Personuppgiftspolicy

Kyrkstöten

Om tjänsten

Kyrkstöten ("Tjänsten") förvaltas av Terrefta AB ("Förvaltaren") med organisationsnummer 559362-7341. Tjänsten omfattas av den europeiska dataskyddsförordningen General Data Protection Regulation (GDPR).

Tjänsten utgörs av ett webbverktyg med syfte att underlätta administrativa uppgifter för församlingar ("Kyrkan"), vid exempelvis planerandet av vilka medverkande personer ("Person") som gör vad i församlingens aktiviteter.

Tjänstens webbadress är www.kyrkstoten.se.

Personuppgifter som behandlas

Följande personuppgifter behandlas av Förvaltaren för att tillhandahålla Tjänsten:

  • Namn
  • E-postadress
  • Telefonnummer
  • IP-adress

Namn krävs för att tillhandahålla ett Användarkonto i Tjänsten, samt i kommunikationen med Personen.

E-postadress krävs för att tillhandahålla ett Användarkonto i Tjänsten, samt i kommunikationen med Personen.

Telefonnummer krävs för att tillhandahålla funktionen påminnelse om medverkan via SMS, samt vid betalning via Swish.

IP-adress loggas för att möjliggöra felsökning, samla användningsstatistik samt för att identifiera och förebygga säkerhetsrisker.

Arrangemang för delat personuppgiftsansvar

Förvaltaren och Kyrkan har ett delat personuppgiftsansvar i tjänsten.

Arrangemanget för personuppgiftsansvaret ser ut på följande vis:

  • Förvaltaren ansvarar för Användarkonton: Förvaltaren ansvarar för personuppgifter som är kopplade till en Persons Användarkonto. Detta är personuppgifter som Personen har givit samtycke till att lagra i samband med registreringen av Användarkontot i Tjänsten. Personuppgifter som omfattas är namn, e-postadress och telefonnummer. Förvaltaren är ensamt personuppgiftsansvarig för personuppgiften IP-adresser.

  • Kyrkan ansvarar för Personer: Kyrkan ansvarar för personuppgifter som är kopplade till Personer som Kyrkan registrerat i Tjänsten. Personuppgifter som omfattas är namn, e-postadress och telefonnummer.

Utifrån arrangemanget ovan gäller följande för samtliga personuppgifter utom IP-adresser:

  • Gemensamt personuppgiftsansvar: I de fall då personuppgifterna är kopplade till en Person som har ett Användarkonto i Tjänsten så är Förvaltaren och Kyrkan gemensamt personuppgiftsansvariga.
  • Kyrkan är ensamt personuppgiftsansvarig: I de fall då personuppgifterna är kopplade till en Person som inte har ett Användarkonto i Tjänsten så är Kyrkan ensamt personuppgiftsansvarig.

Delning av personuppgifter

Tjänsten är ett samarbetsverktyg. För att möjliggöra samarbete behöver Personer med ett Användarkonto kopplade till samma Kyrka i Tjänsten kunna se varandras personuppgifter. Detta sker enligt följande:

  • En Person med ett Användarkonto kopplad till Kyrkan kan se samtliga lagrade personuppgifter för Personerna i Kyrkan förutom IP-adress.

För att tillhandahålla Tjänsten krävs också att andra parter behandlar personuppgifterna enligt följande:

  • Förvaltaren: För att tillhandahålla Tjänsten krävs att Förvaltaren har tillgång till samtliga personuppgifter som lagras i Tjänsten.
  • E-postleverantör: Personens e-postadress förmedlas till Tjänstens e-postleverantör var gång e-post skickas till Personen. Detta krävs för att kommunicera med Personen. E-postleverantören omfattas av dataskyddsförordningen. Den tillhandahållna e-postadressen får endast användas för det specifika ändamålet.
  • SMS-leverantör: Personens telefonnummer förmedlas till SMS-leverantören var gång ett SMS skickas till Personen. Detta krävs för att kunna skicka påminnelser via SMS. SMS-leverantören omfattas av dataskyddsförordningen. Telefonnumret får endast användas för det specifika ändamålet.
  • Vid betalningar via Swish: Vid betalningar via Swish behandlas namn och telefonnummer av Förvaltaren samt den bank som ansvarar för Swish-betalningar.

Utöver parterna ovan får personuppgifterna endast delas ifall Personen ger sitt medgivande till detta.

Hur länge lagras personuppgifterna

Personuppgifter som Förvaltaren är personuppgiftsansvarig för lagras under den tid som Tjänsten tillhandahålls. När Tjänsten inte längre tillhandahålls för en Person bör personuppgifterna gallras.

Gallring av personuppgifter

Personuppgifter kan gallras genom en automatisk rutin, en manuell rutin samt genom en begäran om gallring från en Person eller från Kyrkan. Dessa beskrivs nedan.

Automatisk gallring

En automatisk rutin gallrar personuppgifter för Användarkonton som anses vara inaktiva. Ett Användarkonto anses vara inaktivt när det inte skett någon inloggning på fyra år. Vid gallringen raderas samtliga personuppgifter relaterade till Användarkontot. Personuppgifter kopplade till Personen raderas inte vid denna gallring, då personuppgiftsansvaret för Personen ligger hos Kyrkan och inte hos Förvaltaren.

Manuell gallring

Manuell gallring kan utföras både av Förvaltaren och av Kyrkan för Användarkonton i Tjänsten. Detta sker när ett Användarkonto inte längre anses vara aktivt.

Begäran om gallring

En Person kan när som helst begära gallring av sina personuppgifter. Detta sker genom att avsluta sitt Användarkonto i Tjänsten. Personuppgifterna kopplade till ett avslutat Anvädarkonto raderas normalt inom en månad.

Säkerhet i hanteringen av personuppgifter

Förvaltaren ansvarar för att hantera lagrade personuppgifter på ett säkert sätt. I detta ansvar ingår bland annat följande:

  • Personuppgifterna ska endast vara åtkomliga för de som har behörighet.
  • Personuppgifterna ska inte korrumperas eller gå förlorade av misstag.

Var lagras personuppgifterna

Personuppgifterna som används i Tjänsten lagras på en Virtuell Privat Server (VPS) hos en molntjänstleverantör som omfattas av dataskyddsförordningen. Infrastrukturen som driver Tjänsten är uppsatt i enlighet med vedertagen IT-säkerhetspraxis. Servern som driver Tjänsten är belägen inom Europeiska Unionen.

Säkerhetskopiering

Datat i Tjänsten säkerhetskopieras regelbundet enligt en automatisk rutin. Säkerhetskopior lagras på en separat server inom Europeiska Unionen.