PERSONVERN

Behandling av personopplysninger i Pinsekirken Jessheim

Pinsekirken Jessheim er en fargerik menighet med vel 20 medlemmer og noen flere møtedeltakere. Mange med bakgrunn for ulike land.

Innhold

Prinsipper for behandling v opplysninger

Formål og hjemmel

Sikkerhet

Datakvalitet og dataminimalisering

Transparens og opplæring

Innebygget personvern

Den registreres rettigheter

Innsyn

Korrigering av opplysninger

Sletting av opplysninger

Dataportabilitet

Samtykkehåndtering

Bruk av Web-sider og sosiale nettverkstjenester

Opplæring

Etterlevelse av regelverket (kvalitetssystem)

Varsling av avvik i behandlingen av personopplysninger

Databehandlere

Personvernombud

Vedlegg 1 - Informasjonstyper og lagringstid

Ansattinformasjon

Medlemsinformasjon

Andre registrerte

Kontakter (Leietakere, kontaktpersoner, m.fl)

Vedlegg 2 - Databehandlere og dataflyt

Vedlegg 3 - Mal for innsynsrapport

Vedlegg 4 - Oversikt over Informasjonskapsler (cookies og pixler)

Vedlegg 5 - Mal for årlig risikovurdering og behandling av Personopplysnnger i Pinsekirken

Vedlegg 6 - Mal for varsling av avvik mot den registrerte

Vedlegg 7 - Mal for varsling av avvik mot Datatilsynet

Prinsipper for behandling av opplysninger

Formål og hjemmel

Følgende formål har Pinsekirken Jessheim om å prosessere personopplysninger:

  • Behandling av ansattopplysninger for å ivareta plikter Pinsekirken har overfor disse, samt for å ivareta de ansattes rettigheter.
  • Behandling av medlemmers, andre registrerte og kontaktpersoners opplysninger for å

a. Følge opp og kommunisere

b. Administrere og organisere aktiviteten i menigheten, inkludert aktivitet i undergrupper i menigheten som smågrupper, kor, barne- og ungdomsaktivitet, leirer, reiser m.fl.

c. Sikre korrekt medlemsregistrering og innrapportering i forhold til offentlige støtteordninger.

d. Sikre korrekt skattetrekk for gaver til menigheten, der den registrerte ber om dette,

e. Sikre oppfølging og registrering av politiattester for personer i roller der dette er påkrevd etter krikens gjeldende regler,

f. Behandle innleid personale for å ivareta plikter Pinsekirken har overfor disse, samt for å ivareta de innleides rettigheter.

g. For administrasjon og fakturering av utleide parkeringsplasser,

h. For administrasjon og fakturering av utleide lokaler,

c) Behandling av informasjon om besøkende til Pinsekirkens web-sider for å

a. Analysere besøkendes bruksmønster, slik at web-sidene kan tilpasses for å gi en best mulig bruksopplevelse.

Se vedlegg 1 - Informasjonstyper og lagringstid for detaljer i forhold til informasjonstyper og lagringstid.

Sikkerhet

Pinsekirken sikrer tilgang til system og registre for å unngå tyveri, lekkasjer eller annen urettmessig tilgang og bruk av personopplysninger.

Hvordan gjør Pinsekirken dette i praksis:

  • Tilgang til elektroniske systemer og registre for administratorer av løsningen gjøres med to-faktor autentisering.
  • Brukere med lavere nivå av privilegier kan få tilgang med en-faktor autentisering.
  • Systemer og registre er videre sikret med brannmurer og antivirusprogramvare.
  • Fysiske mapper med personopplysninger oppbevares innelåst.
  • Enkelte dokumenter som vurderes spesielt viktige vil låses inn i brannskap.
  • Tilgang til elektroniske og fysiske mapper vil kun bli gitt til personer som har behov for dette for å utføre behandling i lister opp under kapitlet «Formål og hjemmel».

Datakvalitet og dataminimalisering

Pinsekirken opprettholder datakvaliteten i våre registre for å sikre best mulig oppfølging av de formål som er satt for behandling i menigheten. Menigheten forsøker også å holdevolum og antall av ulikeinnsamlede opplysninger til et minimum, og lagringstiden vil bli vurdert kritisk opp mot behov. Dette vil i seg selv lette arbeidet med datakvalitet.

