Sörbykyrkans logotyp

Sörbykyrkan

Personuppgiftspolicy

Antagen av EFS-föreningens styrelse den 18 mars, 2025.

Sörbykyrkan är en missionsförening inom EFS, en rörelse inom Svenska kyrkan. Därför följer vi den utarbetade personuppgiftspolicy EFS har. EFS Riks har information på sin webbplats gällande personuppgiftshantering och GDPR. EFS medlemsregister NGO PRO hanteras av EFS Riks och det som rör dessa uppgifter ansvarar EFS Riks för, inte den enskilda föreningen.

Sörbykyrkan vill förtydliga sina åtaganden och utformar därför en intern GDPR-policy.

1. Ansvarsfördelning

Styrelsen i Sörbykyrkan har huvudansvaret för hur föreningen hanterar personuppgifter inom föreningen. GDPR-arbetet utförs av en av styrelsen tillsatt GDPR-grupp som består av:
sekreterare i föreningens styrelse, personal med det operativa ansvaret, ansvarig för
hemsidan och systemansvarig för Driven.
Varje huvudledare för en verksamhet ansvarar för att ge information samt att policyn
efterlevs.

2. Samtycke till användning av personuppgifter

Samtycke till användning av personuppgifterna är frivilligt och ges av den enskilde.
Medgivande sker när kontaktuppgifter lämnas till ansvarig person.

3. Information kring föreningens hantering av personuppgifter

Information kring föreningens hantering av personuppgifter ska finnas på hemsidan.
Informationen ska dessutom ges muntligt av den som tar emot kontaktuppgifterna.

4. Skydda personuppgifterna

Pappersdokument med personuppgifter ska förvaras av den ansvarige på skyddad
plats. Dokument med personnummer förvaras i stängda kuvert. Tillgång till dokumenten på Driven tilldelas utifrån respektive personens ansvarsområde och engagemang.

Om någon ber om en annan persons kontaktuppgifter ska kravet på “berättigat intresse” beaktas innan kontaktuppgifterna delas. Vid oklarhet om det finns ett medgivande ska den enskilda personen tillfrågas. Vid mail till flera personer bör e-postadresserna skickas som “hemlig kopia”.

5. Risk- och sårbarhetsanalys

Risk- och sårbarhetsanalys utförs av GDPR-gruppen en (1) gång per år och föreningens GDPR-policy revideras vid behov.

6. Rätten att få sina uppgifter raderade

Den enskilde har rätt att få sina uppgifter raderade utan att behöva ange orsaken till detta. Kontakten tas med styrelsens sekreterare eller operativt ansvarig personal. Den enskilde har också rätt att dra tillbaka sitt samtycke.

7. Rensning av kontaktuppgifter

Inaktuella digitala dokument som innehåller person- och kontaktuppgifter raderas av den som har skapat det. Rensning av kontaktuppgifter sker kontinuerligt samt i samband med vårterminens avslutning. Personuppgifter som inte använts de senaste två åren ska raderas. Dokument i pappersformat raderas med dokumentförstöraren.

8. Personuppgiftsincident

Personuppgiftsincident innebär avsiktligt och oavsiktligt röjande av personuppgifter som medför risk för fysiska personers rättigheter och friheter. Särskilt vikt ska läggas vid hanteringen av kontaktuppgifter till personer med skyddat identitet.

Personuppgiftsincident anmäls till GDPR-gruppen som utreder händelsen och ansvarar för åtgärder och dokumentation kring ärendet.

Allvarliga incidenter meddelas styrelsen och anmäls till Datainspektionen på:
www.datainspektionen.se
telefon: 08-657 61 00
e-post: datainspektionen@datainspektionen.se
Datainspektionen
Box 8114
104 20 Stockholm