På tide å løfte arbeidet med personvern

Foto: Ben Seidelman/flickr
Publisert: 16/05/2018
Mange er usikre i møte med de skjerpede kravene til personvern. – Start med å øke bevisstheten rundt hvilke personopplysninger dere samler inn og rutinene for hvordan disse oppbevares og behandles, oppfordrer KA-sjef Marit Halvorsen Hougsnæs.

EU personvernforordning – The General Data Protection Regulation (GDPR) – innføres etter planen i Norge tidligst 1. juli. Selv om tematikken er mye omtalt i mediene, er mange usikre på hva GDPR innebærer.

En meningsmåling som Dagens Næringsliv fikk gjennomført i slutten av april, viste at bare 15 prosent av befolkningen er meget eller ganske godt kjent med hva de nye reglene innebærer. 57 prosent oppga at GDPR er fullstendig ukjent for dem.

Datatilsynet skriver dette om GDPR: «Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet. Kravene til avviksbehandling, varsling av berørte og kontinuerlig arbeid med informasjonssikkerheten skjerpes i det nye regelverket.»

Oppfordrer til å skaffe oversikt

Det samles inn og brukes mye personopplysninger i Den norske kirkes virksomheter, for eksempel i barne- og ungdomsarbeid, når noen skal vies, i konfirmantarbeid og i gravplassforvaltningen. Også i organisasjonslivet er tematikken svært aktuell. Mengden data vil variere mellom de ulike tiltakene/arbeidsområdene, men prinsippene for behandling av opplysninger er de samme.

Administrerende direktør i KA Arbeidsgiverorganisasjon for kirkelige virksomheter, Marit Halvorsen Hougsnæs, oppfordrer medlemsvirksomhetene til raskt å skaffe seg et overblikk over hovedpunktene i nytt regelverk. Det er utarbeidet korte og gode oversikter blant annet på Datatilsynets hjemmesider. Med det som utgangspunkt er det mulig å lage en tidsplan for gjennomgang av risiko og rutiner i virksomheten.

– Viktig å skape bevissthet

– Kravene til personvern og forsvarlig behandling av sensitiv informasjon og andre personopplysninger er allerede strenge. GDPR er en skjerpelse, men ingen revolusjon. Det aller viktigste nå er å skape en større bevissthet rundt egne rutiner for innhenting, oppbevaring og sletting av personopplysninger, samt å tenke gjennom hva som må ryddes opp i av gamle papirer og datafiler, sier Hougsnæs.

– Vi oppfordrer alle våre medlemsvirksomheter til å sette GDPR på agendaen så fort som mulig, hvis de ikke allerede har gjort det. Hvordan behandler dere personopplysninger i dag? Har dere et oversiktlig og sikkert arkivsystem, eller ligger dokumenter rundt omkring på private serverområder, i bunker på kontorer eller på minnepinner i en skuff? En samtale om dette vil forhåpentlig identifisere en del enkle tiltak som kan bety mye.

Kritierier for innhenting og oppbevaring

Hougsnæs understreker at det ikke vil bli ulovlig verken å innhente eller å oppbevare personopplysninger og sensitive opplysninger etter 1. juli, så lenge visse kriterier er oppfylt:

  • Det må være et konkret formål med innhenting og oppbevaring.
  • Det skal spørres kun etter opplysninger som er relevante for å oppfylle formålet.
  • Den som gir fra personopplysninger skal forstå hva opplysningene skal brukes til. Ansvaret for at dette blir forstått, ligger på den som henter inn opplysningene, og dette må dokumenteres. (Datatilsynet formulerer det slik: «Alle skal gi god informasjon om hvordan de behandler personopplysninger.»)
  • Opplysningene skal oppbevares på en sikker måte. Dette innebærer blant annet at tilgang kun gis til personer som har et legitimt behov for det.
  • Innhenting av sensitiv informasjon forutsetter egen lovhjemmel. Nærliggende eksempler er opplysninger til medlemsregisteret (Forskrift om Den norske kirkes medlemsregister) og i forbindelse med gravferdsforvaltningen (Gravferdsloven).
  • Opplysningene skal slettes når formålet med dem er oppfylt. Dersom man ønsker å bruke opplysningene til et nytt formål, må samtykke hentes inn på nytt. Kirkelige organer må vurdere pålegg om sletting av opplysninger i lys av arkivloven, som fortsatt gjelder for Den norske kirke.

