Privacyvoorwaarden

Privacyreglement GKV Dordrecht voor de verwerking van kerkelijke gegevens

Ingevolge artikel C42 KO, versie 11 juni 2018

Artikel 1 Begripsbepalingen

In dit reglement wordt verstaan onder:

  1. kerklid: natuurlijke persoon die bij een plaatselijke kerk als gewoon of buitengewoon lid staat ingeschreven;
  2. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
  3. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
  4. administratiecode: eenduidige code die wordt gebruikt ten behoeve van efficiënte verwerking van persoonsgegevens;
  5. bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
  6. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
  7. beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de (dagelijkse) zorg voor de verwerking van persoonsgegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens;
  8. verwerker: degene die op basis van een overeenkomst ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
  9. gebruiker: degene in de zin van artikel 7 die gerechtigd is kennis te nemen van bepaalde gegevens in een persoonsregistratie;
  10. betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  11. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of degene(n) die onder gezag van de verantwoordelijke of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken;
  12. ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
  13. Autoriteit Persoonsgegevens: de toezichthoudende autoriteit zoals bedoeld in de Algemene Verordening Gegevensbescherming;
  14. toestemming van betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee betrokkene aanvaardt dat de hem/haar betreffende persoonsgegevens worden verwerkt;
  15. AVG: Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/ 679 van het Europees Parlement en de Raad, 27 april 2016.

 

Artikel 2 Reikwijdte en doelstelling van het reglement

  1. Dit reglement is van toepassing op alle persoonsgegevens van een kerklid, dan wel een gastlid of gast, die door of namens de GKV Dordrecht worden verwerkt.
  2. Dit reglement heeft tot doel:
    1. de persoonlijke levenssfeer van kerkleden van wie persoonsgegevens worden verwerkt te beschermen tegen misbruik van die gegevens en tegen het verwerken van onjuiste gegevens;
    2. te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
    3. de rechten van de kerkleden te waarborgen.

 

Artikel 3 Doel en grondslag van de verwerking van persoonsgegevens

De verwerking van persoonsgegevens door de GKV Dordrecht moet altijd op één van de navolgende rechtmatige grondslagen gebaseerd zijn, ontleend aan de Algemene Verordening Gegevensbescherming:

  1. het gerechtvaardigd belang van de GKV Dordrecht bij:
    1. een doelmatige organisatie van de kerkgemeenschap door het bijhouden van de kerkelijke ledenadministratie en kerkelijke registers;
    2. het onderhouden van contact met haar kerkleden;
    3. het zijn van een gemeenschap waarin leden naar elkaar omzien en elkaar opdragen aan God.
  2. het uitvoeren van een (arbeids)overeenkomst waarbij betrokkene partij is;
  3. de nakoming, uitvoering of toepassing van een wettelijke verplichting van de burgerlijke of kerkelijke overheid;
  4. de ondubbelzinnige toestemming die betrokkene heeft verleend.

 

Artikel 4 Verwerking van persoons- en kerkelijke gegevens

Geen andere persoonsgegevens van een kerklid worden verwerkt dan:

  1. naam en voornamen c.q. voorletters;
  2. straat, huisnummer, postcode, woonplaats, datum van vestiging op het woonadres, telefoonnummer en mailadres
  3. geboortedatum en -plaats;
  4. geslacht;
  5. burgerlijke staat met vermelding van de datum van ingang van de huidige burgerlijke staat;
  6. gegevens met het oog op het berekenen, vastleggen en innen van kerkelijke bijdragen;

alsmede de volgende kerkelijke gegevens:

  1. doop, met vermelding van de datum, de kerkgemeenschap en de naam van de gemeente, waarbinnen de doop werd bediend;
  2. belijdenis van het geloof, met vermelding van de datum alsmede van de kerkgemeenschap en de naam van gemeente, waar belijdenis van het geloof werd gedaan;
  3. kerkelijke inzegening van het huwelijk, met vermelding van de datum, de kerkgemeenschap en de naam van de gemeente, waar de inzegening heeft plaatsgevonden;
  4. datum van overkomst uit een andere gemeente of uit een andere kerkgemeenschap, met vermelding van de naam van deze gemeente c.q. kerkgemeenschap;
  5. gegevens in verband met het einde van het lidmaatschap van de gemeente, nl datum van vertrek naar een andere gemeente met vermelding van de naam van de nieuwe gemeente, van overlijden, van vertrek naar het buitenland, van overgang naar een andere kerkgemeenschap, van onttrekking aan de gemeenschap van de kerk of van constatering dat de gemeenschap van betrokkene met gemeente geacht wordt verbroken te zijn;
  6. datum van herstel van de gemeenschap met gemeente en kerk als bedoeld in de Kerkorde D61.
  7. de aard van de verbondenheid met de gemeente (dooplid, belijdend lid, gastlid, gast);
  8. pastorale informatie omtrent het geestelijk welzijn en de zielenzorg;
  9. informatie omtrent diaconale hulpverlening en wijkhulp;
  10. andere dan de onder a tot en met o bedoelde gegevens, waarvan de verwerking wordt vereist ingevolge, of noodzakelijk is met het oog op, de toepassing van een wettelijke regeling.

