Datainspektionen: Kyrkan får inte hantera domar

Domkapitlen har kunnat fälla en präst eller diakon till följd av brott som framkommit i till exempel en tingsrättsdom. Ett sådant fall uppmärksammades nyligen i Kyrkans Tidning: En präst fick en skriftlig erinran bland annat utifrån information i en snatteridom.

Så kommer det inte att fungera längre efter beslut från Datainspektionen. Detta står klart sedan Stockholms och Uppsala stift har fått nej på sina ansökningar om tillstånd att behandla personuppgifter som rör lagöverträdelser, för att domkapitlen ska kunna utöva sin tillsyn.

Datainspektionen argumenterar i sitt beslut att domar kan innehålla uppgifter om till exempel sexualbrott, narkotikabrott och rattfylleribrott, och därmed uppgifter med kopplingar till känsliga personuppgifter om hälsa, sexuell läggning, missbruk och psykisk ohälsa.

”Till exempel om en präst kört rattfull eller en diakon som arbetar med barnverksamhet uppges förgripa sig på barnet sexuellt och invänder att det föreligger en psykiatrisk diagnos.”, skriver Datainspektionen i sitt beslut. Myndigheten anser inte att sådana uppgifter ska hanteras av domkapitlen.

– En förutsättning är att man har stöd i lagstiftningen, ett rättsligt stöd för att behandla känsliga personuppgifter. Vi har inte funnit ett sådant stöd, säger Chatarina Fernquist, enhetschef på Datainspektionen.

I lagen om Svenska kyrkan står att stiften ska ha tillsyn över församlingslivet. Närmare än så är tillsynen inte reglerad i lagen, utan det är i kyrkoordningen som det framgår i detalj hur det ska gå till. Men det är inte tillräckligt, enligt Datainspektionen.

– Den reglering som finns är inte ett sådant rättligt stöd som krävs, säger Chatarina Fernquist.

Myndigheten skriver i sitt beslut att känsliga personuppgifter får hanteras av arbetsgivaren - församlingen eller pastoratet - i dess arbetsrättsliga arbete. Men inte av domkapitlet. 

Chatarina Fernquist säger att de känsliga personuppgifterna i domarna är så tätt förknippat med lagöverträdelserna, att inspektionen bedömer att ingen typ av tillstånd till hantering av domar kan ges till domkapitlen.

– Vi ser det som att beslutet har två delar. Om detta hade rört sig om att skilja någon från ett arbetsförhållande skulle ärendet kunna drivas i domstol. Men tillsynsförfarandet är ett regelverk inom kyrkan och ingen lag man kan kräva följs med hjälp av statsmakten, och man kan inte föra sin talan i domstol, säger Chatarina Fernquist och fortsätter:

– Behöver domkapitlen behandla uppgifter om lagöverträdelser, ja, då behövs vårt tillstånd. Men vi fann att de domarna är så tätt förknippade med de känsliga personuppgifterna att vi säger nej.

EU:s nya dataskyddsförordning, GDPR, trädde i kraft i maj förra året. Den har till syfte att skydda medborgares känsliga personuppgifter. GDPR har inneburit en skärpning när det kommer till att hantera känsliga personuppuppgifter. Uppsala och Stockholms stifts ansökningar var tänkta att fungera ungefär som testballonger, för att se hur den nya lagstiftningen skulle påverka domkapitlens arbete.

Fredrik Nilsson är enhetschef på juridiska enheten på kyrkokansliet i Uppsala:

– Övriga stift, liksom nationell nivå hade för avsikt att, när beslutet kom, inkomma till Datainspektionen med motsvarande ansökningar beträffande sina domkapitel respektive Överklagandenämnden och Ansvarsnämnden.

– Detta är naturligtvis inte aktuellt längre, säger Fredrik Nilsson.

Han säger att Svenska kyrkans nationella nivå nu, tillsammans med Uppsala och Stockholms stift, kommer att analysera beslutet.

– Innan denna analys är klar är det svårt att uttala sig om exakt vilka konsekvenser beslutet, om det står sig, kommer att få för kyrkan.

– Det torde dock stå klart att det inte längre kommer att vara möjligt för domkapitlen att behandla uppgifter om lagöverträdelser på det sätt man gjort hittills. Detta är också ett av skälen till att Uppsala och Stockholms stift, i samråd med nationell nivå, beslutat överklaga beslutet till Förvaltningsrätten.

Datainspektionen har informerat Kulturdepartementet om sitt beslut för att göra det möjligt att i framtiden se över hur Svenska kyrkans tillsynsansvar ska hanteras.

– Som vi förstår det är det här en verksamhet som kan finnas anledning att reglera bestämmelserna för. Stiftens tillsynsansvar behöver ha ett lagstöd. Därför har vi uppmärksammat kulturdepartementen på att stiften har ansökt om tillstånd och att vi har avslagit.

Beslutet ser Fredrik Nilsson som ett tecken på att Datainspektionen betraktar Svenska kyrkans verksamhet som viktig. 

– Myndigheten har gått in med en framställan till Kulturdepartementet i vilken den framhåller behovet av att lagstiftaren ser över Svenska kyrkans rättsliga stöd för att behandla såväl känsliga personuppgifter som personuppgifter som rör lagöverträdelser, säger han och tillägger:

– Det ser vi som väldigt betydelsefullt. Nationell nivå avser också att, i samråd med stiften, inkomma med en egen skrivelse i frågan till Kulturdepartementet.

Den nya GDPR-lagstiftningen har lett till att stiften i dag har olika rutiner kring hur man lämnar ut handlingar.

I Stockholm och Växjö, till exempel, har man fortsatt precis som vanligt. Men i Göteborg får den som begär ut ett domkapitelbeslut, eller ett protokoll från stiftsfullmäktige, ett lösenordskyddat dokument. Därefter kommer lösenordet i ett separat mejl. 

– Det vore så klart bra om alla stift gjorde samma. Men så som det ser ut i dag gör alla stift sina egna tolkningar, säger Torgny Lidén, pressekreterare på Göteborgs stift. 

– Trots att GDPR trädde i kraft förra året så skulle jag fortfarande säga att vi befinner oss i startskedet. Men jag tror att detta kommer att prövas efter hand och så småningom kommer vi hitta en mer generell praxis. Det är i alla fall min tro och förhoppning. 

Pontus Håkansson