Vedlegg til rundskriv 03/18 om Ny personvernforordning (GDPR)

Omtale av noen bestemmelser i personopplysningsregelverket som er viktige for KAs medlemmer

1. Innledning
2. Virksomhetens arbeid med sikring av personopplysninger
3. Krav til dokumentasjon på at virksomheten forholder seg til personvernforordningen
3.1 Personvernerklæring
3.2 Lag en oversikt over personopplysninger som behandles
3.3 Protokollplikt
3.4 Risikovurderinger
4. Har dere et behandlingsgrunnlag for personopplysningene som behandles?
4.1 Formålsbegrensninger
4.2 Samtykke som behandlingsgrunnlag
4.3 Øvrige behandlingsgrunnlag er i henhold til forordningens artikkel 6
5. Behandling av sensitive personopplysninger etter artikkel 9 i forordningen
6. Avvikshåndtering
7. Virksomhetens plikter i forhold til den registrerte
 a)    Svarfrist
 b)    Krav til kommunikasjon
7.1 Registrertes rett til retting av opplysninger
7.2 Plikt til å slette personopplysninger
7.2.1 Retten til sletting og forholdet til arkivlovgivningen
7.2.2 Sletteplikten for virksomheter som ikke er organer i Den norske kirke
7.3 Rett til å få personopplysninger om seg selv overført til annen behandlingsansvarlig
8. Personvernombud
9. Innsamling og behandling av personinformasjon om ansatte
9.1 Behandlingsgrunnlag
9.2 Behandling av sensitive opplysninger
9.3 Retting og sletting fra personalmappen der virksomheten ikke er omfattet av arkivlovgivningen
10. Innsamling og behandling av personinformasjon ifbm gravplassforvaltning og feste av grav
10.1 Avdøde er ikke omfattet av reglene om personvern
10.2 Behandlingsgrunnlag for personopplysning om fester og den som sørger for gravferden.
10.3 Behandling av sensitive personopplysninger
10.4 Fagsystemer innen gravplassforvaltning og andre kirkelige fagsystemer.

 

1.    Innledning
KA har sett at det er behov for en generell veiledning om hvilke regler som gjelder i forbindelse med våre medlemmenes håndtering av personopplysninger. I tillegg har vi valgt å særlig omtale hvordan regelverket får innvirkning på personalhåndtering og gravplassforvaltning. Når det gjelder regelverkets anvendelse på Den norske kirkes medlemsregister og håndtering av personopplysninger i forbindelse med Den norske kirkes medlemmers deltakelse i kirkelige handlinger, på arrangementer i regi av Den norske kirke mv, så utarbeider Kirkerådet informasjon som er og blir lagt ut på kirkebakken.

 

2. Virksomhetenes arbeid med sikring av personopplysninger
Behandlingsansvarlig hadde etter personopplysningsloven av 2000, en plikt på seg til å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger ved planlagte og systematiske tiltak. 

Den samme plikten gjenfinnes i forordningen.

Personopplysninger skal etter artikkel 5 behandles på en måte som sikrer integritet og konfidensialitet. 

Den behandlingsansvarlige skal videre etter artikkel 24 gjennomføre «tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning.»

Med dette menes at den behandlingsansvarlige har ansvar også for sikkerheten av oppbevaringen av personopplysninger. Herunder vil en virksomhet med arbeidsgiveransvar ha plikt til å sikre at uvedkommende ikke får innsyn i en arbeidstakers personal mappe, gjennom tilgangsstyring digitalt eller sikring av fysisk mappe eksempelvis innlåst i innbruddssikkert skap. 

 

3. Krav til dokumentasjon på at virksomheten forholder seg til personvernforordningen
Personvernforordningen oppstiller i artikkel 5 nr. 2 et generelt prinsipp om at den behandlingsansvarlige skal kunne "påvise" at forordningens prinsipper etterleves. Virksomheten må ha på plass intern dokumentasjon som viser at virksomheten har oversikt over egen behandling av personopplysninger og rutiner og systemer som sikrer at personvernreglene følges i praksis. 

I tillegg til det generelle prinsippet i artikkel 5, oppstiller forordningen også mer spesifikke dokumentasjonskrav. 

 

3.1 Personvernerklæring
Behandlingsansvarlige er etter forordningens artikkel 13-15 forpliktet til å informere om at personopplysninger behandles. I en slik opplysning så må det gis opplysninger om den behandlingsansvarlige og et eventuelt personvernombud.

Det må gis opplysninger om at personopplysninger behandles, hvilke dette er og hva som er behandlingsgrunnlaget. Det må også stå noe om lagringstid. Siden alle organer i Den norske kirke er forpliktet etter arkivlovgivningen, så må det tydeliggjøres at behandlingsansvarlig er forpliktet etter arkivlovgivningen til å beholde eller foreta kassasjon i henhold til vedtatt kassaksjonsregleverk. Se for øvrig her kapittel 7.2.1.

Det må tydeliggjøres at den registrerte har rett til innsyn, retting, dataportabilitet, å kreve at behandlingen av personopplysninger begrenses, og å motsette seg visse former for behandling. Dersom personopplysninger skal behandles for et annet formål enn de ble samlet inn for, inntrer informasjonsplikten på nytt. Det betyr at virksomheten må opplyse hva det nye formålet er, og gi deler av informasjonen ovenfor på nytt.

Denne plikten til å yte disse opplysningene vil antagelig best oppfylles ved at det utarbeides en personvernerklæring som legges på virksomhetens hjemmeside, og som det linkes til i forbindelse med innhenting av personopplysninger som virksomheten faktisk foretar.

KA anbefaler derfor at det utarbeides en personvernerklæring i hver enkelt virksomhet. KA har utarbeidet en mal til personvernerklæring, men her er det nødvendig at det fylles inn korrekt informasjon på alle de kursiverte feltene. I tillegg må hver virksomhet se hen til under punkt 1 hvilke formål det innhentes personopplysninger i henhold til. De eksemplene som er satt inn i rød tekst, er kun eksempler, og særlig myntet på fellesrådsmedlemmer.   

Se her lenke til mal på personvernerklæringer.

Det er viktig å huske på at det ikke er nok i seg selv å ha en personvernerklæring på hjemmesiden for å oppfylle kravene i artikkel 13 til 15 i forordningen. Virksomheten må aktivt vise til og gjerne linke opp til personvernerklæringen i forbindelse med kontakt med den registrerte ved innhenting/mottak av personopplysninger.

 

3.2 Lag en oversikt over personopplysninger som behandles
Både etter den gjeldende personopplysningsloven av 2000, og i henhold til forordningen, gjelder det et krav om at virksomheter må ha oversikt over hvilke personopplysninger virksomheten oppbevarer og behandler.

Noen av KA sine medlemmer har dette fullt på plass, men for de fleste kan opplysninger være lagret forskjellige steder, i både digitale arkiver og papirarkiv, og uten at den som er behandlingsansvarlig har fullstendig oversikt over alle personopplysninger som oppbevares.

Den totale mengden av personopplysninger som håndteres kan som nevnt være plassert flere forskjellige steder og det kan være lagring både digitalt og manuelt. Personopplysninger knyttet til fester av grav kan hos noen fellesråd kanskje forefinnes både i gravferdsregisteret og lagret i papirarkiv. Personopplysninger om konfirmanter, kan være ført inn i et datasystem og det kan lagres fysisk ved at man får inn personopplysninger ved innleveringer fra konfirmanter som har fått påmeldingskjema på papirark. 

Også personopplysninger om ansatte kan arbeidsgiver ha forskjellige steder, ferielister kan lagres på en datamappe, helseopplysninger i personalmappen, men kan også ligge i mail på arbeidsgivers mailkonto.

En del personopplysninger kan man også ha liggende på sin mailkonto, eller i stabler i papirform, som påmelding til personalfest eller stabstur informasjon om ferie med videre. 

For noen kan det å skaffe oversikt over hvor man har lagret alle personopplysningene innebære en meget stor jobb. For andre som kanskje har god oversikt og det aller meste lagret der det skal, vil jobben kunne være mer overkommelig.

Når man har utarbeide oversikten, starter jobben med å undersøke om man har et lovlig behandlingsgrunnlag for de personopplysningene man har samlet inn.

Se lenke til malforslag for oversikt over personopplysninger og personopplysninger om ansatte.

 

3.3 Protokollplikt
I henhold til artikkel 30, er det klare utgangspunktet at alle enheter har en protokollplikt, altså en plikt til å føre protokoll, over sine behandlingsaktiviteter.
I forordningens artikkel 30 er det et unntak fra protokollplikten, der en bedrift har mindre enn 250 ansatte, noe som vil utgjøre de aller fleste av KA sine medlemmer. Siden dette unntaket igjen har mange unntak, så vil den generelle hovedregel være for alle KA s medlemmer at de må føre protokoll over sine behandlingsaktiviteter. 

