Dataskyddsförordningen, GDPR, innebär ett stärkt skydd för den enskildes integritet genom hårdare krav på hur personuppgifter får behandlas. Här nedan informerar vi om hur lagen tillämpas i Kroppetorp Equmeniakyrkan.
Skyddspolicy gällande personuppgifter för Kroppetorp Equmeniakyrkan och Equmenia Kroppetorp. Policyn innehåller rekommendationer för hantering av personuppgifter så att skyddet för personuppgifterna blir bra.
Dataskyddsförordningen
Den 25 maj 2018 trädde EU:s nya dataskyddsförordning (eng. GDPR, General Data Protection Regulation) i kraft och ersätter personuppgiftslagen, PUL. Dataskyddsförordningen stärker skyddet för personuppgifter och nya rutiner behövs för hantering av personuppgifter.
I förordningen beskrivs också personuppgifter som betraktas som känsliga eller särskilt skyddsvärda och därmed ställer högre krav. Det är exempelvis uppgifter om religiös övertygelse, hälsa och allergi, samt personnummer, skyddade identiteter och uppgifter om barn.
Insamling
• Samla bara in de personuppgifterna som församlingen/föreningen behöver för ett specifikt ändamål. Ändamålet kan vara uppgifter till ett läger då man kan behöva veta om ev. mat allergier och sjukdomstillstånd. Ett annat ändamål kan vara att personen ska vara medlem i föreningen.
• Det ska finnas tydlig och enkel information till personen som lämnar personuppgifter till församlingen/föreningen. Informationen ska innehålla för vilket ändamål som personuppgifterna ska användas till, vilka personuppgifter det är, vilken rättslig grund ni har och hur länge ni tänker behålla personuppgifterna.
• Personuppgifter får bara användas till det ändamålet som det är informerat om. Det går inte att använda insamlade personuppgifter till andra ändamål än vad man har informerat om vid insamlingstillfället.
• Med lämpliga skyddsåtgärder får religiösa organisationer hantera personuppgifter på medlemmar, tidigare medlemmar och personer som har regelbunden kontakt med församlingen. Församlingen har detta undantag i lagen så församlingen behöver inte få ett samtycke för att få registrera personer i ett register men man har en informationsplikt till berörda personer. Lämpliga platser att informera på är t ex församlingsmöte, anslagstavlor och församlingsblad. Vid nyregistrering ska information ges direkt till personen. Använd färdiga mallar eller texter vid insamling av uppgifter.
• Equmenia föreningen har inte ovanstående undantag utan behöver samtycke, avtal eller berättigat intresse som ”rättslig grund” för att få samla in personuppgifter. Använd färdiga mallar eller texter vid insamling av uppgifter, och informera på terminsprogrammet för gruppen.
Samtycke måste användas för hälsouppgifter, avtal kan användas vid registrering av medlemmar och arrangemangsdeltagare, berättigat intresse kan användas för deltagare i verksamheten.
• Alla bilder som publiceras skall man ha fotografens samtycke för att publicera i församlingsblad eller på hemsida. En bild räknas även som en personuppgift om man kan identifiera en eller flera personer på bilden. Därmed behöver vi samtycke från personerna för att publicera bilden. Vi skall då ange hur vi tänker använda bilden.
Hantering av personuppgifter
• Listor som används ska bara innehålla de uppgifter man behöver. Som exempel, en deltagarlista för ett arrangemang behöver kanske inte innehålla hemadresser, efternamn eller personnummer.
• Om personuppgifter är felaktiga ska uppgifterna ändras snarast.
• De registrerade har rätt att få ut ett registerutdrag på all information som finns insamlad. Om någon vill få ett utdrag så kontakta den som är registeransvarig.
• Lämna aldrig ut personuppgifter till person utanför församlingen eller föreningen om inte styrelsen har beslutat annat.
• Om någon begär det måste deras personuppgifter plockas bort ur registret.
• Skicka helst inte personuppgifter med epost men om man gör det, radera mailen så fort uppgifterna är överflyttade.
• Alla listor på papper med personuppgifter (namn, adress, telefon och mail) ska skyddas, som exempel ska församlingens medlemsmatrikel inte ligga i kyrkans foajé utan vara inlåst på expeditionen. Deltagarlistor, särskilt listor med personnummer eller uppgifter om barn, ska inte ligga framme under veckan utan bara tas fram till aktiviten.
• Alla digitala listor med personuppgifter ska skyddas. Försök att alltid ha så få personuppgifter som möjligt i olika listor. Självklart behöver man vissa personuppgifter men till exempel en deltagarlista till en hajk kanske inte behöver innehålla hemadressen till deltagaren. Lagring av digitala listor ska ske så att ingen utanför församlingen och föreningen har tillgång till listorna. För att ha bra säkerhet behöver man personliga inloggningar för att få tillgång till listorna.
• Lösenord till olika system bör inte finnas på en synlig lapp vid datorn eller under tangentbordet.
Arkivering
• Församlingens medlemmar och personer som varit med på olika högtider i församlingen som dop, konfirmation, vigsel, deras personsuppgifter kommer att finnas sparade för all framtid i församlingens register, även digitalt.
Radering/gallring/kasta listor
• Personlistor (på papper eller digitalt) bör inte sparas längre än vad som krävs, till exempel ska man inte spara deltagarlistan till hajken år efter år, utan kasta listan då den inte behövs längre.
• Papperslistor eller annat pappersmaterial med personuppgifter ska förstöras genom strimling eller förstöras på annat sätt innan de lämnas till återvinning.
Datorer, läsplattor, mobiler och andra enheter
• Alla enheter (dator, läsplatta, m.fl.) man hanterar personuppgifter med ska ha ett uppdaterat operativsystem, ett antivirusprogram installerat och uppdaterat, för att skydda personuppgifterna.
• Viktiga filer behöver säkerhetskopieras.
Stulna personuppgifter
• Om personuppgifter blir stulna (incident) ska detta meddelas till styrelsen. Stölden kan vara att man har lagrat en lista med personuppgifter på sin dator och datorn blir stulen. Någon får in ett virus i sin dator och personuppgifterna blir stulna. Någon obehörig har fått se en större mängd uppgifter i en pärm, dator eller deltagarlistor.
Dataskyddsombud och mera information
Equmeniakyrkan har utsett ett dataskyddsombud som värnar om de registrerades rättigheter i systemet Repet. Har man frågor om dataskyddsförordningen kontakta, 08-580 031 69.
Version 2018-04-27 JA