Församlingen samlar in personuppgifter av församlingsmedlemmarna, sina samarbetspartner och personer som deltar i verksamheten. Med personuppgifter avses alla uppgifter som kan förknippas med personen, till exempel namn, telefonnummer eller adress. När personuppgifter begärs bör skydd av deltagarnas privatliv samt kraven i dataskyddslagen (RP 9/2018 rd) och EU:s dataskyddsförordning (2016/679) beaktas.
Rätten till skydd av personuppgifter är en grundläggande rättighet som hör till alla. Detta betyder att behandlingen av personuppgifter å ena sidan ska vara ändamålsenlig och å andra sidan alltid ska göras för ett visst syfte och med den berörda personens samtycke eller med stöd av en annan tillåtande grund som föreskrivs i lag. För att få spara under 16-åriga personers personuppgifter krävs alltid vårdnadshavarens samtycke.
I fråga om dataskydd utgår församlingen från riskerna. Som personuppgiftsansvarig bedömer församlingen riskerna med behandlingen av personuppgifter och väljer nödvändiga kontrollåtgärder enligt den uppskattade risknivån. Riskinriktning styr församlingens behandling av personuppgifter och är en viktig del av förverkligandet av den personuppgiftsansvariges ansvarsskyldighet. För att säkerställa en riskinriktad verksamhetsprincip genomför församlingen bedömningar av konsekvenserna av dataskyddet om det är sannolikt att behandlingsåtgärderna omfattas av betydande risker med tanke på individernas rättigheter och friheter. Resultaten av konsekvensbedömningarna används när det fastställs vilka metoder för att hantera konsekvenserna som används för att minska risknivån vid behandling av personuppgifter. Samtidigt säkerställs att kraven i dataskyddsförordningen uppfylls.
Församlingens mål är att säkerställa de registrerades rättigheter enligt dataskyddsförordningen genom att dokumentera och ge anvisningar om praxis vid behandling av personuppgifter samt genom att sörja för utbildning så att personuppgifter behandlas på ett högklassigt och lagenligt sätt.
Behandlingen av personuppgifter genomförs genom att följa nedanstående principer:
Församlingen ska förverkliga principen om inbyggt dataskydd och dataskydd som standard och inkludera dataskyddsprinciperna och -kraven i behandlingen av personuppgifter redan i ett tidigt skede. På så sätt säkerställer man att uppgifterna behandlas i enlighet med kraven i dataskyddsförordningen. Församlingen vidtar nödvändiga tekniska och organisatoriska åtgärder och förfaringssätt för att säkerställa dataskyddet. Med hjälp av de ovannämnda åtgärderna säkerställs bland annat att:
Med skydd av personuppgifter avses också den registrerade personens rätt att kontrollera de uppgifter som har samlats in om honom eller henne och vid behov begära att uppgifterna ändras eller raderas om en rättelse av uppgifterna är nödvändig. Församlingen ska bestämma hur man förfar när en registrerad person utnyttjar sin rätt att komma åt sina personuppgifter. Förfaringssättet följs i de fall där registrerade vill få tillgång till sina personuppgifter som finns i registren.
Det är viktigt att församlingen genom personalutbildningar och information säkerställer att personalen har tillräckligt kunnande i dataskyddsfrågor. Även nyanställda i organisationen får systematiskt introduktion i dataskyddsfrågor.Församlingens anställda binder sig att följa gällande lagar och instruktioner vid behandlingen av personuppgifter. Den anställda ansvarar för att personuppgifterna som han eller hon besitter behandlas, lagras och raderas på ett ändamålsenligt sätt. Personuppgifter lagras i ett låsbart skåp som endast anställda som har fått tillstånd har tillträde till. Om det är fråga om personuppgifter som endast en anställd har åtkomst till lagras personuppgifterna i den anställdes personliga låsbara skåp. Personuppgifter sparas inte på USB-minne. Personuppgifter i pappersformat sparas på ändamålsenligt sätt och förstörs efter förvaringstiden med en dokumentförstörare med diagonalskärning. I arbetsrummen har skärmarna placerats så att utomstående inte kan se känsliga uppgifter. När man lämnar rummet ska skärmen och dörren till rummet låsas. Tjänstetelefonen och andra elektroniska arbetsredskap är personliga och skyddade med lösenord. Lösenord ska inte sparas på servern.
Vid personuppgiftsincidenter bestäms ett förfaringssätt i församlingen. Handlingssättet enligt denna process följs när det sker dataskyddsavvikelser. Vid en personuppgiftsincident är församlingen som personuppgiftsansvarig skyldig att anmäla detta både till tillsynsmyndigheten och den registrerade personen. Om det är fråga om en allvarlig personuppgiftsincident görs en anmälan till tillsynsmyndigheten i enlighet med dataskyddsförordningen inom 72 timmar efter att kränkningen av datasäkerheten har uppdagats och den registrerade underrättas om incidenten utan oskäligt uppehåll. Personuppgiftsincidenter behandlas fall för fall.
Mer information finns i dataskyddslagstiftningen för kyrkans anställda.