Vern av personopplysninger
Den norske kirke følger personvernforordningen - også kalt GDPR - som ble innført sommeren 2018 og gjelder for alle trossamfunn i EØS-området.
Trossamfunn og firmaer har bare lov å behandle personopplysninger om deg dersom ett av følgende vilkår er oppfylt:
- det er krav om det i lov eller forskrift
- kirken skal sikre en rettighet du har
- du har gitt klart samtykke til det
Når kirken behandler personopplysninger, skal du (den registrerte) alltid få vite hvilke data som behandles, hva opplysningene brukes til, og når opplysningene blir slettet. Det betyr blant annet at du har rett til:
- at bruken av dine personopplysninger blir begrenset mest mulig
- å få innsyn i hvilke personopplysninger som behandles om deg innen 30 arbeidsdager
- å korrigere opplysninger hvis de ikke er korrekt
- å protestere mot behandlingen (dersom formålet er å markedsføre tjenester)
Datatilsynet gjennomgår dine rettigheter.
Dersom du vil klage over noe som gjelder behandlingen av dine personopplysninger, kan du henvende deg til kirkens personvernombud, eller du kan klage til Datatilsynet.
- Hovedreglene i forordningen finnes hos Datatilsynet
- Lovteksten (personopplysningsloven) finnes hos Lovdata
Den norske kirke behandler personopplysninger om sine medlemmer, frivillige og ansatte i forskjellige sammenhenger. For å behandle personopplysninger skal kirken ha et behandlingsgrunnlag i personvernforordningen (PVF). Et slikt behandlingsgrunnlag kan være
- PVF artikkel 6 (1) (c) «en rettslig forpliktelse» for kirkelige handlinger i medlemsregisteret.
- PVF artikkel 6 (1) (e) «en oppgave i allmennhetens interesse» for personopplysninger som behandles av Den norske kirke som offisielt anerkjent trossamfunn.
- PVF artikkel 6 (1) (f) «berettiget interesse»: henvendelser og tilbud om aktiviteter hvis du er medlem av kirken. Her vil kirken som regel opplyse om hvorfor du mottar en henvendelse, hvordan personopplysningene blir behandlet, og når de blir slettet.
- PVF artikkel 6 (1) (b) «en avtale som den registrerte er part i» for ansettelsesforhold i kirken, eventuelt den enkelte kirkelige handling.
- PVF artikkel 6 (1) (a) «samtykke» dersom noen gir tillatelse til at kirken kan ta bilder av dem eller deres barn eller gi trosopplæring til barn av medlemmer (hvor barna ikke er døpt).
Felles ordning for personvern og informasjonssikkerhet
Den norske kirke har etablert en felles ordning for personvern og informasjonssikkerhet gjennom en avtale som er undertegnet av de kirkelige fellesrådene og Kirkerådet (tilslutningsavtale for personvern og informasjonssikkerhet).
I forhold til personopplysninger om medlemmer og publikum, utøver Den norske kirke som trossamfunn, et felles behandlingsansvar i henhold til PVF art 26. Digitaliseringsstyret er et felles organ for de kirkelige fellesrådene og Kirkerådet i tråd med styringsmodellen for digitalisering i Den norske kirke. Digitaliseringsstyret har oppnevnt et utvalg for personvern og informasjonssikkerhet (sikkerhetsutvalget) som har mandat fra de de kirkelige fellesrådene og Kirkerådet til å iverksette følgende tiltak i hele trossamfunnet:
- Utarbeide felles retningslinjer for personvern og informasjonssikkerhet
- Informere om og vedlikeholde veiledningsmateriale på kirkens intranett
- Følge opp rapportering og avvik og eventuelt melde dem til Datatilsynet
- Initiere fellestiltak eller enkelttiltak basert på rapporterte avvik og regelmessige nasjonale ROS-analyser
- Inngå og følge opp databehandleravtaler og stille krav til personvern og informasjonssikkerhet i felles informasjonssystemer
- Felles personvernombud og informasjonssikkerhetsansvarlig
- Påse at kirkens nettsider oppfyller lovmessige krav til informasjonssikkerhet, personvern og tilgjengelighet
Felles behandlingsansvar for personopplysninger betyr at de registrerte bedre kan utøve sine rettigheter etter PVF art 13, 14 og 15.