Selv der behandling av personopplysninger kun blir gitt i hht. Dette opprinnelige formålet, skal det vises ekstra stor varsomhet i forhold til spesielt følsom informasjon, som eksempelvis bønneemner, bønnesvar, helseopplysninger og opplysninger om straffbare forhold. Det bør i det lengste unngås å ta dette inn i Pinsekirkens registre.

Hvordan gjør Pinsekirken dette i praksis:

  • Årlig utsendelse av e-post/post til medlemmer registrerte med lenge til den enkeltes personopplysninger, der den enkelte har mulighet til å korrigere sin egen kontaktinformasjon, samt kontakinformasjon for barn under 15 år som man er verge for.
  • Ved innsjekk til søndagsskole bes foreldrene om å sjekke registrerte opplysninger.

Transparens og opplæring

Informasjon om hvordan Pinsekirken behandler personopplysninger skal være tilgjengelig for allmennheten. Detaljer i enkelte sikkerhetstiltak kan imidlertid måtte holdes skjult dersom allmenn kunnskap om disse vil utgjøre risiko for den registrerte.

Alle som behandler personopplysninger i regi av Pinsekirken skal ha tilstrekkelig opplæring for å kunne behandle opplysninger i tråd med «Behandling av personopplysninger i Pinsekirken Jessheim».

Hvordan gjør Pinsekirken dette i praksis:

  • Informasjon om Pinsekirkens behandling av personopplysninger legges ut på pinsekirken-jesshem.com.
  • Det informeres minimum engang i året i tilknytning til menighetsmøtet eller årsmøtet om Pinsekirkens behandling av personopplysninger.
  • Det informeres minimum en gang i året som Pinsekirkens behandling av personopplysninger på ledermøter.
  • Ledere som har ansvar for barn og ungdom skal informeres særskilt minimum en gang i året.
  • Opplæring av nye personer i roller den personopplysninger behandles.

Innebygget personvern

I alle prosesser og systemer Pinsekirken behandler personopplysninger i, vil de tidligere nevnte personvernprinsipper bli bygget inn. Opplysninger vil samles inn kun i forhold til formål og hjemmel , og lagringstiden vil bli vurdert kritisk opp mot behov.

Pinsekirken vil også forsøke å gjøre det så enkelt som mulig for den registrerte å utøve sine rettigheter, inkludert det å kunne tilegne seg informasjon om vår behandling av personopplysninger.

Ved publisering av bilder av personer og publisering av andre opplysninger på våre web-sider eller på sosiale medier, vil vi følge etablerte rutiner for å sikre at personvernet blir ivaretatt.

Pinsekirken vil også aktivt kvalitetssikre vår behandling av personopplysninger ved årlige gjennomganger av prosesser og systemer som benyttes til slik behandling, og samtidig også sikre at varslingsrutiner for avvik ved behandling blir gjennomgått.

Den registrertes rettigheter

Innsyn

Den som er registrert i Pinsekirkens register kan kreve innsyn i egne personopplysninger. Alle personopplysninger som er knyttet ti denne personen skal da utleveres.

Hvordan gjør Pinsekirken dette i praksis:

  • Ta kontakt med ansvarlig person for medlemsregisteret.
  • Den ansvarlige gjør tilgjengelig all informasjon knyttet til den person som ber om det.
  • Mal for innsynsrapport skal benyttes. Denne finnes i Vedlegg 3 - Mal for innsynsrapport.
  • Behandlingstiden fra forespørsel til medlemmer/tidligere medlemmer får korrigert informasjonen skal ikke overstige 30 dager.

Korrigering av opplysninger

Pinsekirken må korrigere personopplysninger som er feilaktige.

Hvordan gjør Pinsekirken dette i praksis:

  • Ta kontakt med ansvarlig person for medlemsregisteret.
  • Den ansvarlige korrigerer den eller de uriktige opplysningene.
  • Behandlingstiden fra forespørsel til medlemmet/det tidligere medlemmet får korrigert informasjonen skal ikke overstige 30 dager.

