Vi vil her gi svar på de vanligste spørsmålene i forbindelse med personvernforordningen GDPR, og hvordan Norges speiderforbund sentralt, korps, kretser og grupper skal forholde seg til den.
Hva er GDPR?
GDPR, (eller General Data Protection Regulation) er EUs nye personvernforordning.
Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.
Hva er en personopplysning?
GDPR definerer “personopplysning” som enhver opplysning som kan knyttes til en fysisk person. Eksempel på personopplysninger er navn, adresse, bilder og sporing fra nettsider.
Hvem er ansvarlig for behandlingen av personopplysninger?
Det er den juridiske personen som bestemmer behandlingen, og hvordan den skal gjøres.
I noen tilfeller kan det være et felles ansvar. Et eksempel på det er personopplysninger i medlemssystemet Min speiding, hvor ansvaret kan være felles for Norges speiderforbund og den enkelte speidergruppe, som da er de juridiske enhetene, avhengig av hva slags databehandling som foretas.
I de tilfeller hvor den enkelte speidergruppe behandler personopplysninger i medlemssystemet, eller i andre kilder, og uten at det skjer i fellesskap med Norges speiderforbund sentralt, vil speidergruppa være ansvarlig for behandlingen av personopplysninger.
Om det for eksempel arrangeres en lokal haik eller en leir, og påmeldingen ikke skjer via medlemssystemet Min speiding, vil speidergruppa selv måtte passe på å oppfylle kravene for databehandling iht GDPR.
Hvordan påvirker GDPR Norges speiderforbund som organisasjon?
Den største forskjellen sammenliknet med nåværende regelverk, er at vi som organisasjon må definere enda tydeligere hvordan og hvorfor vi håndterer og behandler personopplysninger. Det gjelder både lokalt i speidergruppa og sentralt i Norges speiderforbund. Vi kan ikke samle inn og behandle informasjon (personopplysninger) som ikke er nødvendige for organisasjonen. Det må være tydelig for dem vi ber om opplysninger fra at vi samler inn slik informasjon, hvilke opplysninger vi behandler, og hvorfor vi gjør det.
Hvordan behandler vi personopplysninger i Norges speiderforbund?
For å behandle personopplysninger kreves det en rettslig grunn. Til en viss grad kan dette variere, avhengig av type behandling.
I det daglige arbeidet håndteres databehandlingen iht “avtalen” eller “berettiget interesse” som rettslig grunn. Betaling av medlemskontingenten regnes som en handling for å bekrefte medlemskapet som avtale.
Personopplysningene i Norges speiderforbund behandles i hovedsak i medlemssystemet Min speiding, slik at avtalen om medlemskap kan oppfylles. Det er viktig å huske på at det kun er nødvendig informasjon som skal behandles, og at det må tydeliggjøres i avtalen hva opplysningene skal brukes til og hvordan de blir behandlet.
Det kan bety at vi må “dele opp” innsamlingen av opplysninger, basert på behovet. For eksempel er det nødvendig å be om opplysninger om allergier for å arrangere en leir, men det er ikke nødvendig for å være medlem, og skal dermed ikke lagres på medlemsnivå, kun i forbindelse med den enkelte leiren, og slettes etter bruk.
Er medlemssystemet Min speiding “GDPR-sikkert”?
Norges speiderforbund har rettslig grunn (se forrige spørsmål) til å lagre personopplysninger. Alle nye medlemmer vil få informasjon i e-posten de får umiddelbart etter at medlemskapet er registrert.
Vi anbefaler sterkt at det er medlemmet selv, eller medlemmets foresatt, som registrerer opplysningene. Dette er nå mulig i det elektroniske innmeldingsskjemaet du finner på gruppas side i Min speiding under fanen for API/hjelpeverktøy og “Innstillinger for offentlig registrering”. Her finner du også en veiledning for hvordan du setter opp og bruker det offentlige elektroniske innmeldingsskjemaet.
I medlemssystemet Min speiding kan medlemmene også selv oppdatere opplysninger og samtykker.
Her finner du også en veiledning for hvordan du oppdaterer samtykker på din bruker.
Det er viktig at vi ikke benytter fritekstfeltene i Min speiding til “kreativ” registrering av opplysninger. Vi har kun tillatelse til å registrere opplysninger som er nødvendige for å opprette profilen.
Kan jeg som leder ha en utskrift av en medlemsliste i min perm?
Ja, men det er ditt ansvar å påse at listen håndteres på rett måte. En liste på papir omfattes også av GDPR. Listen skal kun inneholde nødvendige opplysninger. Du skal ikke gi andre tilgang til listen, og du må oppbevare den på en måte som sikrer at uvedkommende ikke får tilgang til listen. Når du ikke lenger har behov for listen, må du sørge for at den makuleres på en god måte, slik at den ikke havner på avveie.
Hva skal gruppene gjøre med påmeldinger til lokale leire og andre arrangement?
Min speiding har en arrangementsmodul som kan håndtere påmeldinger til arrangement.
Arrangementsmodulen har lenge blitt brukt til nasjonale arrangementer, kurs og leirer og er ikke helt tilpasset for mindre arrangement per i dag. Vi jobber med å forbedre dette. Målet er at arrangementsmodulen i Min speiding skal være et godt verktøy for å støtte administrasjon av lokale arrangement på en enkel måte som oppfyller kravene i GDPR. Frem til dette er på plass er det viktig å tenke på at helseinformasjon om for eksempel allergier regnes som særskilt sensitive personopplysninger. Slike opplysninger håndteres med ekstra forsiktighet og kun i forbindelse med spesifikke arrangementer. I tilretteleggingen av arrangementsmodulen vil det finnes støtte for automatisk sletting av slike opplysninger etter avsluttet arrangement.
