GDPR i virksomhet
Behandle personopplysninger i foreninger
Behandling av personopplysninger i foreninger er en vanlig praksis. For eksempel behandler foreninger personopplysninger i medlemsregisteret. Alle selskaper, organisasjoner og offentlige organer som behandler personopplysninger, må overholde GDPR, inkludert foreninger.
Foreninger
GDPR bidrar til å styrke enkeltpersoners rettigheter med hensyn til deres personvern. Det spiller ingen rolle om det er en non-profit organisasjon eller en økonomisk forening.
Det er også mange foreninger som behandler personopplysninger om barn, for eksempel idrettsforeninger, og det er viktig å vite at reglene er strengere.
Behandling av personopplysninger i tilknytning til GDPR
De fleste foreninger behandler personopplysninger for å kunne utføre sine aktiviteter. I slike tilfeller er det foreningen som er behandlingsansvarlig, siden det er foreningen som bestemmer hvordan og hvorfor personopplysningene skal behandles. Derfor må FMA sikre etterlevelse av GDPR, som står for EUs personvernforordning (GDPR).
I tillegg kan to foreninger være felles kontrollører. Videre kan en tilknytning engasjere prosessorer, for eksempel når de sikkerhetskopierer personopplysninger til en cloud computing-tjeneste som tilbys av en tredjepartsleverandør.
Eksempler på behandling av personopplysninger av foreninger
Innsamling
Ved innsamling av personopplysninger, for eksempel navn og telefonnumre, fra FMA-medlemmer.
Medlemsregistre
Når foreningen fører et register med opplysninger om sine medlemmer.
Sikkerhetskopiering
Når foreningen sikkerhetskopierer medlemmenes personopplysninger til en skytjeneste, for å kunne rekonstruere dem ved utilsiktet eller uautorisert sletting eller endring.
Behandling av sensitive personopplysninger i foreninger
Under GDPR fortjener sensitive personopplysninger ekstra beskyttelse og kan få lov til å bli behandlet, men i mange tilfeller er behandlingen forbudt. Eksempler på sensitive personopplysninger eropplysninger som avslører opplysninger om en persons medlemskap i fagforeninger, etnisk opprinnelse eller religiøse overbevisninger.
Opplysninger om medlemskap i fagforening eller trossamfunn utgjør sensitive personopplysninger
Opplysninger om en persons medlemskap i fagforening eller trossamfunn er dermed sensitive personopplysninger, i henhold til artikkel 9 i GDPR. Slike spesielle kategorier av personopplysninger kan behandles på grunnlag av et av unntakene fastsatt i artikkel 9 i GDPR. Vær oppmerksom på at foreninger som behandler sensitive personopplysninger, må ta hensiktsmessige tekniske og organisatoriske tiltak for å beskytte dataene. I tillegg må behandlingen av slike spesielle kategorier av personopplysninger skje i sammenheng med de legitime aktivitetene som utføres av foreningen.
Er det tillatt å behandle opplysninger om en persons medlemskap i et trossamfunn eller politisk parti?
Hvis en person er medlem av en religiøs tro, kan medlemskap i seg selv avsløre medlemmets religiøse tro. Dette utgjør sensitive personopplysninger i henhold til artikkel 9, hvis behandling som hovedregel er forbudt. På den annen side er det et unntak som trossamfunnet kan anvende i dette tilfellet, det såkalte «medlemsunntaket». Det samme gjelder for politiske partier, da medlemskapet i det politiske partiet gir opplysninger om medlemmets politiske synspunkter.
Medlemsstatens unntak i artikkel 9 nr. 2 bokstav d)
I henhold til medlemskapsfritaket i artikkel 9 (2) (d) GDPR er det tillatt å behandle personopplysninger om medlemskap, dersom behandlingen:
- Gjelder bare aktive medlemmer, tidligere medlemmer eller andre personer som på grunn av organisasjonens formål har regelmessig kontakt med organisasjonen. og
- Personopplysningene vil kun bli utlevert utenfor organisasjonen eller til et annet medlem basert på den registrertes aktive samtykke.
Den europeiske menneskerettighetsdomstolens dom om behandling av personopplysninger i forbindelse med dør-til-dør-salg fra religiøse samfunn
I Finland og Den europeiske menneskerettsdomstol er det foretatt en rettslig prøving av innsamlingen av personopplysninger og navnelistene som Jehovas vitners trossamfunn har utarbeidet under hjemmebesøk.
Listene over navn som Jehovas vitner har utarbeidet under forkynnelsen fra dør til dør, kan inneholde navn, adresser og opplysninger om den religiøse overbevisningen til personen de har besøkt i forbindelse med forkynnelsen fra dør til dør. Registreringen av informasjonen i navnelistene skjedde ofte uten kjennskap til den registrerte. Den europeiske menneskerettighetsdomstolen har understreket viktigheten av lovlig innsamling av personopplysninger og respekt for enkeltpersoners rett til privatliv.
Må innhente samtykke
I Finland har Høyesterett avgjort at Jehovas vitner må innhente samtykke fra de registrerte personene for å kunne utarbeide og bruke slike navnelister. I praksis betyr kjennelsen at GDPR også gjelder for trossamfunn i Finland når de behandler personopplysninger.
Hva er et passende rettslig grunnlag for å støtte foreningens behandling av medlemmenes personopplysninger?