Det er listet opp en lang rekke punkter hva denne protokollen skal inneholde i artikkel 30 (1) a)-g).

Det vil være en god hjelp til å oppfylle protokollplikten ved å benytte Datatilsynets mal for oppsett over protokoll og føre sine behandlingsaktiviteter inn her.

 

3.4 Risikovurdereringer
 Dersom virksomheten ikke tidligere har gjennomført risikovurderinger, så må slike vurderinger foretas. Det er risikoen for brudd på konfidensialitet, og risikoen for tap av essensielle personopplysninger som særlig skal dokumenteres. Herunder må det vurderes hvem som skal ha tilgang, om mail og dokumenter skal krypteres og om man har jevnlig sikkerhetskopiering.
 Det er ikke kun datasystemer og rutiner for behandling av personopplysninger som må risikovurderes . Også fysisk oppbevaring av personopplysninger, som eksempelvis oppbevaring av personalmappe, rutiner på destruering av harddisk til printeren når denne skal sendes til gjenvinning, må foretas.

God hjelp finnes på DIFI sin hjemmeside, hvor det både ligger  maler på dokumentasjon på virksomhetens arbeid med informasjonssikkerhet, og maler på risikovurderinger mv.

 

4. Har dere et behandlingsgrunnlag for personopplysningene som behandles?
Forordningen krever slik som personopplysningslovens av 2000 at virksomheten må ha et gyldig behandlingsgrunnlag for å håndtere enhver personopplysning. Av forordningens artikkel 6 fremgår at behandling av personopplysninger kun er lovlig, dersom et av flere i forordningen nevnte grunnlag for behandlingen foreligger. Er behandlingen ikke i overenstemmelse med artikkel 6, så er den altså ulovlig. En ulovlig behandling av personopplysninger kan som ovenfor nevnt straffes med ileggelse av overtredelsesgebyr, samt erstatningsansvar for økonomisk og ikke-økonomisk skade.

Alle behandlingsgrunnlag er sidestilt, og det er ikke noe behandlingsgrunnlag som har forrang frem for andre.

 

4.1 Formålsbegrensninger
Personopplysninger kan bare behandles for det formål det er innsamlet for.

Innledningsvis nevnes at all behandling av personopplysninger skal ha et spesifikt, uttrykkelig angitt formål som er saklig begrunnet i virksomheten, jf. GDPR art. 5 nr. 1 bokstav b. Formålet må komme til uttrykk i virksomhetens behandlingsoversikt og i personvernerklæringen på nett.

Dersom personopplysninger som allerede er samlet inn, senere skal brukes til et annet formål som er saklig begrunnet i virksomheten enn det de er blitt samlet inn for, må dette ha et nytt behandlingsgrunnlag.

 

4.2 behandlingsgrunnlag i henhold til forordningens artikkel 6
Bestemmelsen lyder som følger hva angår øvrige lovlige behandlingsgrunnlag som behandlingsansvarlig kan påberope seg:
b) «Der behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, 
c) Der behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, 
d) Der behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,
e) Der behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
f) Der behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige 

Behandlingsgrunnlaget «berettiget interesse» har Kirkerådet skrevet godt og utfyllende om på Kirkebakken.

Det er avgjørende å finne ut og dokumentere det behandlingsgrunnlaget som man mener danner grunnlaget for rettmessigheten av behandlingen virksomheten foretar av konkrete personopplysninger. 

For KAs organisasjonsmedlemmer må det aktuelle behandlingsgrunnlaget vurderes i hvert tilfelle. Ta gjerne kontakt med KA for eventuell bistand.

Datatilsynet har laget en veileder om behandlingsgrunnlagenes rekkevidde.

 

4.3 Samtykke som behandlingsgrunnlag
Det foreligger et gyldig behandlingsgrunnlag der den registrerte har samtykket til behandlingen. Stilltiende samtykke er ikke tilstrekkelig, og en slags «den som tier, samtykker policy» i forbindelse med benyttelse av noens personopplysninger vil ikke være et samtykke.

Samtykke er i forordningens artikkel 4 (11) definert på følgende måte: «Samtykke» fra den registrerte innbefatter enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.»

