Persónuverndarstefna
Persónuverndarstefna þjóðkirkjunnar
Íslenska Þjóðkirkjan er mynduð af mörgum skipulagsheildum, ber þar helst að nefna sóknir og kirkjugarða um land allt, biskupsstofu, sjóði sem starfa samkvæmt lögum svo og aðrar kirkjulegar stofnanir og skipulagsheildir. Persónuverndarstefna þjóðkirkjunnar nær til allra skipulagsheilda kirkjunnar, starfsmanna hennar og eins og við getur átt, sjálfboðaliða er starfa innan hennar. Starfsemi Þjóðkirkjunnar er víðtæk en drjúgur hluti hennar felur í sér einhvers konar vinnslu persónuupplýsinga. Þjóðkirkjunni er annt um að vel sé hlúið að persónuupplýsingum og leggur upp úr því að öryggi þeirra sé tryggt eins og best verður á kosið. Vinnsla persónuupplýsinga hjá Þjóðkirkjunni fylgir lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, með síðari breytingum (hér eftir nefnd persónuverndarlög). Gildir stefna þessi fyrir allar skipulagsheildir innan þjóðkirkjunnar. Hver skipulagsheild innan þjóðkirkjunnar getur sett sér sína eigin persónuverndarstefnu á grundvelli persónuverndarlaga en sú stefna má ekki ganga skemur en persónuverndarstefna þessi hvað varðar persónuvernd.
Almennt
Íslenska Þjóðkirkjan einsetur sér að safna ekki frekari persónuupplýsingum en nauðsyn krefur miðað við tilgang vinnslu. Vinnsla persónuupplýsinga skal fara fram með sanngjörnum, málefnalegum og lögmætum hætti, bæði gagnvart starfsfólki Þjóðkirkjunnar og öðrum aðilum sem upplýsingar kunna að varða og skal öflun persónuupplýsinga vera í skýrum og málefnalegum tilgangi. Hver skipulagseining innan Þjóðkirkjunnar, sem vinnur persónuupplýsingar, skal halda skrá yfir vinnslu um persónuupplýsingar, sbr. 1. mgr. 26. gr. persónuverndarlaga og yfirfara verklag í kringum vinnsluaðgerðir með reglubundnum hætti. Gæta skal þess, að þeim sem vinnsla upplýsinga snýr að, sé veitt viðeigandi fræðsla áður en vinnsla hefst. Þá skal þess gætt að upplýsingar séu ekki varðveittar lengur en þörf krefur.
Öryggi upplýsinga.
Takmarka skal aðgengi að persónuupplýsingum svo eingöngu þeir sem koma að vinnslunni hafi aðgang að þeim. Í því skyni skal gripið til aðgangsstýringar, bæði hvað varðar tölvukerfi Þjóðkirkjunnar og húsakynni. Skal þess gætt að starfsfólki Þjóðkirkjunnar sé reglulega veitt fræðsla um þætti sem snúa að öryggismálum og persónuvernd, auk þess sem reglulega skulu fara fram áhættumat og innri úttektir. Allir starfsmenn innan íslensku Þjóðkirkjunnar skulu skrifa undir þagnareið sem helst áfram sé látið af starfi. Þeir sjálfboðaliðar Þjóðkirkjunnar sem umgangast persónugreinanleg gögn undirrita samskonar yfirlýsingu um trúnað. Þegar um viðkvæm skjöl er að ræða sem þurfa að sendast í tölvupósti skal leitast við að læsa þeim og senda lykilorð í öðrum tölvupósti eða með símaskilaboðum. Þó skal ávallt hafa hugfast að ekki er öruggt að senda viðkvæmar persónuupplýsingar með tölvupósti svo brýnt er að leita annarra leiða við afhendingu slíkra gagna. Gæta skal þess að vinnsluaðilar fylgi öryggiskröfum íslensku Þjóðkirkjunnar með gerð vinnslusamninga, þar sem ítarlega er mælt fyrir um heimildir vinnsluaðila og skyldur. Lögð er áhersla á að tölvukerfi Þjóðkirkjunnar tryggi viðeigandi tæknilegar og skipulegar öryggisráðstafanir en komi upp öryggisbrestur við vinnslu persónuupplýsinga skal Persónuvernd tilkynnt um brestinn nema ósennilegt sé að brotið leiði til áhættu fyrir réttindi og frelsi einstaklinga. Sé öryggisbresturinn talinn líklegur til að leiða af sér mikla áhættu fyrir réttindi og frelsi einstaklingsins skal honum jafnframt tilkynnt um brestinn. Í öllum tilvikum skal persónuverndarfulltrúa tilkynnt um öryggisbrest og bresturinn færður á sérstaka skrá yfir öryggisbresti.
Réttur einstaklingsins.