 

Artikel 5 Het beheer van (de verwerking van) persoonsgegevens

Persoonsgegevens worden op naam van het kerklid verzameld. De verzameling van persoonsgegevens van het kerklid, voor zover bedoeld in artikel 4 sub a tot en met e en sub g tot en met m, vormt het dossier.

 

Artikel 6 Verstrekking van gegevens

De persoonsgegevens worden slechts verstrekt aan:

  1. degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de verwerking van persoonsgegevens van kerkleden of die daarbij noodzakelijk zijn betrokken;
  2. anderen, indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is of de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
  3. anderen, indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak dan wel voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert, voor zover het slechts gegevens betreft als bedoeld in artikel 4 van dit reglement, en nadat het voornemen daartoe aan betrokkene is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 39 van de AVG uit te oefenen.

 

Artikel 7 Toegang tot persoonsgegevens

  1. Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de persoonsgegevens:
    1. degenen, waaronder begrepen derden en anderen, die zijn belast met of leiding geven aan de activiteiten die in verband staan met de verwerking van de gegevens of die daarbij noodzakelijk zijn betrokken;
    2. anderen, indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is, de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene of gegevensverwerking geschiedt met het oog op historische, statistische of wetenschappelijke doeleinden, en zolang de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.
  2. Toegang tot de gegevens genoemd in artikel 4, sub n zijn slechts toegankelijk voor de leden van de kerkenraad en de notulist van de kerkenraad.
  3. Toegang tot de gegevens genoemd in artikel 4, sub o zijn slechts toegankelijk voor de diakenen.

 

Artikel 8 Beveiliging en geheimhouding van persoonsgegevens

  1. De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
  2. Indien sprake is van elektronische verwerking van persoonsgegevens zal de beheerder via een coderings- en wachtwoordbeveiliging de verschillende functionarissen, als bedoeld in artikel 7, toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.
  3. Een ieder die betrokken is bij de uitvoering van dit reglement en daarbij de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan. Dit geldt niet indien enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.

 

Artikel 9 Informatieplicht

  1. De verantwoordelijke informeert betrokkene door middel van het verwerkingsregister over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt en aan wie de gegevens worden verstrekt.
  2. De verantwoordelijke informeert betrokkene door middel van het verwerkingsregister over het verwerken van diens persoonsgegevens, voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan de verwerking.

 

Artikel 10 Rechten betrokkene(n)

  1. De AVG en de Uitvoeringswet AVG geven betrokkenen de volgende rechten:
    1. Recht op informatie - Het recht van mensen om op de hoogte te worden gesteld van het feit dat verwerking van persoonsgegevens plaatsvindt of zal plaatsvinden, hoe dat gebeurt en wat de doeleinden hiervan zijn.
    2. Recht op inzage - Het recht van mensen om hun persoonsgegevens die worden verwerkt in te zien. Aan een verzoek om inzage kunnen kosten worden verbonden. Een verzoek om inzage dient te worden gedaan aan de verantwoordelijke, die binnen vier weken na ontvangst van dit verzoek hierop schriftelijk reageert.
    3. Recht op rectificatie en aanvulling - Het recht om de persoonsgegevens die worden verwerkt te laten wijzigen, wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. Gegevens kunnen worden gewijzigd indien men van mening is dat deze niet kloppen, voor zover de belangen van anderen of de legitieme belangen van de kerk zich hiertegen niet verzetten. Indien de betrokkene bij de verantwoordelijke aantoont dat bepaalde opgenomen gegevens onjuist c.q. onvolledig zijn, dan wel gezien de doelstelling van het systeem niet ter zake doen, dan wel strijdig zijn met dit reglement, draagt de verantwoordelijke binnen vier weken nadat betrokkene de onjuistheid c.q. onvolledigheid heeft aangetoond, zorg voor verbetering, aanvulling of verwijdering. In dat geval worden eventueel betaalde kosten terugbetaald.
    4. Het recht op vergetelheid - Het recht om vergeten te worden. Uitschrijving uit de kerk is mogelijk en de gemeente moet voldoen aan een verzoek om vergeten te worden, voor zover de belangen van anderen of de legitieme belangen van de kerk zich daar niet tegen verzetten.
    5. Het recht op beperking van de verwerking - Het recht om minder gegevens te laten verwerken.
    6. Het recht op overdraagbaarheid/dataportabiliteit - Het recht om persoonsgegevens die zijn verzameld op basis van toestemming of vanwege de uitvoering van een overeenkomst in een digitaal gangbaar en leesbaar formaat te ontvangen en/of te verstrekken aan een andere partij.
    7. Het recht met betrekking tot geautomatiseerde besluitvorming en profilering - Het recht op een menselijke blik bij besluiten. Betrokkene krijgt alleen een brief van de kerk als een natuurlijk persoon heeft besloten de brief te sturen, niet omdat een computersysteem een automatisch bericht stuurt.
    8. Het recht om bezwaar te maken tegen de gegevensverwerking - Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van het recht van bezwaar tegen de verwerking van hem betreffende persoonsgegevens, als voldaan is aan de in de AVG genoemde eisen.
    9. Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
  2. Indien de verantwoordelijke twijfelt aan de identiteit van iemand die een verzoek indient op basis van de rechten onder bovenstaande sub a 1, 2, 3, 4, 5 of 6, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.