Frem til dette er på plass i Min speiding, anbefaler vi at gruppa innhenter samtykke fra foresatte i forbindelse med at deltakere melder seg på deres arrangement.
Lag gode rutiner for hvordan dere håndterer personopplysninger lokalt og for hvordan disse slettes etter arrangementer. Det er spesielt viktig i forbindelse med registrering av sensitive opplysninger, for eksempel helseopplysninger.
OBS! Helseopplysninger skal aldri legges inn i den vanlige medlemsprofilen i Min speiding.
Hvis en speiderleder får en e-post som informerer om barnets personopplsyninger av en speiders foresatt, vil det omfattes av GDPR?
Svaret er ja. Alle personopplysninger omfattes av GDPR og må behandles deretter. GDPR omfatter også personopplysninger i e-post, som inngår i det som kalles ustrukturerte data.
Det innebærer at når barnets personopplysninger er registrert, for eksempel i medlemssystemet Min speiding, finnes det ingen gyldig grunn til å lagre e-posten. Den skal og da slettes.
Vær oppmerksom på at mange nett-baserte e-postløsninger (som Gmail) skiller mellom å arkivere og slette e-poster. Det er din og din speidergruppes ansvar å forstå hvordan ditt e-postprogram fungerer, og sørge for at e-poster med personopplysninger faktisk slettes når de skal.
Lag gode og enkle rutiner, og være ekstra oppmerksomme på at sensitive personopplysninger som gjelder for eksempel helse må håndteres med ekstra varsomhet.
Speidergruppa har en nettside der speiderledere er identifisert med navn, e-post, telefonnummer og bilde. Hvordan skal vi håndtere det?
Det enkleste er å håndtere det med et skriftlig samtykke fra de lederne som presenteres på nettsiden.
Du skal kunne være speiderleder uten at informasjon om deg automatisk publiseres på en nettside.
Det samme gjelder for deltakere på arrangementer o.l. Deltakerlister skal ikke publiseres på nettsider uten at det er gitt eksplisitt samtykke til dette. Det er ikke nødvendig å publisere navn på deltakere på en åpen nettside, derfor bør dette unngås, selv om man innhenter samtykke.
På speidergruppas nettsider og i annet materiell brukes det bilder av lekende barn. Kan vi bruke disse?
I utgangspunktet må personene på bildene være identifiserbare for at slik bruk skal omfattes av GDPR. Om personene er identifiserbare, innhentes samtykke fra personene. Bilder av barn under 15 år skal bare publiseres med samtykke fra barnets foreldre/foresatte. Bruk av et oversiktsbilde av speidere i aktivitet, vil dermed ikke kreve samtykke fra alle de avbildede. Tenk på at bilder som viser nærbilde av selve aktiviteten, uten at ansiktene vises, også kan være veldig effektfulle.
Oppfordre også medlemmene til å gå inn på sin profil i medlemssystemet Min speiding, for å oppdatere sine samtykker, slik at vi har god kontroll på samtykkene.
Bilder skal behandles som andre personopplysninger. Man skal ikke ta, eller oppbevare bilder uten samtykke. Bilder som det er gitt samtykke for skal uansett slettes dersom samtykket trekkes tilbake. Vis ekstra aktsomhet om det er barn og unge det tas bilde av.
Vi har en liste som viser hvem som har vært ledere i gruppa vår de siste 50 år. Kan vi ta vare på den?
I utgangspunktet er svaret “nei”, hvis det gjelder levende personer som ikke lenger er medlemmer. Om de er medlemmer, vil de allerede ligge i medlemsregisteret, og da er det ikke behov for en ekstra oppføring.
Vår speidergruppe bruker vårt eget system for håndtering av medlemmer. Dette ligger utenfor medlemssystemet Min speiding. Hva gjelder da?
Om speidergruppa (eller kretsen) bruker et annet system, er speidergruppa fullt ansvarlig for at GDPR-kravene oppfylles. Det vil blant annet bety at gruppa må sikre at det finnes en rettslig grunn til at behandlingen foregår i systemet, og at gruppa har gode rutiner for å slette informasjon som ikke er påkrevet. Dette må dokumenteres. Om det er et system som behandler personopplysninger eksternt, må det etableres en databehandleravtale. Mal for databehandleravtale kan lastes ned fra Datatilsynets nettsider.
Om speidergruppa selv bestemmer hvordan og når data behandles, er det gruppa selv som har ansvar for å oppfylle kravene i GDPR.
Hva kan speidergruppa gjøre når det gjelder GDPR?
Lag gjerne en analyse eller oversikt over
- hvordan dere håndterer personopplysninger,
- hvilke opplysninger som behandles,
- i hvilke system dere registrerer og behandler dere dataene, og
- hvordan dere sletter informasjon dere ikke lenger har bruk for.
Er det noen områder dere mener innebærer høyere risiko enn andre når det gjelder personvern, begynn med dette først.
Lag enkle rutiner, og del informasjonen med ledere og andre i gruppa. Bruk gjerne samtykketekster o.l som dere finner i medlemssystemet Min speiding.
Hvordan melder vi om avvik?
Avvik meldes umiddelbart til forbundskontoret på nsf@speding.no eller på telefon 22 99 22 30.
Beskriv avviket så godt det lar seg gjøre:
- hovedårsak
- tidsrom
- når ble avviket oppdaget
- antall berørte personer
- beskrivelse av hva som har skjedd
- hvordan avviket oppstod
- beskrivelse av hva slags type personopplysninger som ble berørt
- hvilken relasjon virksomheten har til de berørte personene
- beskrivelse av hvor personopplysningene befinner seg etter avviket
Basert på informasjonen som er gitt vil forbundskontoret eventuelt varsle Datatilsynet.
