NYTT FRA LMK
07/2020
Om personvern, GDPR og praktisk håndtering i klubbene.
LMK opplever at det hersker mye usikkerhet rundt hva innføringen av GDPR-direktivet sommeren 2018 faktisk innebærer for driften i klubb og deres håndtering av medlemsopplysninger. GDPR har blitt innført i samtlige EU/EØS-land, og i mange land har praksisen fra tidligere rundt personopplysninger vært langt strengere enn hva vi er vant med i Norge. Mange av oss har derfor ikke full oversikt over hva som er personopplysninger og at vi faktisk bryter bestemmelsene med den driftsformen vi alltid har hatt.
For å dykke litt dypere inn i problemstillingen, bør vi definere noen uttrykk:
1) Aktivt versus passivt samtykke.
GDPR-direktivet krever et aktivt samtykke for at noen kan innhente, lagre og bruke personopplysninger. Et passivt samtykke hvor man tidligere har informert om hvordan opplysningene blir håndtert hvor kun de som har reservert seg ikke blir utlevert, er det ikke lenger adgang til. Den enkelte må personlig avgi et samtykke. Oppstår et nytt forhold på siden av det man opprinnelig innhentet samtykke til, må nytt samtykke innhentes.
2) Hva regnes som personopplysninger?
Det kan ofte være vanskelig å definere hva som er personopplysninger. Forhold som navn og bosted kan være nokså uskyldig, men derfor flere forhold koples sammen kan en totalitet gjøre at dette anses som sensitivt. For eksempel en medlemsmatrikkel som kanskje inneholder navn, adresse, alder, e-post, type kjøretøy og så videre.
3) Hva er min rett vedr. opplysninger andre har om meg?
Ingen kan lagre personopplysninger om andre uten at det foreligger et aktivt samtykke.
Opplysninger som er knyttet til ett medlemskap som ble inngått før GDPR ble innført og som fortsatt er aktivt anses som at det foreligger ett aktivt samtykke for lagring. For deling av personopplysninger med andre må det foreligge et aktivt samtykke, se punkt 5.
Alle personopplysninger må også slettes når formålet med disse har bortfalt. For en klubb kan dette gjelde utmeldte eller avdøde medlemmer. Er formålet med en videre lagring begrunnet ut i fra et historisk øyemed, må opplysningene anonymiseres slik at identifikasjon ikke lenger er mulig.
Opplysningene kan heller ikke deles med andre uten at dette fremkommer i samtykket som er gitt. Foreligger et samtykke må den som får opplysningene fra klubben ha tegnet en særskilt databehandleravtale med klubben hvor videre håndtering av opplysningene sikres.
Husk at et samtykke kan når som helst trekkes tilbake
4) Hvor lenge kan en klubb oppbevare personopplysninger?
Hovedregelen vil være så lenge medlemskapet løper, eller så lenge det enkelte medlem gir klubben samtykke til dette. Klubben skal også kun samle inn opplysninger som ivaretar formålet med innsamlingen. Opplysninger som ikke tjener formålet, skal slettes.
Medlemmet har også innsynsrett til å kunne korrigere eventuelle feilaktige opplysninger i klubbens registre.
5) Hvem kan klubben dele opplysninger med?
Klubben kan i praksis ikke dele medlemsopplysninger med noen, dersom det enkelte medlem ikke har gitt et aktivt samtykke til dette. Selv om en klubb har samarbeidspartnere, sponsorer etc., legitimerer ikke dette at personopplysninger blir utlevert til å brukes i salgs- og reklameøyemed. Selv om klubbene er tilsluttet LMK, har ikke klubben adgang til å sende oss medlemslister uten at hvert enkelt medlem har gitt et aktivt samtykke til dette.
Dette var også en utfordring vi i LMK støtte på da vi flyttet LMK-forsikringen tilbake til IF i 2018. Aktuelt lovverk gav oss ikke muligheten til å kontakte de enkelte medlemmene eller få ut lister over forsikringstakere fra vår tidligere samarbeidspartner. Derfor var vi avhengige av at det enkelte medlem selv kontaktet IF og flyttet sine forsikringer.
Oppsummering.
Regulering av personopplysninger blir stadig viktigere i vårt digitale samfunn. Konsekvensene ved brudd blir også langt mer alvorlige. Det er derfor viktig av vi som klubborganisasjon informerer litt om hvilke plikter og rettigheter vi har. Dette for å sikre at vår drift er i tråd med aktuelt regelverk.
LMK bistår dere gjerne med å sjekke ut om deres praksis er i tråd med de nye bestemmelsene.
Med vennlig hilsen
Stein Christian Husby
Generalsekretær LMK