Hva betyr dette for amatørkulturen?

Webredaktør
08/06/2018 13:00

I løpet av de siste ukene har mange av Amatørkulturrådets medlemsorganisasjoner tatt kontakt og lurer på om innføringen av strengere personvernregler får betydning for frivillige lag og organisasjoner. Amatørkulturrådet har innhentet eksperthjelp om GDPR. Les mer

Hva er egentlig GDPR?
The General Data Protection Regulation (GDPR), eller «personvernforordningen», har som hensikt å styrke personvernet til borgere i EU og EØS. Personvernforordningen vil bli gjeldende i Norge ganske snart som følge av vårt EØS-medlemskap. Norge har hittil hatt et ganske bra personvernregelverk og derfor blir egentlig ikke endringene så dramatiske som de enkelte ganger høres ut; man får noen nye rettigheter og plikter, mens andre rettigheter og plikter blir styrket. De mest vesentlige endringene går ut på at det stilles mye høyere krav til den som behandler personopplysninger til å informere de opplysningene omhandler, og at den som behandler personopplysningene skal ha kontroll og ansvar selv for at det som gjøres med opplysningene er lovlig. At man har denne kontrollen, og tar ansvar, skal kommuniseres til den informasjonen omhandler på en forståelig måte. En annen vesentlig endring er rammene for gebyrer dersom man ikke etterlever loven – de potensielle konsekvensene økes dramatisk (høye bøter), og dette er nok noe av grunnen til at personvernforordningen har fått så mye oppmerksomhet, forteller Tollef Erstad, som jobber med personvern og informasjonssikkerhet i Bergen kommune.

OK. La oss ta et helt alminnelig kor med 30 sangere. Hva må styret i koret være oppmerksom på?
– For et kor må man da vite hvilke personopplysninger man behandler, hva man prøver å oppnå med dette (formål), og hvorfor man har lov til dette (behandlingsgrunnlag) – jeg vil tro at dette ofte er fordi den opplysningene omhandler har «samtykket» til at koret får lov, eller fordi disse opplysningene er nødvendig for å oppfylle en avtale (forvaltning av medlemskap) med han eller henne. Det er også veldig viktig er å sørge for at man kun bruker opplysningene til det man har lov til; dersom man f.eks. har et medlemsregister med navn, medlemstype, adresse, og telefonnummer for å kunne sende medlemmene informasjon om korøvinger, medlemsavgift, og arrangementer, kan man ikke uten videre nytte denne informasjonen til noe annet.

Bør amatørkulturorganisasjoner nå sende ut informasjon til sine medlemmer og fortelle hva man eventuelt har lagret av informasjon om hver enkelt?
– Dette er ikke en ny plikt. Man har lenge hatt plikten til å informere om hvilke opplysninger man behandler, og hva man bruker dem til. For å svare på spørsmålet; både ja og nei – den enkleste måten å oppfylle dette kravet på er å ha en «personvernerklæring» der man beskriver hvilke opplysninger man behandler om sine medlemmer og hva de kan brukes til, hvorfor dette er lovlig («lov», «nødvendighet», eller «samtykke»). Man skal her også informere om hvilke rettigheter man har til å f.eks. få rettet feile opplysninger eller slettet dem når organisasjonen ikke lenger trenger dem, og hvordan man skal gå frem for å få dette gjort. Når noen gir fra seg opplysninger om seg selv, gjerne ved innledning av medlemskap, skal man også informere om det samme og gjerne også hvorfor man trenger disse opplysningene for å gjøre dette. Siden mange hittil har vært dårlige til å informere er det kanskje behov for å sende denne informasjonen til hvert enkelt medlem. Om man er en større virksomhet kan det svare seg å løse dette ved at man selv kan gå inn på medlemssidene og finne denne informasjonen, og at første gang man logger på så kommer informasjonen til deg – dette ser man for tiden ofte på forskjellige nettsider. Husk at informasjonen må gis på en måte som er forståelig for den som skal motta den.

Hva bør styret foreta seg for å sikre at man har gode rutiner for medlemsregisteret?
– Det viktigste man kan gjøre er å ha klart for seg hva medlemsregisteret inneholder av personopplysninger, hva man har lov til å bruke dem til, og hvorfor dette er lov. Oversikt over dette gjør at man kan utarbeide rutiner for å slette personopplysninger man ikke har lov til å ha, f.eks. om tidligere medlemmer, kanskje ved en halvårlig gjennomgang av registeret. Her er det viktig å ha tungen beint i munnen – informasjon som man tidligere hadde for å sende ut informasjon og fakturaer til medlemmer kan f.eks. være nødvendig for å vise at man ikke har overdrevet medlemsantallet sitt når man har søkt om midler fra det offentlige, og da må man ta vare på noen av dem en stund etter at medlemmet har sluttet.

Får nå enkeltmedlemmer i en frivillig organisasjon en «rettighet» til å få vite hvilke opplysninger som er lagret om ens person?
– Ja, men dette er ikke en ny rettighet. Man har både rett til å vite «hvilke» opplysninger som behandles, men også til å se selve opplysningen. Dette er en avgjørende rett både for å sikre at man vet «hva» forskjellige virksomheter vet om deg, men også for at du både skal kunne sikre at opplysningene er riktige, og for at du skal kunne be om å få dem slettet – og det er jo dette som er poenget med den nye lovgivningen; det er den personopplysningene omhandler som skal eie dem, ikke forskjellige virksomheter. Et tips: Det er mye god hjelp i Datatilsynets veiledere som kan finnes på nettsidene deres: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr