Hovedinntrykket etter medlemsmøtet om ny personvernforordning er at GDPR ikke er så farlig som mange har trodd, sier nestleder i styret og innsamlingsleder i Norges Blindeforbund, Leif Wien Jensen. Datatilsynet oppsummerte det godt med å si at «Dersom dere har det meste i orden innenfor dagens personopplysningslov, så er det ikke så store endringer med den nye forordningen». Jeg tror vi kan avblåse GDPR-panikken som mange har følt på den siste tiden. De som følger dagens bransjenorm vil for det alt vesentlige kunne fortsette som før, sier Leif.

Samtykke fra alle – ikke nødvendig

Noen organisasjoner har forberedt seg på å innhente samtykke fra alle givere før 25. mai 2018. Men det er ikke noen endringer på dette området, og det ligger ikke an til at vi må ha samtykke fra alle vi kontakter etter at forordningen trer i kraft. Samtykke er bare ett av flere, mulige behandlingsgrunnlag for å kontakte en giver. Våre grunnlag finner man i forordringens Artikkel 6, punkt 1 – særlig 1a) og 1 f). Dette er en videreføring av dagens personopplysningslov § 8 a og f. Det betyr at vi kan kontakte sporadiske givere på samme måte som før. Slik vi vurderer dette er samtykke kun nødvendig når man vil kontakte givere som ikke har eksisterende kundeforhold eller som ikke har gitt økonomisk bidrag siste tre år og er reservert mot henvendelser. Slik er det i dag også.

Det er heller ikke spesielle endringer når det gjelder krav om å slette givere når formålet med behandlingen er avsluttet. Vi legger til grunn at slettereglene blir de samme som vi følger i bransjenormen i dag. Vi kan ikke se at det er innstramminger når det gjelder innhenting og oppbevaring av fødselsnummer.

Mitt inntrykk er at organisasjonene er flinke til å følge dagens personopplysningslov. Derimot tror jeg mange har mye ugjort når det gjelder den skriftlige dokumentasjonen av rutiner og av de vurderinger som er gjort internt i organisasjonen. Her kan det ligge mye arbeid, men dette skulle vært gjort også med dagens lov, sier Leif.

Revidering av Bransjenormen

Vi arbeider nå med å oppdatere bransjenormen for frivillig sektor. Det er mye som må skrives om, men de reelle endringen er altså ikke så dramatiske som enkelte konsulent- og revisjonsfirmaer har skapt inntrykk av i sine GDPR-seminarer de siste månedene.

Leif Wien Jensen oppfordrer alle organisasjoner til å sende en mail til Innsamlingsrådet dersom det dukker opp spesielle problemer i arbeidet med å tilpasse seg den nye loven, slik at dette kan bli med i arbeidet med å oppdatere bransjenormen. Normen skal godkjennes av Datatilsynet, men den formelle godkjenningen kan ikke skje før etter 25. mai neste år. Lenge før den tid må vi ha blitt enige om hvilke vurderinger vi gjør felles for bransjen, for eksempel om når en giver som ikke lenger er aktiv må slettes fra registeret.

Må alle ha Personvernrådgiver?

Det er heller ikke riktig at alle organisasjoner må ha egen personvernrådgiver, slik flere har fått inntrykk av. Men kanskje er det en god ide at organisasjonene går sammen om å finansiere en personvernrådgiver gjennom Norges Innsamlingsråd – en person som alle organisasjoner og våre givere kan henvende seg til, spør Leif.

Nyttige lenker

Her er lenke til personvernforordningen: https://www.regjeringen.no/contentassets/c907cd2776264a6486b8dd3ee00a4e3d/uoffisiell-norsk-oversettelse-av-personvernforordningen.pdf

Her er lenke til høringsnotatet fra regjeringen der de utdyper enkelte punkter i forordningen: https://www.regjeringen.no/contentassets/c907cd2776264a6486b8dd3ee00a4e3d/horingsnotat–ny-personopplysningslov–gjennomforing-av-personvernforordningen-i-norsk-rett.pdf