personuppgiftsbiträdesavtal. Innan en tredje part belägen utanför EU/EES ges åtkomst till behandlade personuppgifter ska det säkerställas att den tredje parten uppfyller de krav som ställs på sådana tredje parter enligt tillämplig lag.

    4.6 Säkerhet

    Personuppgifter ska skyddas mot obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse. Innan en särskilt riskfylld behandling inleds ska en utförlig riskanalys göras. IT-system och rutiner ska vara utformade med kraven i tillämplig lag i åtanke redan från början och som standard. Integritetsskydd ska vara regeln, inte undantaget.

    5. Ansvar och överträdelser

    Samtliga personer som behandlar personuppgifter under Hedvig Eleonora församlings ansvar ska ha kännedom om Hedvig Eleonora församlings inställning vad gäller skydd av personuppgifter och ska samarbeta med Hedvig Eleonora församling för att policyn ska kunna uppfyllas. Överträdelser av denna policy kan leda till disciplinära och/eller rättsliga åtgärder. Samtliga personer som omfattas av denna policy är skyldiga att omedelbart rapportera misstänkta överträdelser av denna policy till närmaste chef eller till Hedvig Eleonora församlings kyrkoherde.

GDPR

Dina rättigheter

Du som registrerad har enligt dataskyddsförordningen en del rättigheter. Nedan beskrivs dessa rättigheter samt hur Hedvig Eleonora församling arbetar för att uppfylla dessa rättigheter.

Rätt till tillgång (”registerutdrag”)

Du har rätt att kontakta oss för att få information om ifall vi hanterar dina personuppgifter och i så fall få tillgång till uppgifterna och information om hur vi använder dem. Du har även rätt att begära en kopia av personuppgifterna. Den första kopian du begär är gratis, men för ytterligare kopior kan en avgift komma att tas ut. Lämnar du din begäran i elektroniskt format, kommer du även om möjligt att få utdraget och informationen i elektroniskt format. Om du inte begär ett visst elektroniskt format kommer utdraget att tillhandahållas i ett format som är allmänt använt, exempelvis PDF-filer.

Om utlämnandet till dig skulle medföra nackdelar för andra individer kan det hända att vi nekar utlämnandet av vissa personuppgifter. Rätten till tillgång innebär inte heller att du alltid har rätt att få ut själva handlingen där dina personuppgifter förekommer. Är du intresserad av att få ut en viss handling kan du i stället begära ut handlingen i enlighet med den inomkyrkliga offentlighetsprincipen, som stadgar att var och en har rätt att ta del av Svenska kyrkans handlingar.

Rätt till rättelse

Du har rätt till att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Om det är lämpligt med hänsyn till ändamålet med vår behandling har du även rätt att komplettera ofullständiga personuppgifter, exempelvis genom att inge ett kompletterande utlåtande.

Rätt till begränsning

En begränsning av behandling innebär att personuppgifterna endast får användas och hanteras på vissa begränsade sätt, till exempel så att vi enbart får lagra dem och inte använda dem på något annat sätt under den tid som begränsningen gäller. Annan användning får då endast ske med ditt samtycke, för att skydda någon annans rättigheter eller för ett viktigt allmänintresse.

Du har rätt att begära att vi begränsar behandlingen av dina personuppgifter i fyra olika situationer:

  • Om du bestrider personuppgifternas korrekthet, har du rätt att begära begränsning under tiden som vi kontrollerar om personuppgifter är korrekta.
  • Är behandlingen olaglig och du motsätter dig att personuppgifterna raderas, kan du i stället begära att dess användning ska begränsas.
  • Om vi inte längre behöver personuppgifterna för ändamålen med behandlingen, men du behöver personuppgifterna för att göra gällande eller försvara rättsliga anspråk.
  • Om du invänder mot behandlingen av dina personuppgifter har du rätt att begära att behandlingen av personuppgifterna begränsas under tiden som vi gör en avvägning mellan dina och våra intressen.

Om du får dina personuppgifter begränsade, är vi skyldiga att meddela dig innan begränsningen upphör.

Rätt till radering

Du har rätt att begära radering av dina personuppgifter. I följande fall är vi skyldiga att utan dröjsmål radera dina personuppgifter:

  • Om personuppgifterna inte längre är nödvändiga för de ändamål de samlats in, exempelvis om du har slutat gå i vår gruppverksamhet och vi inte längre behöver dina kontaktuppgifter.
  • Om du återkallat det samtycke på vilket behandlingen grundar sig och det inte finns någon annan laglig grund för behandlingen, exempelvis om du lämnat ditt samtycke till publicering av ett foto men sedan ångrar dig och återkallar ditt samtycke.
  • Om behandlingen sker för direkt marknadsföring och du motsätter dig att uppgifterna behandlas för det syftet, exempelvis om du inte längre vill ha ett nyhetsbrev från oss.
  • Om du invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre än dina intressen.
  • Om personuppgifterna har behandlats på ett olagligt sätt, exempelvis om personuppgifterna inte behandlats i enlighet med dataskyddsförordningen.
  • Om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.

