GDPR - Dataskyddsförordning

I maj 2018 får Sverige och övriga EU en ny gemensam lagstiftning som reglerar hur bland annat företag och organisationer får behandla personuppgifter. Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.

GDPR och församlingen

Syftet med den nya dataskyddsförordningen är en stärkning av personers integritet och den ger ger anledning att fundera över hur man hanterar och skyddar personuppgifter. På denna sida länkar vi till några viktiga informationer och material. Det är viktigt för varje församling att ha kunskap om de personuppgifter som man hanterar i organisationen. För detta erbjuds nedan en mall för förteckning av register och Personuppgiftsbiträdesavtal.

Nu har Datainspektionen uppdaterat sin webb med nya pedagogiska material som vi vill tipsa om, se länkar nedan.

Vad gäller som ”religiös aktör”?

Som samfund har vi ställt frågan till Datainspektionen kring vad som gäller för ”religiösa aktörer” och fick följande svar och länkar:

”Läs gärna vår information om känsliga uppgifter och när det är tillåtet att behandla sådana uppgifter.

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/kansliga-personuppgifter-uppgifter-om-brott-och-personnummer/detta-ar-kansliga-personuppgifter/

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/kansliga-personuppgifter-uppgifter-om-brott-och-personnummer/nar-kansliga-personuppgifter-far-behandlas/

Läs även artikel 9 i dataskyddsförordningen om när behandling av känsliga (i förordningen benämnt ”Särskilda kategorier av”) personuppgifter är tillåten:

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/#9

Slut på citat——

En församlings medlemslista kan betraktas som en ”särskild kategori” av personuppgift eftersom församlingen är en ”religiös” verksamhet. Men som framgår av artikel 9 är det minst två delar som var för sig motiverar att en församling hanterar relevanta register för de personer man betjänar, se: a och d. Det handlar om samtycke eller att det är en självklar del av verksamheten.

Vad kan vi göra?

A. Utgå från lagens syfte – att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter – och använd sunt förnuft.

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/introduktion-till-dataskyddsforordningen/dataskyddsforordningens-syfte/

B. Det är viktigt att ha kunskap om och överblick kring hur församlingen hanterar personuppgifter för att detta ska kunna skötas på ett bra sätt. Det gäller dels uppgifter som man själv hanterar, dels leverantörer (ex. av datatjänster). Använd excell-arket nedan för att förteckna register samt Personuppgiftsbiträdesavtal från leverantörer.

C. Ta fasta på Datainspektionens råd i foldern ”Enkla grunder” nedan: Informera mer och spara mindre. Informera om hur och till vad personuppgifter används, spara mindre – alltså gallra personuppgifter som inte längre är nödvändiga för verksamheten, till att betjäna personen eller är av historiskt intresse och ska arkiveras.

Har församlingen verksamheter och flera anställda?

Församlingar som har en mer omfattande verksamhet, kanske med flera anställda och verksamheter som Second Hand, förskola och Café. Datainspektionen har tillsammans med Tillväxtverket tagit fram en guide för små företag som de även rekommenderar att församlingar kan använda. Klicka på länken nedan för att komma till den sidan:

https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden