GDPR

I juli 2018 ble GDPR og ny personvernlov innført i Norge. GDPR-forordningen skal omfavne den teknologiske utviklingen som har skjedd, samt ta høyde for den utviklingen som vil skje i fremtiden. Under finner du noen lenker til relevante ressurser og informasjon og opplysninger om den nye ordningen.

Hva er GDPR?

GDPR står for General Data Protection Regulation, på norsk personvernforordning. Det er et regelverk som regulerer alle virksomheters bruk av personopplysninger. Det vil si opplysninger som omhandler fysiske personer.

Det er ikke så store endringer fra den tidligere personopplysningsloven. Problemet med den, er at mange virksomhet ikke hadde god nok kjennskap til kravene og derfor ikke håndhevet dem korrekt. For det andre ser man nye behov når det kommer til personvern i dag enn man gjorde for bare få år siden. Digitaliseringen vi har sett de siste 20 årene gjør det det eksisterende personverndirektivet er teknisk udatert.

GDPR tar sikte på å omfavne den teknologiske utviklingen som har skjedd, samt den utviklingen som vil skje i fremtiden. Det nye regelverket skal gi folk visse rettigheter. Enkeltpersoner skal for eksempel kunne vite hvem som har hvilke opplysninger om dem.

Opplysninger hentet fra Synlighetsbloggen, les hele artikkelen her.

Den nye bransjenormen (atferdsnormen)

Norges Innsamlingsråd har oppdatert «Bransjenorm for frivillige organisasjoners behandling av personopplysninger», slik at den er i tråd med de nye bestemmelsene. Her finner du all informasjon om hvordan GDPR og den nye personopplysningsloven skal tolkes og brukes i frivillige organisasjoner.

Den nye bransjenormen er oversendt Datatilsynet for offisiell godkjennelse, men på grunn av stor pågang er det ikke ventet noe endelig vedtak før årsskiftet 2018/2019. Inntil videre er normen derfor ikke å anse som en bindende lov, men den er like fullt bransjen egen veiledning for hva som er godt personvern i vår sektor.

Her kan du lese mer om bransjenormen.

Hva bør dere gjøre nå?

1. Start med en oversikt over hvilke personopplysninger dere behandler

Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er formålet og det rettslige grunnlaget for behandlingen. Alle må ha rutiner for sletting av personopplysninger når formålet med registreringen er oppfylt.

2. Sett dere inn i det nye regelverket

Norges Innsamlingsråd har fått utarbeidet en ny e-læringsplattform som kurser deg gjennom bransjenormen. Ved kjøp av lisens kan du komme på kurs der du får prøvd deg på praktiske oppgaver. Etter kurset får du tilgang til en e-læringsplattform slik at du i ro og mak kan sette deg inn i alle deler av regelverket i ettertid.

Datatilsynet har gode informasjonssider og praktiske veiledere om det nye regelverket. Her er noen eksempler:

De fire vanligste spørsmålene fra frivillige organisasjoner

Q: Må vi ha samtykke fra giverne for å kontakte dem?

A: Nei. Det er i praksis ingen endringer fra den forrige loven. Samtykke er et av flere rettslige grunnlag for å lagre og bruke opplysninger til å kontakte en giver. De mest vanlige hjemlene i en frivillig organisasjon «å oppfylle en avtale med giver/medlem» eller at organisasjonen har «berettiget interesse» i å fremme sitt ideelle formål. Disse hjemlene finnes i GDPR artikkel 6, punkt 1.

Q: Må vi innhente nye samtykker?

A: Nei. Det er ikke nødvendig å innhente nye samtykker etter at GDPR ble innført dersom samtykkene man allerede har er gitt frivillig og er tydelige.

Q: Kan vi kontakte på nytt en person som bare har gitt en gang?

A: Det kommer an på hvilken informasjon som er gitt til den registrerte i forkant. Organisasjonen KAN ha hjemmel i GDPR artikkel 6, punkt 1f ved at den har en berettiget interesse i å fremme sitt ideelle formål, men det krever at informasjonsplikten overfor giveren er overholdt og at det er gjort en vurdering av om en ny henvendelse er i samsvar med giverens forventning. For mer utdypende informasjon, se vedlegg 7 til bransjenormen.

Q: Når må vi slette en giver?

A: Den generelle anbefalingen for frivillige organisasjoner er at en giver må slettes når den har vært passiv i tre år med mindre den registrerte har gitt samtykke til å for eksempel motta informasjon. Se bransjenormen for mer utdypende svar.