 

Observera att vi i vissa situationer inte kommer kunna tillmötesgå din begäran att bli raderad. Vi kan neka din begäran helt eller delvis om vår behandling är nödvändig av något av följande skäl:

 

  • för att tillgodose andra viktiga rättigheter, såsom rätten till yttrande- och informationsfrihet
  • för att uppfylla en rättslig förpliktelse
  • för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning
  • för att kunna fastställa, göra gällande eller försvara rättsliga anspråk
  • för arkivändamål av allmänt intresse eller av vetenskapliga, historiska eller statistiska ändamål
  • av skäl som rör ett allmänt viktigt intresse på folkhälsoområdet.

Rätt till skadestånd

Om du har lidit skada på grund av att dina personuppgifter har behandlats i strid med dataskyddsförordningen har du rätt att begära skadestånd.

Rätten att inge klagomål till IMY

Om du anser att vår behandling är olaglig eller inte utförs på ett korrekt sätt har du rätt att inge ett klagomål till Integritetsskyddsmyndigheten.

Rätt att invända

Behandling som utförs med stöd av ett berättigat intresse eller ett allmänt intresse eller som ett led i myndighetsutövning har du alltid rätt att invända mot enligt dataskyddsförordningen. Då kommer vi att göra en intresseavvägning utifrån din specifika situation för att bedöma om det fortfarande är berättigat att behandla dina personuppgifter för det angivna syftet.

Du har även rätt att invända mot behandling som utförs för direktmarknadsföringsändamål. Om du gör det kommer vi att sluta utföra behandlingen utan att först utföra någon intresseavvägning.

Rätt att ta tillbaka samtycke

Vad gäller behandling som utförs med stöd av ett samtycke kan du alltid ta tillbaka ditt samtycke när som helst, och då ska personuppgifterna upphöra att behandlas. Behandling som utfördes innan samtycket togs tillbaka ses dock fortfarande som laglig.

Rätt att flytta dina personuppgifter (”dataportabilitet”)

Automatiserad behandling (t.ex. i ett IT-system) som utförs med stöd av samtycke eller avtal där personuppgifterna samlats in direkt från dig omfattas av rätten till dataportabilitet, vilken innebär att du har en rätt att begära ut dina personuppgifter i ett format som är strukturerat, allmänt använt och maskinläsbart och, om det är tekniskt möjligt, få dessa personuppgifter överförda direkt till en annan part.

Allmänt

Om din begäran är uppenbart ogrundad eller orimlig, till exempel om du vid upprepade tillfällen begär samma sak, kan vi komma att ta ut en avgift eller neka din begäran.

Du kan läsa mer om dina rättigheter på Integritetsskyddsmyndigheten webbplats: www.imy.se/privatperson/dataskydd/dina-rattigheter/.

Kontakt

Om du har frågor om vår behandling av dina personuppgifter kan du höra av dig till:

Thomas Falkenstedt

e-post: thomas.falkenstedt@svenskakyrkan.se

Du kan också höra av dig till Hedvig Eleonora församlings dataskyddsombud.

Hedvig Eleonora församlingss dataskyddsombud

Erika Malmberg, inTechrity

072-549 64 34

dataskyddsombud@intechrity.se

Om du finns med på bild- eller filmmaterial

Hedvig Eleonora församling tar ibland fotografier eller spelar in filmer i olika grupper, under tillställningar och vid andra tillfällen i vår verksamhet. Vårt syfte med detta är att dokumentera verksamheten och bevara bild- och filmmaterialet för arkivändamål och framtida forskning. Våra fotografier och filmer är inte sökbara på person.

Vi strävar alltid efter att inhämta godkännande från de personer som går att identifiera i bild- och filmmaterial innan vi använder sådant material i vår kommunikation. Godkännande inhämtas vanligtvis skriftligen via blanketter men kan undantagsvis även inhämtas muntligen. Har du en gång lämnat ditt godkännande kan du när som helst ta tillbaka det, men det påverkar inte eventuell publicering vi redan gjort med ditt godkännande. Om du deltar i en av våra verksamhetsgrupper är ditt godkännande giltigt i två år. I andra sammanhang kan tiden ett godkännande är giltigt variera och framgår då i respektive sammanhang.

Vår webbplats, www.hedvigeleonora.se har utgivningsbevis och ansvarig utgivare. Detsamma gäller vår tidskrift, Hedvig Eleonora församlingsmagasin. Detta innebär att vår publicering lyder under tryckfrihetsförordningen och yttrandefrihetsgrundlagen, vilka går före dataskyddsförordningens regler om samtycke. Detsamma kan gälla även utan utgivningsbevis om publiceringen sker med journalistiska ändamål. Självfallet tar Hedvig Eleonora församling ändå alltid vederbörlig hänsyn till personers integritet och kommer inte att publicera personuppgifter som kan upplevas som intrång i den personliga integriteten.

Observera att bild- och filmmaterial kan komma att bevaras för arkivändamål av allmänt intresse och att vi omfattas av en inomkyrklig offentlighetsprincip som innebär att vi kan vara skyldiga att lämna ut uppgifter till allmänheten.

Vilka rättigheter har du?

Hedvig Eleonora församling ansvarar för hanteringen av dina personuppgifter om inte annat nämns ovan. För information om era rättigheter enligt dataskyddsförordningen, se startsidan för denna integritetspolicy. Där hittar ni även kontaktuppgifter till oss och vårt dataskyddsombud.

Om ditt barn går i en barngrupp hos oss

Hur och varför behandlar vi era personuppgifter?

Vi behöver behandla dina och ditt barns personuppgifter för att barnet ska kunna gå i vår barngrupp.

Uppgifter om vårdnadshavare

Dina personuppgifter behandlas av oss med stöd av vårt berättigade intresse av att kunna komma i kontakt med dig vid behov, exempelvis för att kunna meddela om ett grupptillfälle ställs in eller om vi vill informera dig om något annat som är relevant för ditt barns deltagande i vår verksamhet. En sådan typ av utskick gör vi vid varje terminsstart för att informera de som tidigare varit med i en grupp om att den snart startar igång igen.

Vi kan komma att diarieföra handlingar som inkommer till eller upprättas hos oss. Dina personuppgifter kan även komma att lämnas ut i enlighet med Svenska kyrkans offentlighetsprincip, vilken framgår dels av 11 § lagen om Svenska kyrkan, dels av kapitel 53 och 54 i kyrkoordningen.

Uppgifter om barnet

Vi behöver ditt barns personuppgifter på följande grunder:

  • Vi behöver veta vilka barn som går i våra barngrupper. Behandlingen utförs med stöd av det avtal du anses ingå för barnets räkning när du anmäler barnet till vår grupp.
  • Vi behöver skicka vissa av ditt barns personuppgifter till Sensus studieförbund för att vi ska kunna få bidrag för barnets deltagande i gruppen (enligt förordningen (2015:218) om statsbidrag till folkbildningen). Behandlingen utförs med stöd av det avtal du anses ingå för barnets räkning när du anmäler barnet till vår grupp.
  • Vi kan behöva hantera hälsouppgifter (exempelvis allergier) om ditt barn. Behandlingen utförs med stöd av vårt berättigade intresse av att säkerställa att barnet inte serveras något hen inte kan äta eller som kan skada hen. Eftersom hälsouppgifter är känsliga personuppgifter som vi behandlar inom ramen för vår kyrkliga verksamhet kommer de inte att lämnas ut utanför Hedvig Eleonora församling utan ett samtycke från vårdnadshavare.
  • Vi tar ofta foton och filmer i vår verksamhet och kan därför komma att publicera sådant material där ditt barn finns med. Sådan publicering sker vanligtvis med ditt samtycke men kan i vissa fall publiceras även utan samtycke om lagen tillåter. Du kan läsa mer om detta i vår information om hur vi hanterar bild- och filmmaterial.

Om du inte lämnar ditt barns personuppgifter till oss kan avtalet om deltagande i gruppen inte ingås och ditt barn kan då inte delta i gruppen.

Vi kan komma att diarieföra handlingar som inkommer till eller upprättas hos oss. Barnets personuppgifter kan även komma att lämnas ut i enlighet med Svenska kyrkans offentlighetsprincip, vilken framgår dels av 11 § lagen om Svenska kyrkan, dels av kapitel 53 och 54 i kyrkoordningen.

Vilka personuppgifter behandlar vi?

När du anmäler ditt barn till barngruppen lämnar du också in personuppgifter om dig och ditt barn till Hedvig Eleonora församling. Detta görs vanligen på en blankett eller annat formulär där du själv fyller i personuppgifterna.

För vårdnadshavare rör det sig vanligtvis om namn, e-postadress, telefonnummer och adress. I vissa fall kan personnummer samlas in för att vi ska kunna ta betalt för ditt barns deltagande, t.ex. vid musikundervisning.

För barn rör det sig vanligtvis om namn, födelsedatum, adress och eventuella allergier eller andra viktiga hälsouppgifter. Under ditt barns tid i barngruppen kan vi även komma att behandla foton och filmer där ditt barn finns med.

Hur länge behandlar vi personuppgifterna?

Uppgifterna om barnet raderas varje läsår och måste därför lämnas in på nytt om ditt barn vill fortsätta i sin grupp. Dina uppgifter kommer att sparas av oss tills barnet lämnar gruppen. Uppgifter om eventuell betalning sparas av oss i

Vilka rättigheter har ni?

Hedvig Eleonora församling ansvarar för hanteringen av era personuppgifter om inte annat nämns ovan. För information om era rättigheter enligt dataskyddsförordningen, se startsidan för denna integritetspolicy. Där hittar ni även kontaktuppgifter till oss och vårt dataskyddsombud.