Sletting av opplysninger

Pinsekirken må beholde informasjon om dåp, Tentro-deltakelse, vigsel til ekteskap, jordfestelse (gravferdsseremoni) samt inn- og utmeldinger til Pinsekirken.

(Fortolkningen og tilpasset fra «Forskrift om Den norske kirkes medlemsregister, §2», jf. Kirkeloven. Merk at denne loven i utgangspunktet kun gjelder for Den norske kirkes medlemsregister.

Hvordan gjør Pinsekirken dette i praksis:

  • Ta kontakt med ansvarlig person for medlemsregisteret.
  • Den ansvarlige sletter alle felt som ikke er påkrev å beholde.
  • Opplysninger som er påkrevd å beholde skal merkes spesielt i medlemsregisteret.
  • Behandlingstid fra forespørsel til medlemmet/det tidligere medlemmet får slettet informasjonen skal ikke overstige 30 dager.

Dataportabilitet

Dataportabilitet er for alle praktiske formål bare aktuelt i forhold til medlemsregisteret. Dette er det eneste sted det der er opplysninger av noe omfang. Pinsekirken har ikke noen automatisk rutine for dette, men på forespørsel vil et medlem eller tidligere medlem kunne få ut sin informasjon på en kommaseparet fil.

Hvordan gjør Pinsekirken dette i praksis:

  • Ta kontakt med ansvarlig person for medlemsregisteret.
  • Den ansvarlige tar ut alle felt knyttet til den registrerte i et regneark.
  • Fra regnearket lages informasjonen som en kommaseparet fil.
  • Filen leveres ut til den registrerte, med en beskrivelse av de ulike feltene.
  • Behandlingstiden fra forespørsel til medlemmet/det tidligere medlemmet får utlevert informasjonen skal ikke overstige 30 dager.

Samtykkehåndtering

For at informasjon om medlemmer, andre registrerte og kontakter skal utleveres til andre formål enn det som er beskrevet i avsnittet «formål og hjemmel», må det foreligge et samtykke.

Personer over 15 år regnes som å ha tilstrekkelig samtykkekompetanse til å si ja i forhold til den type samtykke som vil være aktuelt i menigheten.

I forhold til barn under 15 år må barnets verge samtykke på vegne av barnet. Informasjon om at samtykke er gitt av verge sendes ut når barnet fyller 15 år, men barnet/ungdommen må da selv trekke tilbake dette samtykket om det ønskes.

Hvordan gjør Pinsekirken dette i praksis:

  • Dersom det tas ut lister fra Pinsekirkens registre til andre formål enn de som er listet opp i kapittelet om Formål og hjemmel, må det alltid filtreres slik at kun personer som har gitt sitt samtykke for det spesielle formålet i samtykket blir tatt med.
  • I forhold til bruk av bilder se kapitlet «Bruk av Web-sider og sosiale nettverkstjenester» og Vedlegget «Samtykkeerklæring i Pinsekirken Jessheim».

Bruk av Web-sider og sosiale nettverkstjenester

Pinsekirken benytter seg av sosiale medier for å kommunisere med og til medlemmer. Det benyttes en rekke bilder i denne sammenheng, også av enkeltpersoner eller grupper av personer der det enkelte på bildet kan gjenkjennes. Når hovedmotivet i et bilde er en eller flere personer, defineres dette som et portrettbilde.

Hvordan gjør Pinsekirken dette i praksis:

  • Pinsekirken skal som hovedregel ikke publisere portrettbilder på åpne web-sider eller åpne sosiale nettverkstjenester, uten å ha sikret samtykke fra personer som avbildes.
  • Etter Åndsverkslovens §45c, kan bilder like publiseres uten samtykke dersom

a) avbildningen har aktuell og allmenn interesse,

b) avbildningen av personen er mindre viktig enn hovedinnholdet i bildet,

c)Bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har almen interesse, eller

d)eksempler av avbildningen på vanlig måte vises som reklame for fotografens virksomhet og den avbildede ikke nedlegger forbud.