Det klare utgangspunktet er at praktisering av samtykke bør skje gjennom digitale løsninger. Virksomheten må således i samråd med leverandør av datasystem bestille samtykke-baserte digitale løsninger. Der man enda ikke har dette på plass, men har behov for å benytte samtykke som behandlingsgrunnlag, så kan denne enkle malen for samtykke til behandling av personopplysninger benyttes. 

Lenke til mal for samtykkeerklæring.

Det aller viktigste ved benyttelse av samtykke som behandlingsgrunnlag er å tydeliggjøre i samtykkeerklæringen formålet som personopplysningen skal brukes til. Det følger av forordningen artikkel 5 at personopplysningene kun kan benyttes til det formål de er innsamlet for. 

 

5. Behandling av sensitive personopplysninger etter artikkel 9 i forordningen
Etter artikkel 9 er det klare utgangspunktet etter forordningen at behandling av sensitive opplysninger som der nevnt er forbudt. Slike sensitive opplysninger er følgende: rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

For KAs medlemmer vil de mest aktuelle sensitive opplysninger være religion, helse, fagforeningsstatus og samlivsstatus.

I artikkel 9s annet ledd står det noen oppramsede unntak fra forbudet mot behandling av slike sensitive opplysninger. Det er særlig disse tre unntakene som vil kunne gjøre seg gjeldende:

Artikkel 9 (2) a) Samtykke
«Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål»

Artikkel 9 (2) b Nødvendig for å oppfylle arbeidsavtalen
«Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett,»

Artikkel 9 (2) d «Berettigede aktiviteter»
«Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.»

Det er veldig viktig å huske på at når det gjelder behandling av sensitive opplysninger så holder det ikke at man er i unntakssituasjonen i artikkel 9. Artikkel 6 om lovlig behandlingsgrunnlag må også være oppfylt.

Organet må både ha et behandlingsgrunnlag etter artikkel 6 og et av unntakene må være oppfylt etter artikkel 9 før virksomheten kan behandle sensitive personopplysninger.

 

6. Krav til avvikshåndtering
Virksomheten har plikt til å sikre personopplysningene som behandles, slik at de for eksempel ikke blir stjålet, ulovlig slettet eller endret. Reglene for når avvik skal meldes står i forordningens artikkel 33.

Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. 

En slik hendelse kan være feilsending av e-post eller annen post med sensitiv informasjon, at en minnepinne blir borte, et datainnbrudd på en av virksomhetens servere eller at uvedkommende får innsyn i personopplysninger. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.

Det stilles samtidig krav til at avviksmeldingen skal leveres til Datatilsynet innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan avviksmeldingen sendes trinnvis.

Virksomheten må ha dokumentasjon på alle avvik og hvilke tiltak som er iverksatt. 

Avviksmelding må inneholde:

  1. en beskrivelse av avviket, hva slags personer og personopplysninger som er berørt
  2. et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet
  3. kontaktinformasjon til personvernombudet eller et annet kontaktpunkt i virksomheten
  4. en beskrivelse av hvilke konsekvenser avviket trolig vil ha
  5. en beskrivelse av de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene av det

Varsling av personer skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt. 

 

7. Virksomhetens plikter i forhold til den registrerte
a.    Virksomhetene må svare den registrerte innen en måned

I henhold til artikkel 12 (3) i forordningen, har virksomheten en plikt på seg til å uten ugrunnet opphold og senest én måned etter mottak av anmodningen svare den registrerte  om krav om innsyn, retting, sletting, krav om begrenset behandling og rett til datatportabilitet . 

Denne fristen kan unntaksvis forlenges med ytterligere to måneder, men da må det hensyntas virksomhetens totale antall anmodninger og anmodningen må ha en særlig kompleksitet.

b.    Krav til kommunikasjonen
Det er videre et krav at all kommunikasjonen utad til den registrerte foregår på en kortfattet, åpen, forståelig og lett tilgjengelig måte . Språket må videre være klart og enkelt. Dersom det skal gis informasjon  til barn, skjerpes dette kravet til forståelighet og tydelighet enda mer. 

 

7.1 Registrertes rett til retting av opplysninger
Det klare utgangspunktet etter artikkel 5 er at den behandlingsansvarlige har en plikt på seg til å rette opp mangelfulle opplysninger. Det skal treffes rimelig tiltak fra behandlingsansvarlig for å sikre at de personopplysninger de har til enhver tid er korrekte og oppdaterte. 

Artikkel 16 gir i tillegg den registrerte en rett til å kreve retting av uriktige personopplysninger og mangelfulle personopplysninger. 