 

Artikel 11 Bewaartermijnen

  1. Persoonsgegevens worden niet langer bewaard, in een vorm die het mogelijk maakt betrokkene te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
  2. Gegevens van leden worden bewaard zolang zij lid zijn, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een specifieke bewaarplicht, zoals wettelijke langere bewaartermijnen, behandeling van geschillen, lopende vorderingen of andere zaken van intern beheer en het doen uitoefenen van (accountants)controle. Behoudens deze gronden en omstandigheden worden de persoonsgegevens vernietigd na afsluiting van het administratieve boekjaar waarin het desbetreffende lid zijn/haar lidmaatschap bij de plaatselijke gemeente heeft beëindigd, heeft laten beëindigen of is overleden, dat wil zeggen uiterlijk ultimo het eerste kwartaal in het jaar volgend op het jaar waarin het lidmaatschap is beëindigd.
  3. De gegevens genoemd in artikel 4, sub n en sub o worden, voor zover bewaard in een bestand, een half jaar na vergaring verwijderd, voor zover de belangen van anderen of de legitieme belangen van de kerk zich daar niet tegen verzetten. Onder de reikwijdte van halfjaarlijks te schonen pastorale gegevens worden tevens geacht te vallen de onderlinge correspondentie binnen de kerkenraad en stukken ter voorbereiding op besluitvorming, voor zover deze persoonsgegevens betreffen en wanneer die besluitvorming reeds heeft plaatsgevonden.
  4. Van de vergaderingen van de kerkenraad worden geen woordelijke verslagen opgesteld, maar louter de besluitenlijsten, indien nodig aangevuld met een toelichting op de afweging, gearchiveerd.

 

Artikel 12 Toezicht op naleving en klachten

  1. De Autoriteit Persoonsgegevens en de Functionaris Gegevensbescherming, zoals bedoeld in artikel 37 lid 2 van de Algemene Verordening Persoonsgegevens, zijn bevoegd toe te zien op de verwerking van persoonsgegevens. Zulks met eerbiediging van de inrichtingsvrijheid van de GKV Dordrecht en met eerbiediging van de Gereformeerde Kerkorde.
  2. Indien betrokkene van mening is dat de bepalingen van dit reglement niet door de GKV Dordrecht worden nageleefd dient hij zich te wenden tot de verantwoordelijke.
  3. Indien de ingediende klacht voor betrokkene niet leidt tot een voor hem acceptabel resultaat, kan hij zich wenden tot de Autoriteit Persoonsgegevens.

 

Artikel 13 Inwerkingtreding en citeertitel

  1. Het privacyreglement GKV Dordrecht van 18 juni 2012 komt met de datum van inwerkingtreding van dit reglement te vervallen.
  2. Dit reglement kan aangehaald worden als Privacyreglement GKV Dordrecht voor de verwerking van kerkelijke gegevens en treedt in werking op 11 juni 2018.
  3. Dit reglement kan worden gewijzigd door de kerkenraad van de GKV Dordrecht.

 

Aldus vastgesteld door de kerkenraad van de Gereformeerde Kerk te Dordrecht in zijn vergadering van 11 juni 2018.