Einstaklingur getur hvenær sem er óskað upplýsinga um hvort íslenska Þjóðkirkjan vinni um hann persónuupplýsingar og í slíkum tilfellum óskað frekari upplýsingar um vinnsluna, s.s. hvernig sú vinnsla fer fram og tilgang vinnslunnar. Hann getur óskað þess að fá aðgang að þeim persónuupplýsingum sem hann varða auk þess sem mögulegt er í ákveðnum tilvikum að einstaklingur geti óskað þess að fá upplýsingar um sig leiðréttar eða óskað takmörkunar á vinnslu. Þá getur einstaklingur óskað þess að persónuupplýsingum um sig verði eytt en rétt er þó að geta þess að sá réttur kann að sæta takmörkunum, t.a.m. þegar lög kveða á um skráningu og varðveislu persónuupplýsinga. Íslenska Þjóðkirkjan er afhendingarskyldur aðili á grundvelli laga um opinber skjalasöfn nr. 77/2014, með síðari breytingum, og er því óheimilt að eyða hvers konar gögnum sem borist hafa þjóðkirkjunni. Ljóst er því að almennt eiga þessi réttindi ekki við hvað varðar vinnslu hjá íslensku þjóðkirkjunni. Sé um að ræða sjálfvirka vinnslu persónuupplýsinga sem byggist á samþykki á einstaklingur rétt á að fá upplýsingar sem hann varðar og sem hann hefur sjálfur látið íslensku Þjóðkirkjunni í té, á skipulegu, algengu, tölvulesanlegu sniði og eiga rétt á að senda þessar upplýsingar til annars ábyrgðaraðila. Mögulega getur einstaklingur jafnframt átt rétt á að fá upplýsingarnar séu færðar beint frá einum ábyrgðaraðila til annars, sé það tæknilega framkvæmanlegt. Í þeim tilvikum þegar einstaklingur hefur veitt samþykki fyrir vinnslu upplýsinga, gefst honum kostur á að afturkalla samþykki fyrir vinnslunni, sé enginn lagalegur grundvöllur fyrir henni. Þá á einstaklingur rétt til að andmæla vinnslu persónulegra upplýsinga sem hann varða, vegna sérstakra aðstæðna sinna, byggi vinnslan á almannahagsmunum. Jafnframt getur einstaklingur átt rétt á því að vinnsla sé takmörkuð undir ákveðnum kringumstæðum, t.d. ef vefengt er að persónuupplýsingar sem unnið er með séu réttar.
Vinnsla þjóðkirkjunnar á persónuupplýsingum.
Í félagatali Þjóðkirkjunnar kemur fram nafn, kennitala, fæðingarár, heimilisfang og hvaða sókn viðkomandi tilheyrir. Helst er unnið með persónulegar upplýsingar þegar greina þarf hverjir geti tekið þátt í kosningum innan kirkjunnar, þegar nýtt fólk er ráðið til starfa innan hennar eða þegar tilteknar athafnir eru fyrirhugaðar. Erindi sem berast Þjóðkirkjunni, hvort sem þau berast bréfleiðis eða með rafrænum hætti, er svarað svo skjótt sem kostur er. Hvað yfirstjórn kirkjunnar varðar eru erindin ásamt svari og eftir atvikum, öðrum gögnum sem verða til við vinnsluna, geymd í skjalasafni og rafrænni málaskrá. Mögulegt er að í þeim komi fram persónuupplýsingar um sendanda, t.d. nafn og netfang eða aðrar tengiliðaupplýsingar. Prestar Þjóðkirkjunnar, bæði þeir sem starfa innan sókna og þeir sem starfa í sérþjónustu framkvæma ákveðnar athafnir, s.s. guðþjónustur, skírnir, fermingar, vígslur og útfarir. Þá fer jafnframt fram sálgæsla, ráðgjöf, sáttaumleitan og félagsstarf innan sókna. Í tengslum við þessar athafnir getur komið til vinnslu upplýsinga úr ofangreindri skrá um félagsmenn kirkjunnar auk þess sem gefin eru út vottorð, t.d. sáttavottorð og skírnarvottorð, sem oftast eru þó eingöngu unnin frá upplýsingum og gögnum frá þeim sem upplýsingarnar varðar. Þjóðkirkjan heldur jafnframt uppi barna- og unglingastarfi, æskulýðsstarfi, KFUM- og KFUK-starfi, fermingarfræðslu, ýmiskonar tónlistarstarfi, fræðslustarfi og kristniboðsstarfi. Varðandi þá þjónustu sem tilgreind er hér að ofan er þess ekki áskilið að viðkomandi einstaklingur sé skráður í Þjóðkirkjuna. Helstu tegundir upplýsinga sem unnið er með eru nöfn, kennitala, heimilisfang, upplýsingar um tengiliði, t.d. foreldra eða skírnarvotta, tilteknar dagsetningar s.s. vígsludag eða dánardag, hjúskaparstöðu hjónaefna og forsjáraðilar. Mögulegt er að aðilar sem koma að sálgæslu og ráðgjöf til einstaklinga skrifi niður persónulega minnispunkta milli viðtala en í þeim tilvikum skal öllum