  • Situasjonsbilder fra arrangementer i regi av Pinsekirken, og som ikke er et portrettbilde, kan legges til virksomhetens intranett eller merbegrensede nettsider uten samtykke fra de enkelte. Eksempler på situasjonsbilder er bilder fra gudstjenester, samlinger og leirer. Dette gjelder ikke dersom Pinsekirken har grunn til å tro at de som er på bildene ikke vil ønske at bildene blir publisert. Bilder av personer lagt ut uten samtykke kan være harmløse og ikke på noen måte krenkende for de som er avbildet. Barn og unge vil bli tatt spesielt hensyn til. Pinsekirken skal også ta bort bildene dersom personen (e) på bildet ber om det.
  • Det skal utpekes en person som har redaktøransvaret for alle web-sider og sosiale nettverkstjenester Pinsekirken benytter. Redaktøren skal regelmessig gjennomgå innholdet på disse web-sidene og på de sosiale nettverkstjenester for å kontrollere, moderere og eventuelt korrigere innhold der.
  • Det skal gis informasjon til besøkende til Pinsekirkens web-sider om at av informasjonskapsler («cookie varsel»). Brukeren av nettstedet skal informeres og gi sitt samtykke til følgende før behandlingen begynner:

- Hvilke opplysninger som blir behandlet i informasjonskapsler

-Formål med behandlingen

-Hvem som behandler opplysningene.

Opplæring

Alle som behandler personopplysninger i regi av Pinsekirken skal ha tilstrekkelig opplæring for å kunne behandle opplysninger i tråd med «Behandling av personopplysninger i Pinsekirken på Jessheim»,

Hvordan gjør Pinsekirken dette i praksis:

  • Pinsekirken skal sikre at informasjon som skal gis til ledere og på menighetsmøte tas med
  • ......

Etterlevelse av regelverket (kvalitetssystem)

Pinsekirken har innført tiltak for å sikre etterlevelse av egne rutiner for behandling av personopplysninger.

Hvordan gjør Pinsekirken dette i praksis:

  • Årlig risikogjennomgang og behandling av personopplysninger, der rutinene gjennomgås og stikkprøver tas.
  • Den årlige risikogjennomgangen dokumenteres ved hjelp av mal i Vedlegg 5 - Mål for årlig risikovurdering av behandling for Personopplysninger i Pinsekirken.

Varsling avvik i behandlingen av personopplysninger

Ved avvik i behandling av personoppoysninger vil Pinekirken varsle ved behov.

Lov av elektronisk kommunikajson, § 2-7 b. Bruk av informasjonskapsler/cookies.

Hvordan gjør Pinsekirken dette i praksis:

  • Varsling til ledergruppe
  • Ved avvik som...
  • Varsling til datasubjekt...
  • -Ved avvik som... innen 72 timer. Varsel skal følge Vedleggegg 6 - Maler for varsling av avvik mot den registrerte.
  • Varsling til Datatilsynet
  • Ved avvik som...innen 72 timer. Varsel skal følge malen i Vedlegg 7 - Mal for varsling av avvik til Datatilsynet.

Databehandlere

Pinsekirken benytter 3.-part som databehandlere for enkelte oppgaver. Pinsekirken er ansvarlig for behandlingen, mens 3.-part utfører et oppdrag på vegne av Pinsekirken. En totaloversikt over alle databehandlere finnes i Vedlegg 2 - Databehandlere og dataflyt.

Personvernombud

Pinsekirken behøver ikke et eget personvernombud:

Begrunnelse:

Dersom den behandlingsansvarliges hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) mener Datatilsynet av det er krav etter personvernforordningen til å ha et ombud.

Med hovedvirksomhet siktes det til at det er kjerneaktiviteter som er nødvendige for å oppnå virksomhetens mål. Hvis behandlingen av personopplysninger er uløselig forbundet med virksomhetens produkter til tjenester skal det ses på som hovedvirksomhet.

Pinsekirken behandler personopplysninger knyttet til religion, og derved sensitiv informasjon. Totalt antall registrerte datasubjekter er imidlertid under 2000, og Pinsekirken vurderer dette til å ikke være behandling i stor skala. Videre er behandling av personopplysninger ikke noen hovedvirksomhet i Pinsekirken, men kun et middel for å håndtere de oppgaver menigheten har, samt for å kunne innfri lovpålagte plikter.

Vedtatt av Lederrådet i Pinsekirken Jessheim 29. august 2018


NB: Vedlegg legges ut senere.