Kyrkstöten ("Tjänsten") förvaltas av Terrefta AB ("Förvaltaren") med organisationsnummer 559362-7341. Tjänsten omfattas av den europeiska dataskyddsförordningen General Data Protection Regulation (GDPR).
Tjänsten utgörs av ett webbverktyg med syfte att underlätta administrativa uppgifter för församlingar ("Kyrkan"), vid exempelvis planerandet av vilka medverkande personer ("Person") som gör vad i församlingens aktiviteter.
Tjänstens webbadress är www.kyrkstoten.se.
Följande personuppgifter behandlas av Förvaltaren för att tillhandahålla Tjänsten:
Namn krävs för att tillhandahålla ett Användarkonto i Tjänsten, samt i kommunikationen med Personen.
E-postadress krävs för att tillhandahålla ett Användarkonto i Tjänsten, samt i kommunikationen med Personen.
Telefonnummer krävs för att tillhandahålla funktionen påminnelse om medverkan via SMS, samt vid betalning via Swish.
IP-adress loggas för att möjliggöra felsökning, samla användningsstatistik samt för att identifiera och förebygga säkerhetsrisker.
Förvaltaren och Kyrkan har ett delat personuppgiftsansvar i tjänsten.
Arrangemanget för personuppgiftsansvaret ser ut på följande vis:
Förvaltaren ansvarar för Användarkonton: Förvaltaren ansvarar för personuppgifter som är kopplade till en Persons Användarkonto. Detta är personuppgifter som Personen har givit samtycke till att lagra i samband med registreringen av Användarkontot i Tjänsten. Personuppgifter som omfattas är namn, e-postadress och telefonnummer. Förvaltaren är ensamt personuppgiftsansvarig för personuppgiften IP-adresser.
Kyrkan ansvarar för Personer: Kyrkan ansvarar för personuppgifter som är kopplade till Personer som Kyrkan registrerat i Tjänsten. Personuppgifter som omfattas är namn, e-postadress och telefonnummer.
Utifrån arrangemanget ovan gäller följande för samtliga personuppgifter utom IP-adresser:
Tjänsten är ett samarbetsverktyg. För att möjliggöra samarbete behöver Personer med ett Användarkonto kopplade till samma Kyrka i Tjänsten kunna se varandras personuppgifter. Detta sker enligt följande:
För att tillhandahålla Tjänsten krävs också att andra parter behandlar personuppgifterna enligt följande:
Utöver parterna ovan får personuppgifterna endast delas ifall Personen ger sitt medgivande till detta.
Personuppgifter som Förvaltaren är personuppgiftsansvarig för lagras under den tid som Tjänsten tillhandahålls. När Tjänsten inte längre tillhandahålls för en Person bör personuppgifterna gallras.
Personuppgifter kan gallras genom en automatisk rutin, en manuell rutin samt genom en begäran om gallring från en Person eller från Kyrkan. Dessa beskrivs nedan.
En automatisk rutin gallrar personuppgifter för Användarkonton som anses vara inaktiva. Ett Användarkonto anses vara inaktivt när det inte skett någon inloggning på fyra år. Vid gallringen raderas samtliga personuppgifter relaterade till Användarkontot. Personuppgifter kopplade till Personen raderas inte vid denna gallring, då personuppgiftsansvaret för Personen ligger hos Kyrkan och inte hos Förvaltaren.
Manuell gallring kan utföras både av Förvaltaren och av Kyrkan för Användarkonton i Tjänsten. Detta sker när ett Användarkonto inte längre anses vara aktivt.
En Person kan när som helst begära gallring av sina personuppgifter. Detta sker genom att avsluta sitt Användarkonto i Tjänsten. Personuppgifterna kopplade till ett avslutat Anvädarkonto raderas normalt inom en månad.
Förvaltaren ansvarar för att hantera lagrade personuppgifter på ett säkert sätt. I detta ansvar ingår bland annat följande:
Personuppgifterna som används i Tjänsten lagras på en Virtuell Privat Server (VPS) hos en molntjänstleverantör som omfattas av dataskyddsförordningen. Infrastrukturen som driver Tjänsten är uppsatt i enlighet med vedertagen IT-säkerhetspraxis. Servern som driver Tjänsten är belägen inom Europeiska Unionen.
Datat i Tjänsten säkerhetskopieras regelbundet enligt en automatisk rutin. Säkerhetskopior lagras på en separat server inom Europeiska Unionen.