slíkum minnispunktum eytt í síðasta lagi þegar vinnslunni lýkur eða þeir gerðir ópersónugreinanlegir. Myndatökur eiga sér stundum stað í kirkjulegu starfi en þá helst á opnum viðburðum. Ef myndirnar er persónulegs eðlis, skal leitast við að afla samþykkis þegar birta á slíkar myndir á heimasíðum Þjóðkirkjunnar, ýmist hjá viðkomandi aðila eða forsjárforeldrum ef við á. Alla jafna skulu þó myndir sem deilt er á heimasíðum vera almenns eðlis og gætt sanngirnis við val og birtingu slíkra mynda. Í kringum starfsmannahald Þjóðkirkjunnar og verktaka fer fram hefðbundin vinnsla persónuupplýsinga. Unnið er með persónuupplýsingar sem snúa að starfsmönnum kirkjunnar, fyrst og fremst í þeim tilgangi að geta greitt þeim laun. Haldið er utan um helstu grunnupplýsingar, t.d. nöfn, kennitölur, heimilisföng, póstnúmer, starfsheiti, auk upplýsinga um launakjör, stéttafélagsaðild, lífeyrisfélagsaðild svo dæmi séu tekin. Þá er haldið utan um öll gögn sem berast og verða til vegna starfsumsókna, lögum samkvæmt. Frekari upplýsingar um vinnslu persónuupplýsinga gagnvart starfsmönnum má finna á innri vef kirkjunnar. Varðveitt eru uppgefin nöfn og netföng þeirra sem skráð eru á póstlista kirkjunnar. Þá má nefna að ýmsar vefsíður Þjóðkirkjunnar nota vefkökur að takmörkuðu leyti.
Hvaðan aflar Þjóðkirkjan persónulegra upplýsinga?
Íslenska Þjóðkirkjan aflar upplýsinga ýmist úr þjóðskrá eða frá einstaklingnum sjálfum. Varðandi umsækjendur um störf getur þó komið til þess að kirkjan hafi samband við uppgefna meðmælendur umsækjanda eða að umsækjendur þreyti próf eða verkefni. Í ákveðnum tilvikum eru einnig skipaðar fag- eða matsnefndir í kringum ráðningar í embætti auk þess sem kjörnefnd kemur að vinnslunni.
Vafrakökur.
Þegar þú heimsækir vefsíður kirkjunnar verða til upplýsingar um heimsókn á vefinn. Vefsíðan notast við vafrakökur (e. cookies) í þeim tilgangi að telja heimsóknir á vefinn og gera skýrslur um þær. Vafrakökur eru textaskrár sem vefsvæði senda í tæki með vafra, s.s. tölvu eða snjallsíma, þegar vefsíða er heimsótt. Með vafrakökum gefst kostur á að geyma upplýsingar eins og texta, númer, dagsetningar og fleira. Þjóðkirkjan notar Google Analytics til vefmælinga. Hver koma inn á vefsíðu er skráð auk tíma, dagsetningar, gerð vafra og stýrikerfis. Þessum upplýsingum er safnað í þeim tilgangi að geta gert endurbætur á vefnum, t.d. til að skoða hvaða efni er mest lesið. Í kjölfarið má svo þróa efnið betur og gera það markvissara. Öðrum upplýsingum er ekki safnað. Vafrakökurnar geyma engin persónugreinanleg gögn og gætum við þess að deila ekki þeim upplýsingum sem safnast með þriðja aðila. Vefurinn notast við SSL-skilríki sem þýðir að öll samskipti eru yfir dulritað burðarlag. Það gerir gagnaflutning í gegnum hann öruggari. Með skilríkjunum eru upplýsingar sem sendar eru milli notenda vefmiðlara dulkóðaðar og gögnin sem flutt eru á milli skila sér á réttan stað á öruggan máta.
Erindi og fyrirspurnir.
Persónuverndarfulltrúi þjóðkirkjunnar er Brynja Dögg Guðmundsdóttir Briem, lögfræðingur á biskupsstofu. Skal erindum, er snúa að persónuvernd, beint á netfangið personuvernd@kirkjan.is. Þjóðkirkjan einsetur sér að svara fyrirspurnum og beiðnum einstaklinga hið fyrsta og eigi síðar en mánuði eftir móttöku þeirra. Ef fyrirséð er að afgreiðsla muni taka lengri tíma mun Þjóðkirkjan upplýsa hinn skráða um það. Þar sem Þjóðkirkjan er mynduð af mörgum skipulagsheildum hefur hvorki biskupsstofa né aðrar einingar Þjóðkirkjunnar beinan aðgang að persónuupplýsingum sem aðrar stofnanir eða sóknir búa yfir. Þar af leiðandi er vakin athygli á mikilvægi þess að taka skýrt fram í beiðni, frá hvaða einingu Þjóðkirkjunnar óskað er upplýsinga. Vakin er athygli á því að einstaklingur sem telur vinnslu persónuupplýsinga hjá Þjóðkirkjunni ekki samræmast gildandi persónuverndarlögum getur leitað til Persónuverndar, www.personuvernd.is. Þjóðkirkjan endurskoðar reglulega persónuverndarstefnu sína svo stefna þessi kann að taka breytingum.