Den registrerte må kreve retting  av  opplysningene og den registrerte må således i forkant ha fått vite om sine rettigheter, og hatt mulighet til å sette seg inn i de opplysninger som er lagret om vedkommende.

Bestemmelsen viderefører i det vesentlige gjeldende rett etter personopplysningsloven § 27. I motsetning til personopplysningsloven har forordningen ingen nærmere regulering av hvordan rettingen skal skje. Bestemmelsen i den tidligere personopplysningsloven sa følgende om hvorledes retting skulle foregå: «Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.»

Arbeidsgiver har ved forordningen fått en større valgfrihet i forbindelse med retting av opplysninger. Det må imidlertid antas at det vil være et krav til gjennomsiktlighet for hvorledes rettingen har foregått.

 

7.2 Plikt til å slette personopplysninger
7.2.1 Retten til sletting og forholdet til arkivlovgivningen

Den registrertes rett til å kreve sletting vil i mange tilfeller komme i konflikt med Den norske kirkes organers plikt til å føre arkiv etter arkivloven.

Organer i Den norske kirke har en direkte lovpålagt plikt etter kirkeordningen § 42, offentleglova og arkivloven § 6 til å holde arkiv. Dette skal skje i henhold til reglene i arkivloven kap. II og føringer i arkivforskriften samt i Riksarkivarens forskrift. Organene i Den norske kirke vil ikke oppleve noen endring i sine arkivplikter som konsekvens av personvernforordningen. 
For disse organene går det tydelig frem både av forordningen, ny personopplysningslov og gjeldende arkivlov at man har tilstrekkelig grunnlag for arkivering i henhold til regelverket for arkivering. 

Arkivloven med forskrifter gir regler om hva som kan tilintetgjøres og hva som må bevares for ettertiden. Organer i Den norske kirke har et eget regelverk for hvilke dokumenter som skal bevares og hvilke dokumenter som kan kasseres som er godkjent av Riksarkivaren. Se her KAs kassasjonsregelverk

Alle organets dokumenter omfattes av arkivlovgivningen. Dokumentene kan inneholde personopplysninger som organer i Den norske kirke behandler, eller personopplysninger kan være knyttet til metadata om dokumentene, det vil si opplysninger om avsender, mottaker, kopimottaker, adresse osv.

Alle dokumenter i organet kan deles inn i tre grupper:

  1. De som skal bevares etter bevarings- og kassaksjonsregelverket.
  2. De som skal kasseres etter bevarings- og kassaksjonsregelverket. 
  3. De som ikke omfattes av bevarings- og kassaksjonsregelverket, dvs. saksprosesser eller emner som ikke er nevnt i de gjeldende arkivnøkler og bevarings- og kassasjonsregler.

For dokumenter som ikke omfattes av bevarings- og kassasjonsregelverket, må det foretas en vurdering av hva som går etter følgende bevaringskriterier fra Riksarkivaren:

F1: å dokumentere offentlige organers funksjoner i samfunnet, deres utøvelse av myndighet, deres rolle i forhold til det øvrige samfunn og deres rolle i samfunnsutviklingen.
F2: å holde tilgjengelig materiale som gir informasjon om forhold i samfunnet på et gitt tidspunkt, og som belyser samfunnsutviklingen.
F3: å dokumentere personers og virksomheters rettigheter og plikter i forhold til det offentlige, og i forhold til hverandre.
F4: å dokumentere de arkivskapende organers rettigheter og plikter i forhold til andre instanser.

For ytterligere beskrivelse, se Hovedprinsipper for Riksarkivarens arbeid med bevaring og kassasjon i offentlig forvaltning.

Alle dokumenter som i henhold til bevarings- og kassasjonsreglene kan kasseres og inneholder personopplysninger, må man i henhold til regelverket om sletting i forordningen, faktisk kassere dersom den registrerte krever sletting. Hvis ikke vil det være i strid med forordningens artikkel 17, se nedenfor. 

Alle opplysninger som man er pliktig til å oppbevare i henhold til bevarings- og kassaksjonsregelverket, kan man ikke slette.

Det er derfor nødvendig at organer i Den norske kirke leser kassasjonsregelverket nøye, og ikke sletter opplysninger som det er lovpålagt at man skal bevare. 

Når det gjelder organer i Den norske kirke som har arkiv med møteløsning Public 360, så har disse fått arkivnøkkelen knyttet til dette direkte. Se info om arkivnøkkelen her.

Når det gjelder organer i Den norske kirke som ikke har arkiv med møteløsning Public 360, så ligger kassasjonsregelverket her.

 

7.2.2 Sletteplikten for virksomheter som ikke er organer i Den norske kirke
Bestemmelsen gir den registrerte rett til å kreve sletting av personopplysninger på en rekke ulike grunnlag, jf. artikkel 17 nr. 1 bokstav a til f. 

Regelen er i stor grad knyttet til om vilkårene for behandling av personopplysningene er oppfylt, og fremstår derfor mer som en tydeliggjøring og ingen vesentlig utvidelse av plikten til sletting som allerede følger av personopplysningslovens regler. 

Retten til sletting av sterkt belastende personopplysninger etter personopplysningsloven av 2000 § 28 tredje ledd er ikke videreført i forordningen. 

En ny regel i forordningen sammenlignet med gjeldende norsk rett er at behandlingsansvarlige som har offentliggjort opplysninger skal treffe rimelige tiltak for å underrette andre behandlingsansvarlige som behandler personopplysningene om at den registrerte har bedt om sletting, jf. artikkel 17 nr. 2. 

Det fremstår her som at behandlingsansvarlig må benytte seg av oppsøkende virksomhet, om det ikke er klart for behandlingsansvarlig hvilke andre som behandler samme personopplysninger.

 

7.3 Rett til å få personopplysninger om seg selv overført til annen behandlingsansvarlig
Retten til dataportabilitet følger av forordningen artikkel 20 nr. 1. Hvis behandlingen baserer seg på samtykke eller kontrakt og behandlingen utføres automatisk, har den registrerte rett til å motta opplysninger om seg selv som han eller hun selv har gitt til den behandlingsansvarlige samt å overføre disse til andre. Opplysningene skal være i et strukturert, alminnelig anvendt og maskinlesbart format. Etter artikkel 20 nr. 2 har den registrerte rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen i den utstrekning det er teknisk mulig.

 

8. Personvernombud  
Det er tre grupper som må ha personvernombud etter forordningens artikkel 37: a) offentlige myndigheter b) virksomheter som regelmessig og systematisk overvåker personopplysning for veldig mange registrerte og c) virksomheter der den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9. 

De av KAs medlemmer som eventuelt vil ha en plikt på seg til å opprette et personvernombud vil i utgangspunktet kun være omfattet av gruppe c), som er regulert i artikkel 37 (1) c «der behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9». Så langt vi kjenner til så vil dette kun være relevant for Den norske kirke, og ikke KAs organisasjonsmedlemmer.

Særlige kategorier av opplysninger etter artikkel 9
Særlig kategori av personopplysninger i henhold til artikkel 9 (1), er følgende: «Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.

Stor skala
Virksomheten må således vurdere om den behandler sensitive personopplysninger i kjerneområdet av virksomheten av en slik størrelsesorden at det kan betegnes som «stor skala».
Kjernevirksomheten

Det er kun behandling av særlige personopplysninger etter artikkel 9 som er knyttet til kjernevirksomheten som vil kunne medføre at plikten til å opprette personvernombud slår inn. Sensitive personopplysninger knyttet til personaladministrasjonen eller virksomhetens interne administrasjon teller ikke med i vurderingen her, all den tid personaladministrasjon ikke omhandler virksomhetens «kjernevirksomhet». 

Felles personvernombud for Den norske kirke?
For Den norske kirke vil det være behov for personvernombud selv om man ikke kan si at kjernevirksomheten er å behandle sensitiv informasjon i stor skala.  For de fleste enheter i Den norske kirke skjer det heller ikke registrering av informasjon i stor skala. 

For å utføre kjernevirksomheten (som trosopplæring, konfirmantarbeid, kirkelige handlinger og festeavtaler) er det imidlertid nødvendig å registrere informasjon som er definert i artikkel 9 som sensitiv.  

Kirkerådet og KA har vurdert ulike grunnlag for og forslag til organisering av personvernombud i Den norske kirke. Vi har så langt kommet fram til at ut i fra en totalvurdering er det formålstjenlig å ha en personvernordning som er felles både for små, mellomstore og store enheter som driver innenfor definisjonen av «stor skala», inklusive Kirkerådets totale ansvar for medlemsregisteret til Den norske kirke. 

Felles adferdsnorm
Den norske kirke vil kunne utvikle en felles adferdsnorm slik at det blir felles praksis og lik ivaretakelse av den berettigedes interesser. 