Medlemsregisteret
Den norske kirke ved Kirkerådet er behandlingsansvarlig for kirkens medlemsregister. Kirkerådet utøver et felles behandlingsansvar (etter PVF art 26) sammen med de kirkelige fellesrådene. Et oppdatert medlemsregister er nødvendig for å kunne føre en oppdatert oversikt over hvem som har deltatt i kirkelige handlinger, holde kontakt med kirkens medlemmer, og sørge for informasjonssikkerheten.
Kirken behandler følgende personopplysninger i medlemsregisteret:
- Opplysninger som kirken mottar fra folkeregisteret: Navn, adresse, fødelsnummer etc. Disse opplysningene kan kirken ikke slette. De blir behandlet så lenge personen er i live.
Behandlingen av disse personopplysningene skjer på grunnlag av PVF artikkel 6 (1) (e) for å utføre «en oppgave i allmennhetens interesse»
- Opplysninger som du kan gi kirken samtykke til å behandle: Barnets navn og fødselsdato. Disse opplysningene blir slettet når du bestemmer det, hvis du melder deg ut av Den norske kirke, eller senest når barnet fyller 15 år.
Behandlingen av disse personopplysningene skjer på grunnlag av PVF art 6 (1) (a), samtykke.
Du kan når som helst trekke tilbake ditt samtykke (på Min side eller ved å sende et brev til kirken).
- Opplysninger som staten pålegger kirken å behandle om deg: Opplysninger om personer som har deltatt i kirkelige handlinger. Den norske kirke er pålagt etter trossamfunnsloven § 17 å føre register over personer som blir døpt, konfirmert, vigslet til ekteskap og jordfestet ved prest i kirken. Også opplysninger om personer som melder seg inn i eller ut av kirken skal registreres av kirken i henhold til trossamfunnsloven § 17. I henhold til forskrift om Den norske kirkes medlemsregister skal også opplysninger om faddere inntas i registeret. Behandling av disse personopplysningene skjer på grunnlag av PVF art 6 (1) (c), behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.
Kirken behandler personopplysninger av særlig kategori (religion) etter PVF art 9 (2) (d), som ledd i kirkens berettigede aktiviteter som gjelder medlemmer eller tidligere medlemmer eller personer som kirken regelmessig har kontakt med. Hele trossamfunnet Den norske kirke regnes som «ett organ» på grunn av organisasjonens oppbygning og medlemsstruktur.
Ansatt- og organisasjonsregisteret (ANSORG)
Den norske kirke etablerer et felles ansatt- og organisasjonsregister (ANSORG) som gir oversikt over ansatte, hvor de jobber og hvilke roller de har. Opplysningene legges inn av enhetene der folk jobber eller er rådsmedlemmer. Det er derfor nødvendig med et samarbeid mellom alle enheter i Den norske kirke.
Formålet med behandlingen av personopplysninger i ANSORG:
- Enklere samhandling og informasjonsdeling med ansatte i andre enheter i kirken lokalt, regionalt og nasjonalt. Sammen utgjør vi et nasjonalt arbeidsfellesskap.
- Bidra til at ansatte og rådsmedlemmer får riktig tilgang til digitale verktøy, aller helst ved en pålogging.
- Bedre personvern og informasjonssikkerhet gjennom økt integritet, tilgjengelighet og konfidensialitet av grunnleggende personopplysninger.
- Kirkens brukere får enklere tilgang til informasjon om kirkens ansatte, rådsmedlemmer og organiseringen i kirken
- Bidra til effektiv og riktig gjennomføring av valg
ANSORG vil også redusere manuelt arbeid, øke effektiviteten og gi økonomiske besparelser for trossamfunnet.
Behandlingsgrunnlaget for personopplysninger i ANSORG er etter personvernforordningen (PVF):
- PVF art 6 1 b (avtale): Behandlingen er nødvendig for å oppfylle en avtale (arbeidsavtalen)
- PVF art 6 1 f (berettiget interesse): Behandlingen er nødvendig for samhandling i hele organisasjonen og for å kunne tilby nødvendige felles IT-løsninger
ANSORG behandler følgende personopplysninger om ansatte: Fornavn, mellomnavn, etternavn, visningsnavn, kjønn, adresse, fødselsnummer, telefonnummer, e-postadresse, brukerID, ansattnummer, arbeidsgiverorgan, arbeidssted, organisatorisk enhet, prest eller lek ansatt (dersom relevant), stillingstittel, stillingskode, stillingsprosent, stillingstype, lengde på vikariat (dersom relevant), permisjon/lengde på permisjon (hvis relevant), status (aktiv/inaktiv), nærmeste leder, ansettelsesdato, fratredelsesdato og andre roller.
