Personvern i stiftelser
Det er mye snakk om GDPR og personvern, og sitter du i et styre i en stiftelse har du ansvar for at personvernreglene blir fulgt. Det kan virke overveldende, men det kan godt være at dere har mye på plass allerede.
Sommeren 2018 fikk vi ny personopplysningslov i Norge, som følge av at det ble vedtatt en ny personvernforordning i EU. Dette lovverket blir på folkemunne kalt GDPR (som står for General Data Protection Regulation).
Har stiftelsen ansatte? Da blir personopplysninger behandlet. Behandler stiftelsen søknader om støtte? Da blir personopplysninger behandlet. Mottar stiftelsen donasjoner? Da blir personopplysninger behandlet. Har stiftelsen kontakt med personer utenfor stiftelsen, som revisor, aktuelle samarbeidspartnere, statlige etater, representanter fra næringslivet, etc.? Da blir personopplysninger behandlet.
Det er Datatilsynet sin oppgave å overvåke at personopplysningsloven blir fulgt, men vi ser at stiftelser har behov for litt veiledning fra oss om hvordan man skal komme i gang med arbeidet og få på plass gode rutiner.
Å avklare dette kan være en god start:
- Hvorfor behandler vi personopplysninger?
- Hvordan behandler vi opplysningene?
- Har vi hjemmel (behandlingsgrunnlag) for å behandle de opplysningene vi gjør?
- Er det andre som behandler personopplysninger på vegne av stiftelsen, og foreligger det en databehandleravtale i disse tilfellene?
- Hvilke lovbestemte plikter har vi ved behandlingen?
- Hvordan skal vi sørge for at vi oppfyller pliktene?
Styret i stiftelsen bør blant annet utarbeide rutiner, planer og retningslinjer for behandling av personopplysninger. Du skal for eksempel ha oversikt over hvor du har personopplysninger, og rutiner for sletting av disse. Dere skal også ha en personvernerklæring tilgjengelig for brukerne. For små stiftelser vil det ikke være snakk om å implementere nye store system, men å ha god nok oversikt og enklere rutiner.
Store variasjoner
For blant de ca. 6600 aktive stiftelsene i Norge i 2019 er det store variasjoner i både størrelse og type formål.
Alle stiftelser behandler personopplysninger, men i svært varierende grad. Der noen stiftelser har mange ansatte og mange utenforstående aktører og søkere, har andre stiftelser ingen ansatte og mottar et fåtall søknader i året.
I dette ligger at det vil variere fra stiftelse til stiftelse hvilke type behandling av personopplysninger det er snakk om, og i hvilken skala dette blir gjort. Alle deler av GDPR vil ikke være like relevante for alle stiftelser. Mange av kravene er risikobaserte. Det må være sammenheng mellom hvilke tiltak som skal settes i verk og hvilke risikoer den enkelte stiftelse står overfor. Derfor er det viktig at stiftelsene kommer frem til hvilke GDPR- krav som gjelder for stiftelsen, og hvilke tiltak som må settes i verk for å overholde disse kravene.
Les hva rutinene må inneholde på datatilsynet.no.
Regelverket
Personopplysningsloven innlemmer EU sin forordning for personvern (GDPR). Denne loven stiller krav til at alle virksomheter som behandler personopplysninger, også stiftelser, kan dokumentere at de etterlever GDPR- kravene.
Personvern er et viktig ideal å sikre. Når stiftelser behandler personopplysninger, blir viktige verdier forvaltet. En personopplysning er en opplysning eller vurdering som kan knyttes til en enkeltperson.
Eksempler på personopplysninger er:
- Navn
- Adresse
- Epost
- Bilde
- Bilnummer
Behandling av personopplysninger skjer når opplysningene blir brukt, til dømes ved innsamling, registrering, sammenstilling, lagring eller utlevering.
For å kunne behandle personopplysninger må man kunne vise til et behandlingsgrunnlag, altså at man har en lovlig grunn til å bruke dem. Dette kan for eksempel være at man har fått samtykke eller har lovhjemmel til å samle og bruke opplysningene
Det nye personvernregelverket er ikke så mye strengere enn det som allerede har vært gjeldende i Norge i lang tid, men det nye regelverket har ført til at personvern har fått mer oppmerksomhet.
Likevel, det nye personvernregelverket stiller strengere krav enn tidligere til at man kan dokumentere at man har orden i eget hus; at det finnes rutiner og retningslinjer for å sikre at personopplysninger blir behandlet på en skikkelig måte. Kanskje finnes disse rutinene allerede i kontorskuffen til stiftelsen? Eller i hodet på et styremedlem, slik at det enkelt kan nedfelles på papir?
Hva er styret sitt ansvar?
Hver stiftelse er ansvarlig for at reglene i personopplysningsregelverket blir fulgt. I personvernregelverket er det den behandlingsansvarlige som har plikten og det øverste ansvaret for dette. Den behandlingsansvarlige er en «fysisk eller juridisk person» som «alene eller sammen med andre bestemmer formålet med behandlingen», jf. GDPR artikkel 4 nr. 7.
Fordi styret er stiftelsen sin øverste ledelse er det styret som har det øverste ansvaret. Man kan delegere arbeidet med å lage rutiner og få på plass system, men styret har like fullt det overordnede ansvaret. Dersom andre behandler personopplysninger på oppdrag fra stiftelsen, må det foreligge en databehandleravtale mellom stiftelsen og databehandleren.
Å prioritere kontrollaktiviteter gir tillit. Det kan gjøre stiftelsen mindre sårbar, og sikre forsvarlige interne kontrollrutiner. Å etterleve kravene som skal sikre personvernet gir også godt omdømme og forsvarlig drift.
Det er viktig at stiftelsen sitt styre, på same måte som ved forvaltningen av stiftelsen ellers, tar en aktiv rolle for å sikre at stiftelsen følger personvernregelverket.
Behov for mer informasjon?
For nærmere veiledning rundt pliktene stiftelsen har og hvilke retter de du registrerer har: