Personvern
Foto: Scott Graham / Unsplashed
Sist endret: 08.06.23
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.
Av partner Karoline Robertson, advokat og assosiert partner i Aurlien Vordahl & Co Advokatfirma AS
Med «personopplysninger» forstås enhver opplysning som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes også som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen.
Velforeninger må følge personopplysningsloven, med videre henvisning til EUs personvernforordning («GDPR»), når den behandler personopplysninger om sine medlemmer. I praksis faller ansvaret på styret.
Lovreguleringen knyttet til GDPR rammer videre enn styrets taushetsplikt. Blant annet setter den begrensninger for hvilke formål personopplysninger kan brukes for, hvor lenge personopplysninger kan oppbevares, hvilke rettigheter personene har. Fortrolig håndtering av opplysninger i lys av taushetsplikten er derfor ikke nok for å etterleve GDPR i praksis.
Hvilke formål personopplysninger kan brukes for – behandlingsgrunnlag
All behandling av personopplysninger skal ha et spesifikt, uttrykkelig angitt formål som er saklig begrunnet i virksomheten, jf. GDPR art. 5 nr. 1 bokstav b.
For å sikre drift av velforeningen og ivaretakelse av medlemmenes interesser, foreligger et saklig behov for å innhente og oppbevare medlemsopplysninger som navn, adresse, telefonnummer og e-post. Slik informasjon er eksempelvis nødvendig å fakturere medlemskontingenten eller for å kunne innkalle til årsmøte.
I praksis foreligger det derimot ikke et generelt saklig behov for styret å innhente og behandle medlemmers fødselsnummer. Unntak kan likevel tenkes, eksempelvis der et medlem ønsker skattefradrag, og foreningen må gi informasjon om dette til skattemyndighetene.
Hvor lenge personopplysninger kan oppbevares
Medlemsopplysninger skal oppbevares så lenge det er nødvendig i lys av det angitte formålet og det saklige behovet som begrunner oppbevaringen. I skatteeksempelet over, er det ikke nødvendig å oppbevare medlemmets fødselsnummer når prosessen med skattemyndighetene er ferdig. Når et medlem melder seg ut av foreningen er det ikke lenger nødvendig å oppbevare noen som helst personopplysninger om medlemmet.
Medlemsopplysningene skal dermed slettes ved utmelding, med mindre det gis et uttrykkelig samtykke til lengre oppbevaring. Dette kan for eksempel være praktisk hvis et medlem kan få tilbake tidligere opptjente fordeler eller ansiennitet hvis man melder seg inn i foreningen på et senere tidspunkt. Det må være klart hva samtykke innebærer, slik at personopplysningene slettes når samtykke ikke lenger er dekkende for den situasjonen samtykke er gitt for.
Hvilke rettigheter de registrerte har
De registrerte medlemmene har rett til uoppfordret å motta informasjon om hvordan deres personopplysninger behandles. Slik informasjon kan gis gjennom en såkalt «personvernerklæring» på nettsiden til velforeningen
De registrerte medlemmene har videre rett til å få innsyn, herunder rett til å få kopi, av de personopplysningene som er registrert om vedkommende. Styret må eventuelt skriftlig begrunne avslaget på innsyn, og vise til relevant unntakshjemmel.
Videre har man rett til korrigering ved uriktige personopplysninger og rett til å få personopplysningene slettet hvor opplysningene ikke lenger er nødvendig å oppbevare i lys av formålet de ble samlet inn for. Sletting skal også skje når personopplysningene oppbevares på bakgrunn av et gitt samtykke og samtykke trekkes tilbake, men mindre det etter slik tilbaketrekking fremdeles foreligger et rettslig grunnlag for å beholde opplysningen.
Dokumentasjon for å kunne påvise etterlevelse
Styret i en velforening må kunne dokumentere sine retningslinjer og rutiner knyttet til etterlevelsen av GDPR, og i tillegg ha systemer som sikrer at GDPR følges i praksis.