GDPR for stiftelser
Det ha nå gått snart to år siden personopplysningsloven og EUs forordning (regelverk) for personvern - General Data Protection Regulation (GDPR) trådte i kraft i Norge. I løpet av denne tiden har mange virksomheter gjennomført tilpasninger til det nye regelverket, men fortsatt er det mange som ikke er i mål. Personvernlovgivningen gjelder også for stiftelser.
Avhengig av hva stiftelsen gjør og hvor stor den er, vil det kunne være forskjeller i hvor omfattende tilpasningen til GDPR må være. For stiftelser som behandler store mengder personopplysninger, og gjerne sensitive personopplysninger i tillegg, vil det være mer omfattende krav, enn i en mindre stiftelser om kun har noen få allmennyttige utdelinger i året.
Selv om stiftelsen ikke har alt på plass allerede, er det ikke for sent å komme i mål. Arbeidet med GDPR tilpasning er et løpende arbeid og det vil være behov for å foreta justeringer og gjennomganger minst hvert år.
Etabler gode rutiner for håndtering av personvernopplysningene
Det viktigste når en stiftelse skal tilpasse sin virksomhet til personvernlovgivingen er å skaffe seg oversikt. Oversikt over hvilke personopplysninger stiftelsen behandler og hvorfor, oversikt over hvilket rettslig grunnlag stiftelsen har for behandlingen og oversikt over hvordan stiftelsen lagrer og sikrer personopplysningene de behandler. En slik oversikt må utarbeides skriftlig og føres inn i en såkalt protokoll som blir et viktig verktøy i det videre personvernarbeidet. Det mest hensiktsmessige er å sette opp protokollen som en tabell eller et regneark.
Videre må stiftelsen etablere rutiner for håndtering, oppbevaring, sletting og utlevering av personopplysninger, og rutiner for å ivareta rettighetene til de personer - «de registrerte» - man behandler opplysninger om. Disse rutinene kan gjerne settes inn i et internkontrolldokument som gjør det enklere å etterprøve og dokumentere at stiftelsen behandler personopplysningene korrekt.
Behandling av personvernopplysninger
I arbeidet med kartlegging og utarbeidelse av rutiner og internkontroll må stiftelsen hele tiden gjøre vurderinger av sin behandling av personopplysninger. Det sentrale med personvernregelverket er å sikre at de registrertes rettigheter blir ivaretatt. I og med at det er stiftelsen som behandler personopplysningene er det også stiftelsens ansvar å sikre disse rettighetene.
Stiftelsen har kun anledning til å behandle personopplysninger som er nødvendig for det formålet personopplysningene har blitt innhentet for og som har et lovlig grunnlag. En søker, ansatt, eller leverandør må typisk opplyse om navn og kontaktdetaljer slik som telefon og epost. Det kan også være behov for å få fødselsdato og personnummer og kontoopplysninger. Disse opplysningene er vanlige personopplysninger som det kan være flere lovlige grunnlag for å innhente. Det mest vanlige er at stiftelsen må ha disse opplysningene for å kunne behandle søknaden fra søkeren, for å håndtere arbeidsavtalen eller for å kunne oppfylle avtaler med sine leverandører. Fra besøkende på stiftelsens hjemmesider, eller ved andre henvendelser fra personer utenfor stiftelsen vil stiftelsen gjerne ha en berettiget interesse i å innhente personopplysninger fra disse slik at man kan ha oversikt over hvem som har tatt kontakt. Dersom stiftelsen har behov for å innhente helseopplysninger eller opplysninger om etnisk opprinnelse, politisk oppfatning, religion eller fagforeningsmedlemskap vil dette være såkalte særlige kategorier personopplysninger som det normalt vil kreves samtykke for å behandle.
Når personopplysningene er innhentet må de behandles på en måte som rimelig sikrer at de til enhver tid er riktige og oppdaterte. Hva som er rimelig tiltak for å sikre dette vil kunne variere og må tilpasses den enkelte stiftelse.