Artikkel 40 i personvernforordningen henstiller også en «behandlingssektor» til å gå sammen om å lage felles adferdsnormer. Dette skal sikre rettferdig og gjennomsiktig behandling, lik behandling av de berettigedes interesser med mer. 

Også ut i fra en ren risiko og sårbarhetsvurdering er det viktig for alle enheter i Den norske kirke å ha felles adferd, regelforståelse, rutiner og krav til systemer.  Det betyr at det å gå sammen om å utvikle adfersnormer og tiltrer et felles personvernombud sikrer publikums personverninteresser bedre enn om hver enkelt enhet på egenhånd skal innfri de samme personvernkravene. 

 

9. Innsamling og behandling av personinformasjon ansatte
9.1 Behandlingsgrunnlag 

Behandling av personopplysninger er i noen grad nødvendig for å oppfylle arbeidsavtalens bestemmelser, som utbetaling av lønn, la den ansatte få avholdt ferie, innbetale til pensjon med videre. Det foreligger behandlingsgrunnlag i artikkel 6 (1) b, her «behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.»

Der behandlingen av opplysninger ikke er nødvendig for å oppfylle en arbeidsavtale, så vil det typisk være samtykke som vil kunne være et behandlingsgrunnlag.

Av forordningens fortale punkt 43 fremgår at et samtykke ikke vil være et gyldig grunnlag der det foreligger en klar skjevhet i styrkeforholdet mellom den registrerte og den behandlingsansvarlige. 

Det vil i et ansettelsesforhold kunne være vanskelig å snakke om et frivillig samtykke uten å se hen til styrkeforskjellen mellom den ansatte og dennes arbeidsgiver.

Det betyr at det i utgangspunktet kun vil være behandling av personopplysninger av den ansatte som åpenbart er til fordel for den ansatte som kan behandles med samtykke løsning, eksempelvis innhenting av kontonummer for utbetaling av lønn. Også i mer nøytrale spørsmål vil samtykke kunne være et lovlig behandlingsgrunnlag. Et eksempel her er hvorvidt virksomheten kan benytte den ansattes bilde på hjemmesiden.

 

9.2 Sensitive opplysninger
Også i forbindelse med personalhåndtering er det klare utgangspunktet at man ikke har lov til å håndtere sensitive opplysninger om den ansatte. For at behandling av sensitive opplysninger skal være lovlig, må man i tillegg til å ha et behandlingsgrunnlag etter artikkel 6, også befinne seg i unntakene i artikkel 9.

Av de grupper sensitive opplysninger som er nevnt i artikkel 9, så er det særlig helseopplysninger som for ansatte kan sies å gjøre seg gjeldende. Også sensitive opplysninger etter artikkel 9 om fagforeningsmedlemskap kan være aktuelt å behandle for arbeidsgiver, der ansatte får refundert medlemsavgift i disse. Siden det er et krav for de fleste ansatte i Den norske kirke at de skal være medlem av Den norske kirke, så vil også slike personopplysninger være av relevans å behandle/oppbevare. Og i forhold til at arbeidsgiver har behov for opplysninger om nærmeste pårørende for sine ansatte så kan man ved lagring av slike opplysninger også risikere å behandle opplysninger om samlivsform. 

I personopplysningslovens § 6 så kan arbeidsgiver behandle sensitive opplysninger der det er nødvendig for å gjennomføre arbeidsrettslige plikter. Se bestemmelsen her: «Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.»

Også samtykke til konkret behandling av de sensitive opplysninger vil kunne være et behandlingsgrunnlag, men det vil da slik som vi så under punktet om behandlingsgrunnlag, antagelig kun være gyldig dersom behandlingen er utelukkende til fordel for den ansatte.

Både vilkårene i artikkel 6 og vilkårene i artikkel 9 må være oppfylt dersom arbeidsgiver vil samle inn og oppbevare sensitive opplysninger om sine ansatte. 

 

9.3 Retting og sletting fra personalmappen for virksomheter som ikke er omfattet av arkivloven.
Arbeidsgiver er pålagt å behandle en rekke opplysninger i forbindelse med et ansettelsesforhold, men opplysninger skal kun lagres dersom de er nødvendige for å ivareta ansettelsesforholdet. Dette innebærer at arbeidsgiver må utarbeide rutiner for gjennomgang av lagret informasjon. Arbeidsgiver er ansvarlig for at opplysningene som lagres er korrekte, slik at det kan være hensiktsmessig å foreta årlige gjennomganger av den lagrede informasjonen i personalmappene. 