Forklar hvorfor du spør

Et eksempel fra kirkelig sektor kan være innskriving av konfirmanter. Da vil det være legitimt å be om navn, personnummer og kontaktinformasjon til konfirmanten, samt navn og kontaktinformasjon til foreldre.

Det vil også være legitimt å be om opplysninger som er nødvendige for å gjennomføre undervisning og eventuelt leir på en forsvarlig måte, slik som lærevansker, allergier eller sykdommer. I slike tilfeller er det viktig å forklare hvorfor man spør, slik at formålet er tydelig for den som svarer.

Det må være klare rutiner for lagring og hvem som har tilgang til innsamlet personinformasjon, og at informasjonen ikke brukes til andre formål enn det opprinnelige. Når konfirmasjonstiden er over skal all innsamlet informasjon slettes, med unntak av den informasjon som ifølge arkivreglene skal arkiveres for ettertiden.

Dersom menigheten ønsker å offentliggjøre navneliste over konfirmantene før selve konfirmasjonshandlingen har funnet sted, kan dette tas med i skjemaet, med mulighet for den enkelte til reservere seg. Det samme gjelder dersom gruppebilde av konfirmantene skal publiseres i lokalavis og/eller menighetsblad.

Slette når noen slutter

Som arbeidsgiver har man fortsatt rett til å innhente og oppbevare opplysninger som er nødvendige for å oppfylle arbeidskontrakten, slik som navn, adresse, personnummer og kontonummer. Navn og kontaktopplysninger til pårørende er frivillig å oppgi til arbeidsgiver, men det er også fullt lovlig og anbefalt å spørre ansatte om dette.

Arbeidsgiver har rett til å publisere opplysninger knyttet til arbeidsforholdet, slik som for eksempel navn, ansvarsområde, telefonnummer og e-postadresse, på sine hjemmesider. For bruk av portrettbilde kreves samtykke av den enkelte arbeidstaker. Det samme gjelder dersom arbeidsgiver ønsker å publisere mer detaljerte opplysninger om arbeidstakeren, som for eksempel CV.

I løpet av et arbeidsforhold vil arbeidsgiver innhente mye personinformasjon om de tilsatte, for eksempel helseopplysninger. Det meste av denne informasjonen skal slettes når arbeidsforholdet tas slutt, med unntak av den informasjonen som arkiveres i henhold til arkivloven.

Ansvarsfordeling mellom KA og Kirkerådet

En arbeidsgruppe nedsatt av Kirkerådet og KA har siden i vinter jobbet med det mål å best mulig kunne veilede i og implementere det nye regelverket i Den norske kirke. Generelt er det Kirkerådet som har hovedansvar for å gi råd om personvernspørsmål som angår medlemsregisteret, frivillige, kirkelige handlinger og så videre. KA har hovedansvar for å gi råd om personvernspørsmål som angår arbeidsgiverrollen og gravplassforvaltning.

Noe stoff er allerede lagt ut på Kirkebakken (intranett for alle virksomheter i Den norske kirke). KA vil komme med et rundskriv i løpet av noen uker. Oppdatering 28. juni 2018: Her er rundskrivet.  Det vil også bli laget forslag til personvernerklæring og praktiske rutiner for håndtering av personalinformasjon. KA arbeider også med å få avklart i hvilken grad fellesrådene har behov for en egen personvernombudsordning.

Det jobbes dessuten med å lage en samlet felles framstilling av generelle krav og rutiner som må foreligge på alle områder (medlemshåndtering, gravplassadministrasjon, ansattinformasjon), samt konkrete eksempler på besvarelser av case og forslag til maler. Gjennomgående temaer vil være kravet til behandlingsgrunnlag, når kreves det samtykke, krav til risikovurdering og rutiner for avviksrapportering.

KA og Kirkerådet vil ta initiativ til en felles «Sikkerhetsmåned» i høst. Da vil blant annet alle kirkelige organer bli oppfordret til å rydde opp i gamle data og slette det som skal slettes.

 

Sentrale begreper

Personopplysninger: En opplysning eller vurdering som kan identifisere eller knyttes til deg som enkeltperson, for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, og fødselsnummer (både fødselsdato og personnummer), adferdsmønster.

Sensitive personopplysninger: Etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, straffemessige forhold, helseforhold, seksuelle forhold eller medlemskap i fagforeninger m.m.

Del i sosiale medier:
Powered by Cornerstone