Lagring og sletting av opplysninger
Personopplysninger skal ikke lagres lengre enn det er behov for at stiftelsen skal kunne oppfylle det formål personopplysningene ble innhentet for. Stiftelsen må gjøre en konkret vurdering av dette i hvert enkelt tilfelle. Personopplysninger knyttet til leverandører vil det typisk kunne være behov for å beholde inntil 3 år etter at leverandørforholdet er avsluttet for å sikre eventuelle krav og reklamasjoner. For ansatte vil det være forskjellige lagringsbehov for ulike opplysninger og om ansettelsesforholdet løper eller er avsluttet. Etter avsluttet ansettelse og oppgjør av forpliktelser vil det normalt ikke være behov for å beholde mer enn de helt grunnleggende opplysninger som navn, telefonnummer/epostadresse, periode ansatt, stillingskategori og eventuelt kurs- og sertifiseringer. Disse kan det imidlertid være grunnlag for å beholde i stiftelsens levetid. For søkere vil det i hvert fall være behov for å behandle personopplysningene til utdeling har skjedd, men også her kan det være grunnlag for lenge lagring. Uansett må det gjøres en konkret vurdering for alle typer opplysninger og grupper av registrerte i hver enkelt stiftelse.
For å sikre at personopplysningene blir behandlet korrekt og at de registrertes rettigheter blir ivaretatt må det gjennomføres enkelte tiltak både av teknisk og organisatorisk art. Dette innebærer litt forenklet at stiftelsen må ha systemer – normalt vil dette være programvareløsninger – som sikrer trygg lagring og sletting, og at stiftelsen må ha et bevisst forhold til hvem i stiftelsen som skal ha tilgang til og ansvar for å behandle de ulike personopplysningene.
Informasjon til de registrerte
Til slutt noen ord om informasjon til de registrerte. De fleste er kjent med utrykket «personvernerklæring» og har sett dette på ulike nettsteder de har besøkt. Noen har også sett dette i interne retningslinjer på arbeidsplasser, lag og foreninger. Etter personopplysningsregelverket er den som er ansvarlig for å behandle personopplysningene - i dette tilfellet stiftelsen - ansvarlig for å gi god informasjon til de registrerte om hvordan behandlingen skjer. Dette gjøres enklest ved å utarbeide en personvernerklæring som kan publiseres på nett eller internt i stiftelsen for den behandlingen som bare gjelder ansatte, styremedlemmer og andre som er tilknyttet stiftelsen.
Personvernerklæringen er i seg selv ikke mer enn en hensiktsmessig måte å gi lovpålagt informasjon til de registrerte på, og det er viktig å være klar over at den må vise hvilke tiltak som faktisk er gjennomført for at den skal ha noen betydning.
Dersom din stiftelse ikke er fullt ut i samsvar med personvernlovgivningen vil vi anbefale at dere tar kontakt med oss for en prat om hva vi kan hjelpe dere med. Mye av jobben må gjøres internt i stiftelsen, men vi har lang erfaring med å bistå med dette arbeidet for bedrifter og stiftelser.
Relaterte artikler
- Ræder Bing vant ny anbudskonkurranse fra DFØ
- Nye krav til stiftelsers navn
- Hva er det viktigste i forslag til ny ekomlov?
- Hvordan balansere ytringsfriheten mot retten til personvern?
- Hva kan leverandører lære av Nordlo-dommen?
- Prisen for ditt personvern ved bruk av sosiale medier
- Få orden på GDPR i din virksomhet
- Bruker virksomhetens hjemmeside Google Analytics?
- #verdensbesteunger – deling av bilder av barn på nett
- Dos and don´ts: Dronefotografering i film- og TV-produksjon
Relaterte fagområder
Ønsker du våre oppdateringer?
Ja, takk!
Vi i Ræder Bing brenner for faget vårt, og er levende opptatt av å dele kunnskap. Derfor vil vi oppdatere deg jevnlig med å sende siste faglige nytt samt invitasjoner til gratis seminarer. Fyll ut din kontaktinfo nedenfor og få tilsendt vårt nyhetsbrev.