Bli medlem

Deling av medlemslister

Foto: Scott Graham / Unsplashed

I denne artikkelen forklarer advokat Ove Andrè Vanebo hvilke lover og praksis som finnes for deling av foreningens medlemsliste.

Av Ove Andrè Vanebo, Kluge Advokatfirma

1. Innledning

1.1 Hva gjelder problemstillingen?

Flere foreninger har spurt om hvilket organ som skal vurdere rettslig grunnlag for utlevering av medlemslister, herunder om årsmøtet kan avgjøre dette og med hvor stort flertall.

Foreningene har også spurt om når det kan deles ut medlemslister i medhold av «berettigede interesser», som er en hjemmel for utlevering. Vi forklarer nærmere under hva dette innebærer.

Videre er det bedt om å avklare om det foreligger plikt til å utlevere medlemslister hvis det er tillatt i medhold av berettigede interesser.

1.2 Oppsummering av våre vurderinger

Generelt antar vi at det må være en relativt grei adgang til å dele personopplysninger innenfor en velforening, så lenge det er en god grunn for det. I en velforening vil mange kjenne eller kjenne til hverandre fra før, slik at det ofte er tale om informasjon som medlemmene allerede har. Velforeninger vil være mangfoldige, og det må tas hensyn til særegenheter ut fra om foreningen har noen titalls eller flere hundre medlemmer. Desto større velforeningen er, desto mer forsiktig bør foreningen være med å dele informasjonen. Vi anbefaler disse retningslinjene:

Gi informasjon om at opplysninger om medlemmer kan bli sendt ut. Vi anbefaler at det gjøres i en enkel personvernerklæring som forklarer hva informasjonen skal brukes til før innsamling.

Gi medlemmene mulighet til å reservere seg mot at kontaktinformasjon deles, slik at det ikke deles dersom det er gode grunner mot det.

Tenk alltid over om det er en god grunn til å dele informasjonen: Har vi en legitim grunn? Eller gjøres det av gammel vane eller på en ugjennomtenkt måte? Hva er motargumentene for å dele slike opplysninger?

Hvilke personopplysninger bør deles? Holder det med navn og adresse? Eller er det navn og telefonnummer som er viktig i den aktuelle situasjonen?

I samsvar med prinsippene om å minimere databruk og ha slettefrister, anbefaler vi at informasjon som er formidlet, f.eks. på ark i et årsmøte, destrueres etter bruken.

Det vil normalt være styret som bestemmer hva slags rettslig grunnlag for behandling som skal brukes for personopplysninger. Årsmøtet/generalforsamlingen kan normalt overprøve denne beslutningen, men det anbefales å avstå fra det. Vedtektene kan imidlertid ha bestemmelser som gjelder hvem som skal følge opp personopplysningsansvaret, og i så fall må vedtektenes organisering følges.

Dersom det foreligger en adgang til å behandle personopplysninger i medhold av «berettigede interesser», er det likevel ingen plikt til å utlevere personopplysningene til personer i foreningen.

2. Generelt om de rettslige rammene

2.1 Hva reguleres av personopplysningsloven?

Personopplysninger er all informasjon som kan knyttes til en bestemt fysisk person, f.eks. navn og adresse. Det er ingen tvil om at data tilknyttet en person i forbindelse med medlemslister vil utgjøre personopplysninger. Behandling av personopplysninger er regulert i EUs personvernforordning (heretter kalt «GDPR»), som er gjort til norsk lov gjennom personopplysningsloven (1). Med «behandling» som reguleres av GDPR siktes det til befatning med personopplysninger som skjer i automatisert form eller som skal inngå i et register, slik at også bruk og lagring av medlemslister utvilsomt er underlagt kravene i GDPR.(2)

(1) §1 GDPR artikkel 2 nr. 1

2.2 Generelt om adgangen til å dele medlemslister i medhold av «berettigede interesser»

GDPR forutsetter at all behandling av personopplysninger krever et rettslig grunnlag (hjemmel), som vanligvis omtales som et «behandlingsgrunnlag». Slike behandlingsgrunnlag er nevnt i GDPR artikkel 6 nr. 1, som ramser opp seks ulike grunnlag i bokstavene a til f. Her vil det være tale om å bruke «berettigede interesser» som behandlingsgrunnlag, se GDPR artikkel 6 nr. 1 bokstav f. Dette alternativet fastslår at opplysningsbehandling er tillatt hvis behandlingen er «nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart». Dette kan ikke gjøres dersom «den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger».

Berettigede interesser innebærer en «tretrinnstest»:

Har vi en berettiget interesse?

Dette vil i utgangspunktet vøre enhver lovlig interesse, eksempelvis at dere vil administrere og drifte foreningen på best mulig måte.

Veier den berettigede interessen mer enn interessene som taler mot utleveringen?

Foreninger som vil bruke informasjon må veie interessen av å bruke opplysningene opp mot argumentene og interessene mot å dele informasjonen. Her har dere et visst handlingsrom, og det mest sentrale er om det er foretatt en samvittighetsfull vurdering av de ulike hensynene.

3. Er det nødvendig å dele medlemslistene

(eller informasjon fra den) for å oppnå formålet?

Det kreves ikke at formålet som søkes oppnådd er umulig å nå uten å dele opplysninger, men det skal ikke vøre noen andre realistiske måter å oppnå det på som er mindre personverninngripende. I all hovedsak vil spørsmålet være om dere mer effektivt oppnår et formål ved å bruke opplysningene, for eksempel å informere om hvem som har stemmerett på et årsmøte.

Hvis dere kommer frem til at det er så sterke interesser som taler mot utlevering at «berettigede interesser» ikke kan brukes som grunnlag, kan deling gjøres med samtykke (3).

(3) Datatilsynet, Ofte stilte spørsmål Frivillige foreningers behandlings av personopplysninger, 2018 s. 5.

Når kan medlemslister deles innenfor velforeninger?

3.1 Generelt om problemstillingen

Vi er blitt spurt om utleveringsadgang knyttet til «medlemslister». Vi vil derfor presisere at personopplysningsloven regulerer behandling av personopplysninger, og ikke lister som utgjør systematiserte sammenstillinger av opplysninger. Uttrykket «medlemslister» kan også betegne en rekke ulike sammenstillinger: Noen lister vil bare ha oversikt over navn, mens andre lister er mer utfyllende og har informasjon om bl.a. kontaktinformasjon og kontingentbetaling.

For å forklare hva som er tillatt, vil vi derfor gå inn på personopplysningskategorier.

Vi legger til grunn at det ikke deles informasjon om for eksempel religiøs tilhørighet eller andre opplysninger som anses som «særlige kategorier»/»sensitive» personopplysninger (4)

Hvis formålet med medlemslistene er ren administrasjon av medlemskapet, slik at man skal holde oversikt over medlemmene, kunne kontakte dem, sende ut informasjon osv., vil nok utgangspunktet være at medlemslistene ikke kan utleveres (med mindre det foreligger tungtveiende grunner). Dersom medlemslistene derimot er ment for å tilgjengeliggjøre dem for medlemmene, vil det derimot være et utgangspunkt at listene kan utleveres (5). Det kan anbefales å fastsette dette i vedtektene, slik at det blir tydelig hva opplysningene skal brukes til. Det må i alle tilfelle informeres om ved innsamling av informasjonen at den er også ment utlevert til andre.

(4) GDPR artikkel 9 nr. 1

(5) Datatilsynets brev datert 23. juli, referansenr. 201313/00693-2/AJH

3.2 Navn på medlemmer

Det vil være relativt vid adgang til å dele personopplysninger som navn innenfor en forening, såfremt det er informert på forhånd at et formål med å bruke medlemslister er å gi ut informasjon om hvem som er medlemmer av foreningen. Innenfor velforeningen vil det ofte være medlemmer som kjenner (til) hverandre, og det er en uformell organisering for rimelig ukontroversielle saker, noe som tilsier at det bør være adgang til å dele navn.

Det danske Datatilsynet går så langt som å si at en forening i utgangspunktet kan dele en medlemsliste i foreningsblader og på lukkede sider på internett uten de enkelte medlemmers samtykke. De understreker imidlertid at det alltid skal være en god grunn (6). Dette kan være at dere vil opplyse om hvilke medlemmer som kan være aktuelle for å stille til valg.

(6) Datatilsynet 2018 s. 15.

3.3 Kontaktinformasjon

Også kontaktinformasjon kan i prinsippet deles i medhold av berettigede interesser, men dere bør vise større varsomhet enn om det deles kun navn.

Det svenske datatilsynet, Datainspektionen, anser at det kan gjøres, men at man bør være forsiktig med å dele informasjon, og passe på hvis noen lever med hemmelig adresse eller lignende (7). Det nevnes at samtykke kan være et grunnlag, men angis ikke som det eneste (8). Det er heller ikke antatt at man må generelt få samtykke for å dele telefon eller annen kontaktinformasjon.

Så lenge det gjelder en legitim og saklig interesse, vil det stort sett være lov å dele personopplysninger som navn blant medlemmene, f.eks. for å ivareta drift i foreningen (9). Dersom noen har gitt beskjed om at de har hemmelig telefonnummer eller lignende, bør informasjonen ikke deles.

