Den 25. mai 2018 trådte EUs nye personvernforordning i kraft i Norge. GDPR, som står for General Data Protection Regulation er en ny forordning som tok over for den tidligere Personopplysningsloven. GDPR vil gjelde for alle virksomheter i alle land i EU.

En personopplysning er enhver opplysning som kan knyttes til en fysisk person. Dette gjelder blant annet navn, alder, e-post adresse, postadresse og bilder. En sensitiv personopplysning er opplysninger om en persons helse, religiøs tilknytning, politisk tilknytning, seksuell legning eller et fagforeningsmedlemskap. Sensitive personopplysninger har strengere krav til behandling og oppbevaring enn det vanlige personopplysninger har.

Et samtykke må alltid foreligge før man bruker en personopplysning til noe. Samtykket skal være en frivillig, spesifikk og utvetydig erklæring om at den registrerte aksepterer behandlingen som blir gjort av personopplysningene.

Organisasjonen som håndterer personopplysningene er behandlingsansvarlig. Den nye forordningen gir flere rettigheter til forbrukeren og flere plikter for organisasjonen. Kort oppsummert innebærer dette at alle som jobber, er tillitsvalgte eller frivillige i en organisasjon og som håndterer personopplysninger, må forholde seg til flere regler for håndtering av personopplysninger.

Hovedregelen er at foreninger bare skal behandle opplysninger som er nødvendige og relevante for å administrere medlemskapet.

Hva betyr dette for NKA og medlemmer i bevegelsen?

Personvern handler om retten til å ha et privatliv og retten til å bestemme over egne personopplysninger. For medlemsakademiene og NKA sentralt betyr dette at vi må ha rutiner for å innhente samtykke for de persondataene vi behandler og må ha en oversikt over alle persondataene vi behandler.

Det må lages rutiner for innhenting av samtykke. For de akademiene som har et medlemsregister, er det naturlig at dette skjer i møte med medlemmene. For eksempel vil en digital utsendelse til alle medlemmer kunne inneholde et samtykkeskjema.

Et samtykke gjelder til det blir trukket tilbake. Man kan også gi samtykke som gjelder for en viss periode. I slike tilfeller gjelder ikke samtykket når perioden er over.

Datatilsynet påpeker at den som melder seg inn som medlem i en forening som hovedregel skal bli bedt om å gi samtykke til registrering og behandling av personopplysninger. Dette gjelder også informasjon om foreningens bruk og lagring av opplysningene.

I en samtykkeerklæring må det gis tilstrekkelig med informasjon om hva som skal gjøres med personopplysningene til den det angår.

Forslag til samtykkeskjema til bruk i Norske kirkeakademier

Her finner dere forslag til skjema som kan brukes til innhenting av samtykke i medlemsakademiene. Skjemaet kan tilpasses til det enkelte akademis behov, og det er frivillig om det enkelte akademi ønsker å benytte seg av det. Sekretariat anbefaler imidlertid at medlemsakademiene sender skjemaet til sine medlemmer.

Samtykkeskjema (PDF)
Samtykkeskjema (Word)

Ofte har akademiene lister over medlemmer, deres adresser og kontonummer. Den som håndterer personopplysninger bør underskrive en taushetserklæring. Akademiene må drøfte hvem som har tilgang til medlemsregisteret. Prinsippet bør være at kun de som trenger tilgang, får tilgang og kun til de personopplysningene vedkommende trenger. Listene må slettes/makuleres så snart de ikke er i bruk.

Sensitive opplysninger bør ikke sendes på e-post. Om nødvendig bør man sende dem som vedlegg i form av lenke. Når personnummer skal sendes på e-post, bør det deles i to, og hver del sendes i en separat e-post. Når man sender ut mail til mange, er det viktig å bruke Bcc (Blind copy eller blindkopi). Gjør man ikke det, sender man i realiteten ut for eksempel hele medlemslister til alle mottakerne. I tillegg er slike eposter lett hack-bare med de konsekvenser det måtte innebære.

Lister med sensitive opplysninger må oppbevares i låsbare skap. Det skal ikke samles inn flere personopplysninger enn nødvendig. Opplysningene som lagres om en person må være riktige og oppdaterte.

Tilleggsformulering i statuttene

De fleste medlemsakademiene opererer med medlemmer av akademiet. For akademier med medlemslister, kan det være lurt å ta en bestemmelse om personvern inn i statuttene.

Forslag til ekstra paragrafer som kan føyes til i medlemsakadeiers statutter (må vetas av årsmøtet i det enkelte akademi):

1. XX kirkeakademi sender sine medlemmer samtykkeskjema for personvernsopplysninger

2. XX kirkeakademi registrerer følgende personopplysninger om sine medlemmer: Navn, adresse, mobil-/telefonnummer, epost-adresse, og deler vanligvis ikke disse opplysningene med noen.

3. Hvis et medlem ønsker at personopplysninger ikke deles på noen som helst måte, meldes dette skriftlig til XX kirkeakademi.