ANSORG behandler følgende personopplysninger om rådsmedlemmer Fornavn, mellomnavn, etternavn, visningsnavn, kjønn, adresse, fødselsnummer, telefonnummer, e-postadresse, brukerID, råd, organisatorisk enhet, prest eller lek (dersom relevant), verv, lengde på valgperiode, permisjon/lengde på permisjon (hvis relevant), status (aktiv/inaktiv), nærmeste leder, startdato, sluttdato og andre roller.
Ansatte/rådsmedemmer kan selv laste opp et portrettbilde til ANSORG. Registeret vil ha et brukergrensesnitt der ansatte og rådsmedlemmer kan se hvilke personopplysninger som blir behandlet om dem. Ansatte som ikke har kontakt med medlemmer/publikum, eller har særlige grunner, kan be om at informasjon i registeret ikke skal vises internt og/eller offentlig (for eksempel på nettsider). I utgangspunktet er det ikke mulig å reservere seg mot å stå i ANSORG.
Min side
Du kan se din status i medlemsregisteret ved å logge deg på "Min side":
https://kirken.no/nb-NO/om-kirken/minside/
Personvernombudet
Har du spørsmål om hvordan Den norske kirke behandler dine personopplysninger, kan du kontakte kirkens personvernombud. Ombudet er medlemmenes og de ansattes kontaktperson når det gjelder behandlingen av personopplysninger.
Dessuten er ombudet ledelsens og de ansattes rådgiver når det gjelder databeskyttelse.
Kontakt
Nils G. Indahl er personvernombudet i trossamfunnet Den norske kirke. Du kan kontakte ham på e-postadressen: personvernombudet@kirken.no .
Taushetsplikt
Personvernombudet har taushetsplikt, og kan ikke motta direkte instruksjoner fra kirkeledelsen.
Personvernforordningens artikkel 38, punkt 4, fastsetter at «de registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning».
Ombudets oppgaver
Datatilsynets veileder om personvernombudets arbeidsoppgaver.
Aktuelt om personvern i forbindelse med koronakrisen
Personvernreglene gjelder også under koronakrisen. Det er mulig å finne smidige løsninger uten å sette behandlingen av personopplysninger i fare.
Aktuelle veiledninger:
- Tips for å gjennomføre sikre møter i Teams
- Kan menigheten tilby trosopplæring på internett under koronakrisen?
- Hvilke personopplysninger kan en arbeidsgiver behandle i forbindelse med COVID-19?
- Retningslinjer for strømming av gudstjenester (vedtatt av sikkerhetsutvalget)
Se øvrige spørsmål og svar i forbindelse med personvern i Den norske kirke:
Informasjonskapsler
Når nettstedet kirken.no brukes, lagres enkelte opplysninger på brukerens datamaskin i små tekstfiler, kalt informasjonskapsler (eng. «cookies»).
Formålet med kirkens bruk av informasjonskapsler er å innhente statistikk og informasjon om hvordan de besøkende bruker nettsidene, slik at kirken kan gi mest mulig relevant informasjon og en best mulig brukeropplevelse i fremtiden.
Informasjonskapsler brukes blant annet til å gi brukere tilgang til ulike funksjoner på nettstedet, og er en vanlig metode for å logge hvilke sider brukerne besøker. Opplysningene benyttes for å forbedre brukeropplevelsen og videreutvikle nettstedet.
Den reviderte ekomloven trådte i kraft 1. juli 2013 og har fått en ny bestemmelse om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie-paragrafen», jf. ekomloven § 2-7b.
Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.
Ved å klikke på det grønne hjulet nederst til venstre på startsiden får du informasjon om hvilke informasjonskapsler (cookies) som brukes på kirken.no. Her samtykker du til hvilke informasjonskapsler du vil akseptere i din nettleser.
Google Analytics
Nettstedet benytter Google Analytics for å følge med på trafikken på våre sider slik at vi kan lage best mulig innhold.
I Google Analytics har Den norske kirke:
- Aktivert anonymisering av IP-adresser
- Deaktivert innstillingen "Enable Display Advertising Features"
Du kan reservere deg mot Googles cookies ved å besøke denne siden.