«Man bör ta hänsyn till att en medlem kanske inte vill att hens uppgifter sprids till övriga medlemmar vie e-post. Det kan exempelvis finnas medlemmar som har skyddad adress eller hemligt telefonnummer. Det krävs även att medlemmarna fått information om att medlemsregistret kan komma att skickas ut.”

”För att det ska vara tillåtet att skicka ut medlemsregistret måste man ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund kan vare samtycke från medlemmen.”

(7) Datatilsynets brev av 2. September 2016, referansenr. 16/01332-2/RBT

3.4 Offentliggjøring av medlemslister på en åpen nettside

Dette kan i utgangspunktet ikke gjøres uten at dere har fått samtykke fra det enkelte medlem (10).

(10) Datainspektionen og det danske Datatilsynet

3.5 Betalingsinformasjon

Det vil være problematisk å dele informasjon i lister som viser hvem som har betalt kontingent eller ikke. Her anbefaler vi at dette er informasjon som brukes i mer avgrensede situasjoner. Det er mindre tenkelig at det generelt kan deles med andre medlemmer. Vi antar at i alle fall styret bør ha denne informasjonen og kan bruke den til bl.a. å få inn betaling, undersøke stemmerett (i den grad stemmerett er knyttet til kontingent) og andre rettigheter i forbindelse med arrangementer, for eksempel årsmøtet.

4. Hvem bestemmer valg av behandlingsgrunnlag?

4.1 Innledning

Norske foreninger er ingen homogen gruppe, og det er heller ingen generell lov som bestemmer hvilket organ som skal etterleve kravene til personopplysningsbehandling. Alminnelige foreningsrettslige regler vil derfor følge av praksis og annen ulovfestet rett (11). Det finnes også særreguleringer som det er naturlig å se hen til, som samvirkeloven for samvirkeforetak og burettslagslova for borettslag.

Det er stor valgfrihet i den måten den enkelte forening kan organisere seg på, og det bør vises tilbakeholdenhet med å oppstille generelle regler for behandling. (12)

(11) Geir Woxholth, Foreningsrett, 3. utganve 2008 s. 44

4.2 Utgangspunktet: Styret bestemmer behandlingsgrunnlag

Hvis det ikke er bestemt noe spesielt i vedtektene eller årsmøtet/generalforsamling har gitt føringer om GDPR, er det naturlig at styret bestemmer behandlingsgrunnlag (gitt at foreningen har et styre).

Styret har et overordnet ansvar for den alminnelige forvaltning av foreningen. Generelt kan det sies at myndigheten vil omfatte det som naturlig kan sies å høre inn under den alminnelige, daglige forvaltning og tilsyn i foreningen (13). Styret i en forening har blant annet ansvar for ivaretagelsen av forholdet til offentlige myndigheter (14). Et annet moment er at saker om personvern kan komme opp såpass ofte at det er behov for å ta løpende stilling til spørsmål. I fall vil det rent praktisk være vanskelig å overlate beslutningen til årsmøtet/generalforsamlingen som normalt bare møtes èn gang årlig (15).

Standpunktet styrkes også ved å se på selskapsrettens lover. Styret har ansvaret for forvaltningen av selskapet (16). Videre har styret ansvaret for «den daglige ledelse», i de tilfeller hvor selskapet ikke har daglig leder (17). Styret som organ er primært ansvarlig for å følge opp GDPR pga. sin plikt til forsvarlig forvaltning av selskapet i henhold til aksjeloven §6-12.

(13) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 331-332

(14) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 331-332

(15) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 336-337

(16) Aksjeloven §6-12

(17) Aksjeloven §6-14 første ledd annet punktum

4.3 Vedtektenes regulering

Det er ikke et generelt krav om at foreninger har ulike organer, men det er likevel vanlig at en bestemt organisering følger av foreningens vedtekter (18). Hvilket organ som fatter beslutninger på vegne av en forening, beror nemlig også på hvordan foreningen er organisert gjennom vedtekter. Utgangspunktet er da at bestemmelsesrett tillegger det organ som «etter vedtektene er kompetent som kan treffe bindende vedtak i en sak» (19). Dersom vedtekten bestemmer noe vedrørende oppfølging av personopplysningsloven, skal det følges.

(18) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 247

(19) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 250

4.4 Kan årsmøtet/generalforsamlingen overstyre styrets beslutning?

Årsmøtet/generalforsamlingen er velforeningens overordnede organ. Det er vanlig å møtes i årlige møter (20).

Det at årsmøtet/generalforsamlingen er et overordnet organ, betyr at den «rent prinsipielt kan ta standpunkt til ethvert spørsmål som berører foreningen» (21). I prinsippet kan derfor årsmøtet/generalforsamlingen gjøre om alle de beslutninger som treffes av styret og administrasjonen, såfremt det ikke gjelder særlige begrensninger, for eksempel gjennom vedtektsreguleringer (22). Foreningens vedtekter kan for eksempel legge et spesifikt ansvarsområde til styret, eller avskjære årsmøtet/generalforsamlingens adgang til å omgjøre visse beslutninger.

Selv om styret vil bestemme i det daglige, vil det neppe innskrenke årsmøtets/generalforsamlingens omgjøringsadgang (23). Trolig vil dette gjøre at årsmøtet/generalforsamlingen kan overprøve styrets avgjørelse om behandlingsgrunnlag (24). Dette kan avgjøres utfra simpelt flertall, med mindre foreningens vedtekter bestemmer noe annet med hensyn til avstemningsregler.

Det fremstår imidlertid svært upraktisk å bruke eller plassere myndighet for oppfølging av GDPR hos årsmøtet/generalforsamlingen, som kanskje kun møtes èn gang i året. Vi fraråder derfor sterkt at årsmøtet/generalforsamlingen går i detalj inn på slike spørsmål, også fordi det er vanskelig å få en tilstrekkelig opplysning av slike saker innenfor et kort årsmøte.

(20) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 247.

(21) Generalforsamlingen er også et obligatorisk organ etter samvirkelovens §35 og burettslagslova §7-

(22) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 257

(23) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 256-257

(23) Geir Woxholth, Foreningsrett, 3. utgave 2008 s. 256-257

(24) Dag Wiese Schartum, Norsk Lovkommentar til personopplysnngsloven (opphevet) (2012), note 10: «Den instans innen hierarki med den øverste instruksjonsmyndigheten, vil ofte være behandlingsansvarlig. Når behandlingen av personopplysninger skjer i regi av en bedrift eller annen juridisk person, vil vedkommende virksomhets øverste leder være behandlingsansvarlig. Dette innebærer at behandlingsansvarlig i store organisasjoner må plasseres høyt over de nivåer i organisasjonen som har daglig ansvar. Behandlingsansvarlig må derfor ofte delegere til underordnede, og plassere daglig ansvar på det nivå som er nødvendig for riktig og forsvarlig etterlevelse av lovens mv. bestemmelser …»

5. Er det en plikt til å utlevere medlemslister?

Det er ingen plikt til å utlevere personopplysninger selv om det foreligger berettigede interesser, noe som ble slått fast i en dom fra EU-domstolen i 2017 (25).

Bakgrunnen for saken var en trafikkulykke i Riga. En drosjesjåfør hadde stoppet bilen sin ved veikanten. Da en trolleybuss kjørte opp på siden av drosjen, ble drosjedøren åpnet av en passasjer som satt i baksetet. Døren traff og skadet (skrapte opp) trolleybussen.

En sak ble innledet, og det ble registrert en rapport om en administrativ forseelse. Selskapet som administrerer trolleybussen, Rîgas satiksme, ba om erstatning fra forsikringsselskapet som dekket ansvar for eieren eller rettmessig bruk av den aktuelle drosjen. Forsikringsselskapet nektet imidlertid å betale kompensasjon til Rîgas satiksme. Rîga satiksme ba derfor om å få tilgang til politiets identitets- og kontaktinformasjon til en person som var involvert i ulykken, slik at selskapet kunne anlegge søksmål om saken. Det var ingen tvil om at det her handlet om personopplysninger, og at det var en berettiget interesse i å innhente personopplysningene.

Saken ble behandlet i EU-domstolen, der dommerne avviste anførselen fra Rîgas satiksme om at det forelå en plikt til utlevering. Alternativet «berettiget interesse» som lovlig grunnlag for behandlingen er ment som en tillatelse til å behandle personopplysninger. Med henvisning til ordlyden kan det derimot ikke anses som en «plikt» til å behandle personopplysninger (26), og følgelig heller ikke plikt til å utlevere personopplysninger selv om Rîgas satiksme ville ha berettiget interesse i å innhente data fra politiet.

(27) C-13/16 Rigas av 4. mai 2017

(26) Som generaladvokaten påpekte i punkt 43-46 i sin uttalelse, kan en slik tolkning også utledes fra andre kilder i EU-lovgivningen som gjelder personopplysninger, f.eks. Promusicae, C275/06, EU: C: 2008: 54, avsnitt 54-55

Få juridisk bistand