Som nevnt ovenfor må alle selskaper, organisasjoner og offentlige organer overholde GDPR. Dette innebærer blant annet at hver enkelt behandling av personopplysninger må underbygges av et rettslig grunnlag for å være lovlig. Hvis behandlingen utføres uten grunnlag i et av de juridiske grunnlagene i GDPR, er behandlingen ulovlig.
Det er totalt seks (6) rettslige grunnlag, som er fastsatt i artikkel 6 i GDPR. Følgende er en beskrivelse av de fire (4) rettslige grunnlagene som oftest brukes av foreninger for behandling av personopplysninger:
Kontrakter med registrerte personer
Det er vanlig at foreninger må behandle visse personopplysninger for å kunne inngå og oppfylle kontrakten mellom foreningen og medlemmet. Foreningen skal ikke behandle flere personopplysninger enn det som er nødvendig for at den enkelte skal bli medlem. Hvis foreningen ønsker å behandle de samme eller/og andre personopplysninger for et annet formål, trenger foreningen også et rettslig grunnlag for videre behandling.
Juridisk forpliktelse
I noen tilfeller kan det hende at en tilknytning må behandle personopplysninger fordi noen lover eller forskrifter krever at den gjør det. For eksempel, i noen land, kan økonomiske foreninger trenger å opprettholde en liste over medlemmer. I slike tilfeller utføres behandlingen av personopplysningene for å overholde en juridisk forpliktelse som foreningen er underlagt.
Samtykke
En forening kan behandle visse personopplysninger på grunnlag av det juridiske grunnlaget for samtykke. Det vil si et medlems aktive, informerte, utvetydige, spesifikke og frivillige samtykke til foreningens behandling av hans eller hennes personopplysninger for et bestemt og spesifisert formål. Hvis det rettslige grunnlaget er samtykke, er det ikke tillatt å inkludere det i vilkårene i kontrakten som krever medlemmets samtykke for å kunne godta vilkårene i kontrakten. Det finnes klare regler for hvordan gyldig samtykke skal gis.
Berettiget interesse
Foreninger kan ha en berettiget interesse av å behandle noen av medlemmenes personopplysninger. For eksempel, hvis det er nødvendig å ha kameraovervåking i et rom som tilhører en økonomisk forening og inneholder verdisaker. Berettiget interesse betyr at den behandlingsansvarlige, dvs. foreningen, anser at deres interesse overstyrer de registrertes rettigheter og friheter. Behandling av personopplysninger ved hjelp av kameraovervåking må imidlertid være nødvendig for å oppnå formålet.
Er det tillatt for en forening å publisere sitt medlemsregister på nettet?
En forening kan bare publisere sitt medlemsregister på nettet på grunnlag av et rettslig grunnlag i henhold til GDPR. Dette kan for eksempel gjøres med samtykke fra det respektive medlemmet. På den annen side er det vanlig at noen medlemmer ikke ønsker at deres telefonnumre, adresser eller andre personopplysninger skal gjøres offentlig tilgjengelig på internett.
Fritt og aktivt samtykke
I de fleste tilfeller er FMA-medlemmer pålagt å først aktivt og frivillig samtykke til at deres personopplysninger blir publisert online. I slike tilfeller må foreningen først be om tillatelse til å utføre slik publisering. Selv om et annet rettslig grunnlag kan gjelde for foreningen til å publisere sitt medlemsregister på nettet, anbefales det å først be om godkjenning av sine medlemmer. Dersom personopplysningene gjelder et barn, må samtykket gis av barnets verge, selv om barnet har gitt sitt samtykke.
Kan en forening sende sitt medlemsregister til andre medlemmer eller personer via e-post?
Hvis FMA sender ut sitt medlemsregister via e-post, utgjør dette en deling av personopplysninger, som utgjør behandling. Slik behandling må være basert på et rettslig grunnlag i GDPR for å være lovlig og lovlig. For eksempel kan det være basert på samtykke fra medlemmene.
På den annen side er det viktig å huske på at det kan være noen medlemmer som av ulike grunner ikke ønsker at deres personopplysninger skal spres til andre medlemmer eller personer via e-post. For eksempel kan et medlem ha et hemmelig telefonnummer eller en beskyttet bostedsadresse.
Er en forening forpliktet til å utlevere opplysninger om ett medlem til et annet?
Hvis foreningen ikke er underlagt lovgivning som krever at medlemslisten skal være tilgjengelig for de som ønsker å konsultere den, er foreningen ikke pålagt å offentliggjøre sitt medlemsregister. På den annen side har et medlem alltid rett til å motta en kopi av sine egne personopplysninger behandlet av foreningen, men ikke av andre medlemmer eller personer. Denne retten stammer fra den registrertes rett til innsyn i henhold til artikkel 15 i GDPR.
Mer informasjon om GDPR
Behandling av personopplysninger i skoler og barnehager
Behandling av personopplysninger i skoler og barnehager skjer regelmessig. For eksempel i sammenheng med digital undervisning, oppmøtelister, karakterutskrifter og personlige utviklingsplaner. Det er skolen eller barnehagen selv som utfører rollen som behandlingsansvarlig under GDPR, ikke rektor, lærer eller annet personale. På den annen side er det viktig at personalet overholder GDPR i praksis ved behandling av elevers personopplysninger. Personopplysninger om barn er spesielt verdig beskyttelse i henhold til GDPR.