Etter endt ansettelsesforhold vil mange opplysninger ikke lenger være nødvendig for å gjennomføre formålet med bruken av opplysningene. Når en ansatt slutter i virksomheten skal arbeidsgiveren gjennomgå personalmappen og slette unødvendig informasjon. Datatilsynet opplyser om at arbeidsgiver kan lagre opplysninger om hvem som har arbeidet i virksomheten, hvor lenge de har arbeidet i virksomheten og hvilke arbeidsoppgaver de ansatte hadde. I tillegg kan arbeidsgiver, av hensyn til tidligere ansatt, oppbevare attest skrevet ved avslutning av ansettelsesforhold. 

 

10. Personopplysningsforordningen på gravplassforvaltningens område
10.1 Avdøde er ikke omfattet av reglene om personvern

Forordningen gjelder ikke for behandling av personopplysninger om avdøde personer. En personopplysning om en avdød person vil dermed bare omfattes av lovens og forordningens regler hvis opplysningen samtidig inneholder personopplysning om en annen levende person.

Personopplysningene som er avgjørende å ta vare på i forbindelse med gravplassforvaltningen er derfor personopplysningene om fester eller pårørende (den som sørger for gravferden, gravferdsloven § 9), og opplysninger om avdød som avdekker personopplysninger om fester eller den som sørger for gravferden.

 

10.2 Behandlingsgrunnlag for personopplysning om fester og den som sørger for gravferden
Når det gjelder dette å oppbevare og innhente informasjon om fester i et gravregister eller register ved kremasjon, så er adgangen til å registrere fester i et gravregisteret inntatt direkte i Gravferdsforskriftens §19: «I tillegg til gravkart etter § 4 skal det for hver gravplass foreligge et kronologisk register over alle gravlagte. Registret skal vise når og hvor de er gravlagt, hvem som er fester eller ansvarlig for frigrav, hvilke graver som er festet sammen og når feste utgår. Gravregister omfattes av lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), og retten til innsyn i registret reguleres i lovens § 18.»

Gravferdsforskriftens § 35: «For hvert krematorium føres et kremasjonsregister som inneholder kremasjonsnummer, avdødes navn, fødselsdato, dødsdato, kremasjonsdato, askeurnens utleveringsdato samt stedet for gravlegging. Dersom fylkesmannen har gitt tillatelse til at asken spres for vinden, skal det gjøres anmerkning om dette. Bestemmelsene i § 19 gjelder tilsvarende så langt de passer.»

Den behandlingsansvarlige kan derfor etter forordningens artikkel 6 c) sies å ha et behandlingsgrunnlag grunnet følgende bestemmelse: «Behandlingen er lovlig dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige»

Behandlingsgrunnlag ved inngåelse av festeavtaler vil også ha behandlingsgrunnlag etter artikkel 6 (1) b, siden «behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.»

Dersom øvrige personopplysninger som skal behandles ikke knytter seg til rollen som fester eller den som sørger for gravferden, og ikke er nødvendig for å ha en avtale, vil behandlingsgrunnlaget være samtykke etter artikkel 6 (1) a. Dette vil bl.a. kunne omfatte personinformasjon knyttet til stellavtaler o.l.

 

10.3 Behandling av sensitive personopplysninger
Det er som tidligere nevnt viktig å huske på at opplysninger om avdøde, også sensitive opplysninger ikke ansees som personopplysninger og således ikke rammes av personopplysningsregelverket.

Når det imidlertid gjelder sensitive personopplysninger om fester, så er det kun samtykke som gjelder i denne sammenheng, siden det ikke er noen andre av unntakene i artikkel 9 som il gjøre seg gjeldende for å lagre sensitive personopplysninger om fester .

 

10.4 Fagsystemer innen gravplassforvaltning og andre kirkelige fagsystemer
KA og Kirkerådet er i dialog med leverandørene av kirkelige fagsystemer (Kirkedata, Agrando og Kommunion) om kravsspesifikasjoner til systemene slik at disse skal være oppdatert til gjeldende regelverk, samt inngåelse av databehandleravtaler som dekker ansvarsforholdet mellom databehandler og behandlingsansvarlig.

Det vil bli gitt nærmere informasjon til KAs medlemmer når dette arbeidet er ferdigstilt. 

Del i sosiale medier:
Powered by Cornerstone