Personvern i stiftelsar
Det er mykje snakk om GDPR og personvern, og sit du i eit styre i ein stiftelse har du ansvar for at personvernreglane blir følgde. Det kan verke overveldande, men det kan godt vere at de har mykje på plass allereie.
Sommaren 2018 fekk vi ny personopplysningslov i Noreg, som følgje av at det vart vedtatt ei ny personvernforordning i EU. Dette lovverket blir på folkemunne kalla GDPR (som står for General Data Protection Regulation).
Har stiftelsen tilsette? Då blir personopplysningar behandla. Behandlar stiftelsen søknader om støtte? Då blir personopplysningar behandla. Mottar stiftelsen donasjonar? Då blir personopplysningar behandla. Har stiftelsen kontakt med personar utanfor stiftelsen, som revisor, aktuelle samarbeidspartnarar, statlege etatar, representantar frå næringslivet, etc.? Då blir personopplysningar behandla.
Det er Datatilsynet si oppgåve å overvake at personopplysningslova blir følgd, men vi ser at stiftelsar har behov for litt rettleiing frå oss om korleis ein skal komme i gong med arbeidet og få på plass gode rutinar.
Å avklare dette kan vere ein god start:
- Kvifor behandlar vi personopplysningar?
- Korleis behandlar vi opplysningane?
- Har vi heimel (behandlingsgrunnlag) for å behandle dei opplysningane vi gjer?
- Er det andre som behandlar personopplysningar på vegne av stiftelsen, og føreligg det ein databehandlaravtale i desse tilfella?
- Kva lovbestemte plikter har vi ved behandlinga?
- Korleis skal vi sørge for at vi oppfyller pliktene?
Styret i stiftelsen bør mellom anna utarbeide rutinar, planar og retningslinjer for behandling av personopplysningar. Du skal til dømes ha ei oversikt over kvar du har personopplysningar, og rutinar for sletting av dei. Ein skal også ha ei personvernerklæring tilgjengeleg for brukarane. For små stiftelsar vil det ikkje vere snakk om å implementere nye store system, men å ha god nok oversikt og enklare rutinar.
Store variasjonar
For blant dei ca. 6600 aktive stiftelsane i Noreg i 2019 er det store variasjonar i både størrelse og type formål.
Alle stiftelsar behandlar personopplysningar, men i svært varierande grad. Der nokre stiftelsar har mange tilsette og mange utanforståande aktørar og søkjarar, har andre stiftelsar ingen tilsette og mottar få søknader i året.
Det vil variere frå stiftelse til stiftelse kva type behandling av personopplysningar det er snakk om, og i kva skala dette blir gjort. Alle delar av GDPR vil ikkje vere like relevante for alle stiftelsar. Mange av krava er risikobaserte. Det må vere samanheng mellom kva tiltak som skal setjast i verk og kva risikoar den enkelte stiftelse står overfor. Difor er det viktig at stiftelsane kjem fram til kva GDPR- krav som gjeld stiftelsen, og kva tiltak som må setjast i verk for å overhalde desse krava.
Les meir om kva rutinane må innehalde på datatilsynet.no.
Regelverket
Personopplysningslova innlemmar EU si forordning for personvern (GDPR). Denne lova stiller krav til at alle verksemder som behandlar personopplysningar, også stiftelsar, kan dokumentere at GDPR- krava blir etterlevde.
Personvern er et viktig ideal å sikre. Når stiftelsar behandlar personopplysningar blir viktige verdiar forvalta. Ei personopplysning er ei opplysning eller vurdering som kan knytast til ein enkeltperson.
Døme på personopplysningar er:
- Namn
- Adresse
- Epost
- Bilete
- Bilnummer
Behandling av personopplysningar skjer når opplysningane blir brukt, til dømes ved innsamling, registrering, samanstilling, lagring eller utlevering.
For å kunne behandle personopplysningar må ein kunne vise til eit behandlingsgrunnlag, altså at ein har ein lovleg grunn til å bruke dei. Dette kan til dømes vere at ein har fått samtykke eller har lovheimel til å samle og bruke opplysningane
Det nye personvernregelverket er ikkje så mykje strengare enn det som allereie har vore gjeldande i Noreg i lang tid, men det nye regelverket har ført til at personvern har fått meir merksemd.
Likevel, det nye personvernregelverket stiller strengare krav enn tidlegare til at ein kan dokumentere at ein har orden i eige hus; at det finst rutinar og retningslinjer for å sikre at personopplysningar blir behandla på ein skikkeleg måte. Kanskje finst desse rutinane allereie i kontorskuffa til stiftelsen? Eller i hovudet på eit styremedlem, slik at det enkelt kan nedfellast på papir?
Kva er styret sitt ansvar?
Kvar stiftelse er ansvarleg for at reglane i personopplysningsregelverket blir følgde. I personvernregelverket er det den behandlingsansvarlege som har plikta og det øvste ansvaret for dette. Den behandlingsansvarlege er en «fysisk eller juridisk person» som «alene eller sammen med andre bestemmer formålet med behandlingen», jf. GDPR artikkel 4 nr. 7.
Fordi styret er stiftelsen si øvste leiing er det styret som har det øvste ansvaret. Ein kan delegere arbeidet med å lage rutinar og få på plass system, men styret har like fullt det overordna ansvaret. Dersom andre behandlar personopplysningar på oppdrag frå stiftelsen må det føreligge ein databehandlaravtale mellom stiftelsen og databehandlaren.
Å prioritere kontrollaktivitetar gjev tillit. Det kan gjere stiftelsen mindre sårbar, og sikre forsvarlege interne kontrollrutinar. Å etterleve krava som skal sikre personvernet gjev også godt omdømme og ei forsvarleg drift.
Det er viktig at stiftelsen sitt styre, på same måte som ved forvaltninga av stiftelsen elles, tar ei aktiv rolle for å sikre at stiftelsen følgjer personvernregelverket.
Behov for meir informasjon?
For nærare rettleiing rundt pliktene stiftelsen har og kva rettar dei du registrerer har: