Personvernarbeid i menigheten (GDPR)

I det følgende gir vi en enkel gjennomgang av sjekkpunktene til hvordan fellesråd, menighetsråd, ansatte og frivillige, på vegne av menigheten, skal forholde seg til de nye personvernkravene. For å overholde personvernreglene må alle virksomheter og organisasjoner ha kontroll på personopplysninger som innhentes, lagres og brukes. Men hva betyr det egentlig å ha kontroll på personopplysninger? Behandlingsansvar for personopplysninger kan følge både av rettslig kompetanse, men også som følge av faktiske beslutninger. Svarene finner du i denne artikkelen.

Foto Pete Linforth fra Pixabay

Hele artikkelen om Personvernarbeid i menigheten (GDPR) med vedlegg kan lastet ned her

Man har bare kontroll dersom man:

  1. Har et rettslig grunnlag for å innhente og sitte med personopplysninger
  2. Er trygg på at kirken som virksomhet går god for hvordan opplysningene lagres
  3. Ivaretar rettighetene til dem personopplysningene gjelder (f.eks. sletting),
  4. Har rutiner for overholdelse av kravene.

Vi håper, med denne artikkelen, at din hverdag blir enklere i relasjon til GDPR og personvern. Det anbefales at alle punkter leses gjennom, her kan du også laste ned Personvernarbeid i menigheten (GDPR) som PDF.

Du finner også informasjon om GDPR, personvern og annet på kirken.no

 

Rutiner

For å ha kontroll på personopplysninger må det nødvendigvis foreligge rutiner som følges, og vurderingene i tilknytning til rutinene og de vurderingene vi har gjennomgått her må kunne dokumenteres. Bare slik kan det sørges for at rutinene og bevisstheten rundt behandlingen av personopplysninger etterleves tilfredsstillende. Rutiner bør kunne dokumenteres, jf. ansvarsprinsippet i personvernforordningen art. 5 nr. 2.

Still derfor disse spørsmålene:

  • Har vi kontroll på grunnlaget for å sitte med personopplysninger og formålet med disse i den enkelte sammenheng?
  • Har vi kontroll på hvor vi lagrer personopplysninger fysisk og digitalt, og hvor vi eventuelt godtar midlertidig lagring/oppbevaring for bruk i det enkelte tilfelle?
  • Er vi oppmerksomme på rettighetene til de registrerte?

Har vi rutiner, etterleves de, og sørger vi for den dokumentasjonen vi skal ha i denne sammenheng?

  • Sletting fra Internett
  • Bilder og bilder i arkiv
  • Bilder og navn på barn og ungdom
  • Situasjonsbilder uten fokus på enkeltpersoner
  • Alder og personlige brev
  • Lister med e-post og mobilnumre
  • Utsending av nyhetsbrev og lignende generelle e-poster
  • Lister fra arrangementer hvor deltagere ikke er medlemmer i Dnk
  • Mulighet for avmelding fra lister med nyhetsbrev o.l.

 

Til toppen

 

Behandlingsgrunnlag - innhenting og oppbevaring av personopplysninger

Etter at GDPR nå er innført er ikke «kjekt å ha» lenger et grunnlag for å sitte med personopplysninger. GDPR krever et bevisst forhold til hvilke personopplysninger det er lovlig å oppbevare og hvilke opplysninger som må slettes.

Det må foreligge et rettslig grunnlag – et såkalt «behandlingsgrunnlag» – for å kunne innhente, lagre og bruke personopplysninger om andre. Enkelt forklart: «Behandlingsgrunnlaget» er den grunnen du har for å innhente, lagre og bruke personopplysninger. Dette gjelder naturligvis ikke i rent private sammenhenger, men som virksomhet må Den norske kirke følge reglene.

Personopplysninger som innhentes og brukes i medlemsregisteret er lovlige og reiser ingen problemstillinger med tanke på behandlingsgrunnlag, fordi det foreligger hjemmel til dette i Forskrift om Den norske kirkes medlemsregister.

Når menigheten har behov for å innhente og bruke personopplysninger utover det som ligger i medlemsregisteret, eventuelt å benytte opplysningene i medlemsregisteret til andre formål, er det nødvendig å ha et eget behandlingsgrunnlag (lovlig grunnlag).

For lovlig å kunne sitte med personopplysninger, som f.eks. en liste med e-poster og mobilnummer, blir altså spørsmålet om vi lovlig kan basere dette på:

  1. Forskrift om Den norske kirkes medlemsregister,
  2. Skriftlig samtykke, eller
  3. Berettiget interesse

 

I Kirkerådets rundskriv nr. 1/2018 forklares disse hjemlene som grunnlag for å innhente og bruke personopplysninger:

1.  Forskrift om Den norske kirkes medlemsregister

Forskriften regulerer hvilke opplysninger som kan lagres i registeret, og utgjør selv et rettslig grunnlag for å kunne innhente disse opplysningene.

Opplysninger som er lagret i medlemsregisteret kan for  eksempel brukes i sammenheng med kirkelige tiltak som opplæring, diakonale tiltak, og barne- og ungdomsarbeid. Forskriften utgjør et gyldig behandlingsgrunnlag for å bruke opplysningene i dette registeret til å sende ut invitasjoner til slike aktiviteter.

 

2.  Samtykke

Ved noen behandlinger vil det være nødvendig å innhente samtykke som behandlingsgrunnlag, for eksempel når det innhentes helseopplysninger eller når det tas bilder av personer som skal brukes på menighetens nettsider eller i menighetsbladet. Samtykke behøver ikke nødvendigvis være skriftlig, men det skal være dokumenterbart.

Det kreves dessuten samtykke når man vil registrere og behandle personopplysninger fra personer som man vet ikke er medlemmer i Den norske kirke.

Forslag til samtykkeskjema som kan brukes til bruk av bilder som blir tatt under et arrangement finner du her.

 

3.  Berettiget interesse

«Berettiget interesse» er et lovlig behandlingsgrunnlag på lik linje med medlemsforskriften og skriftlig samtykke. Berettiget interesse sikter til at man i en konkret situasjon har lovlig interesse i å sitte med bestemte personopplysninger.

I de tilfeller hvor medlemsregisterforskriften ikke strekker til som hjemmelsgrunnlag, slik som for lagring av e-post og telefonnummer, legges det til grunn at Den norske kirke normalt har berettiget interesse i å kunne innhente og lagre slike opplysninger, i den grad aktiviteten har sammenheng med opplysninger og aktiviteter regulert av medlemsregisterforskriften.

Fra Lovdata:
Artikkel 5.Prinsipper for behandling av personopplysninger

  1. Personopplysninger skal
    1. behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte («lovlighet, rettferdighet og åpenhet»),
    2. samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal, i samsvar med artikkel 89 nr. 1, ikke anses som uforenlig med de opprinnelige formålene («formålsbegrensning»),
    3. være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»),
    4. være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes («riktighet»),
    5. lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»),
    6. behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og konfidensialitet»).

Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).

Men selv om Den norske kirke i flere tilfeller kan basere seg på såkalt berettiget interesse i flere tilfeller hvor medlemsregisterforskriften ikke er tilstrekkelig som behandlingsgrunnlag, løser ikke det alle utfordringer. Når berettiget interesse brukes som behandlingsgrunnlag, skal alltid den personen som personopplysningene gjelder få opplyst følgende ved innhenting av opplysningene:

  • Hvem er behandlingsansvarlig kontakt i virksomheten?
  • Hva er formålet med innhentingen og bruken av opplysningene?
  • Hvilken berettiget interesse man legger til grunn?
  • Hvor lenge lagres opplysningene?
  • Retten til sletting av opplysninger?

Poenget er at dette er informasjon som den registrerte ellers ville ha fått ved bruk av samtykkeskjemaer og som gjelder den registrertes rettigheter til å bli informert for å kunne ivareta sine interesser. Vi ser da at forskjellen fra å basere seg på samtykkeskjemaer ikke blir så stor.

Eksempel på tekst som kan ligge i bunn av e-post finner du her

For e-postadresser, mobilnumre og lister som allerede var lagret før innføringen av GDPR i 2018, har Kirkerådet i sitt rundskriv lagt til grunn at:

  • Disse kan beholdes uten å måtte kontakte de registrerte på nytt, så lenge man har et klart formål med å ha disse opplysningene registrert.
  • Dersom man ønsker å benytte opplysningene til et annet formål enn det man samlet inn opplysningene til, skal man informere den registrerte slik at denne har mulighet til å reservere seg eller kreve opplysningene slettet om ønskelig.

Lagring av navn, adresser, fødselsdatoer, e-poster og mobilnumre

Så lenge det foreligger et behandlingsgrunnlag, kan en lagre og behandle personopplysninger. Behandlingsgrunnlag i kirkelig sammenheng er først og fremst medlemsregisterforskriften og berettiget interesse, og ellers skriftlig samtykke når det er nødvendig. På dette grunnlaget kan opplysninger som navn, adresser, e-post og mobilnummer lagres.

Merk at ved innhenting av slike opplysninger med hjemmel i «berettiget interesse», har fortsatt den registrerte rett til å bli informert om blant annet formålet med informasjonsinnhentingen og hvem som er behandlingsansvarlig. Dette er informasjon man ellers ville fått gjennom samtykkeskjemaer. Denne informeringen bør skje standardisert. Se eksemplet ovenfor.

 

Til toppen

 

Lagring og oppbevaring - Hvor og hvordan

Personvernreglene gir ingen klar fasit på hvor opplysninger skal lagres og ikke, når de først er lovlig innhentet. I stedet overlates dette til hver enkelt menighet å vurdere ut fra en konkret vurdering av risiko.

Det må derfor konkret vurderes hvor det er nødvendig og i orden at opplysningene lagres. For eksempel om det er i orden å lagre informasjonen på en lokal PC eller på en mobiltelefon. Dette må vurderes ut fra hensynet til forsvarlighet på den ene siden, og hensynet til praktiske behov på den annen side.

Forsvarlighet og kontroll tilsier at opplysningene bare bør være lagret på ett sted med nødvendig sikkerhet og tilgangsstyring, slik som i en database. For eksempel er Kardinal er en sikker database for oppbevaring av personopplysninger.

Fra tid til annen vil det imidlertid være nødvendig å gjøre uttrekk av opplysninger for å kunne bruke opplysningene for det formålet de er innhentet for, for eksempel som en liste lastet ned på en bærbar PC, på en telefon, i et Excel-skjema eller i utskrift på papir. I alle slike tilfeller forutsettes det at menigheten har vurdert og går god for at det er i orden at opplysningene lagres slik.

Eksempel:

Menigheten vurderer og går god for at Anne sin bærbare PC kan ha lagret listen med oversikt over deltakerne på turen. Det er da viktig å huske å slette disse duplikatopplysningene når arrangementet er gjennomført, slik at opplysninger ikke blir liggende på den betrodde personens PC utover det som er nødvendig.

 

Følgende programmer anbefales for forsvarlig lagring av personopplysninger:

Kardinal / Medarbeideren:

Etter GDPR er det nødvendig å kunne innhente, oppbevare og slette personopplysninger på en forsvarlig måte. Til å hjelpe oss med dette har vi Kardinal og Medarbeideren. Her har man sikker kommunikasjon med medlemsregisteret og mulighet for å lagre også andre personopplysninger som ikke skal i medlemsregisteret, men som man har «berettiget interesse» til å håndtere eller som man har hentet inn gjennom samtykke.

 

MinKirkeside (https://minkirkeside.no/oslo) (Kardinal)

Dette er en side for påmelding til dåp, konfirmasjon og aktiviteter. Regler for samtykke og sletting blir håndtert automatisk når man bruker MinKirkeside. Man slipper dermed å lage andre systemer for håndtering av samtykke. Og man kan innhente skriftlig samtykke når det er nødvendig, f.eks. til bruk av bilde, offentliggjøring av navn, informasjon om andre aktiviteter i menigheten som ikke kan baseres på grunnlaget berettiget interesse.

 

MinKirkeApp (Kardinal)

MinKirkeApp er en forenklet versjon av Kardinal på mobilen. Her har man oversikt over gudstjenester og medhjelpere, konfirmanter, gravferder og vielser, og aktivitetslister med medlemmer. Man kan registrere fremmøte og sende e-post og SMS. Dermed kan man vurdere i hvilken grad det er nødvendig å skrive ut eller lagre lister med personopplysninger andre steder, f.eks. for å ta med på konfirmantleir.

Agrando bruker egne løsninger.

 

Til toppen

 

Sletting fra internett - Slett meg

I 2014 slo EU-domstolen fast “retten til å bli glemt”, som pålegger søkemotorene å tilby folk en mulighet til å få fjernet treff om seg selv, selv om kilden til treffet fortsatt finnes. Den beste og sikreste metoden for å få vekk et treff fra søkemotorer, er ved å få innholdet slettet fra kildesiden, altså nettsiden søkemotoren henter innholdet fra.

Om du har lagt ut navnet på noen på nettsiden til menigheten og de ønsker å bli slettet, kan du gjøre følgende:

1) Slett navnet i den aktuelle artikkelen

2) Gå inn på Googles side for fjerning av utdatert innhold, som du enkelt finner her: https://www.google.com/webmasters/tools/removals. Fyll deretter inn URL-lenken (den helt konkrete nettadressen) til treffet du vil ha fjernet, og trykk på BE OM FJERNING.

Les mer på www.slettmeg.no for tips og forklaringer om sletting fra Facebook og andre plattformer på internett.

Her kan du se hvorden man kan melde seg inn og ut Den norske kirke

 

Til toppen

 

Bilder 

Bilder regnes som personopplysninger, og det må avklares gjennom samtykket hvordan bildene kan brukes. Bildene kan bare publiseres så langt det er i tråd med samtykket, uansett om det gjelder internt på en lukket Facebook-gruppe eller på åpne internettsider.

Prinsippet om lagringsbegrensning tilsier at gamle bilder ikke lagres i lenger tid enn det formålet tilsier. Dersom bildene inngår i arkivet, vil dette fortsatt være et berettiget formål. Dette innebærer at de gamle bildene ikke nødvendigvis må slettes etter hvert som tiden går, men det bør være gjennomtenkt i menigheten hva som lagres, hvor bildene lagres og hvorfor de lagres.

 

Bilder og navn på barn og ungdom

Portrettbilder med navn, og nærbilderbilder av barn og ungdom forutsetter samtykke fra alle på bildet før publiseringen. Klassebilder/gruppebilder defineres også som portrettbilder. Det er slik at eksponering som ledd i markedsføring av for eksempel konfirmasjon har nær tilknytning til den enkeltes tro og livssyn. Dette regnes derfor som sensitive personopplysninger. Datatilsynet og Forbrukerombudet forutsetter derfor at det innhentes samtykke fra foreldrene frem til fylte 18 år. Et gitt samtykke vil senere kunne trekkes tilbake både av den mindreårige og av foresatte.

Det må også avklares gjennom samtykket hvordan bildene kan brukes. Bildene kan bare publiseres så langt det er i tråd med samtykket, enten det gjelder internt på lukket Facebook-gruppe eller på åpne internettsider og Facebooksider. For å møte kravene til oppbevaring av personopplysninger, bruker vi de digitale mulighetene vi har i Kardinal og Medarbeideren.

Opplysninger om at en person planlegger å delta i en kirkelig handling, som for eksempel innskriving til konfirmasjon, er taushetsbelagt etter forvaltningsloven. For gjennomførte kirkelige handlinger i en offentlig gudstjeneste hvor handlingen dermed er offentlig kjent, gjelder dette naturligvis ikke.

Det må likevel være anledning til å reservere seg mot at navnet på vedkommende publiseres. I forbindelse med rutiner for innhenting av samtykke må det også innarbeides en praksis med tydelig angivelse av hvor publiseringen skal skje.

Les mer om samtykkeskjema for bilder av barn og unge hos Datatilsynet.

 

Situasjonsbilder uten fokus på enkeltpersoner

Situasjonsbilder uten fokus på enkeltpersoner, slik som folkemassebilder på 17. mai, kan i utgangspunktet deles på internett uten samtykke fra personer på bildet, så lenge bildene er harmløse og ikke på noen måte er krenkende for de som er avbildet.

En gudstjeneste kan oppleves som en spesiell anledning for de involverte, og dette er det viktig å ta hensyn til. En god hovedregel er derfor at også slike bilder ikke deles uten samtykke.

 

Til toppen

 

Personlige brev og e-post

Forskriften om Den norske kirkes medlemsregister slår fast at opplysningene i registeret kan brukes til nærmere bestemte tiltak i menigheten, som for eksempel tilbud om kirkelig opplæring. Hvorvidt invitasjonen bør adresseres til foresatte eller direkte til barnet, vil kunne være forskjellig avhengig av hvor gammelt barnet er.

Invitasjon til å motta fireårsbok bør adresseres til foresatte, og en bør særlig være oppmerksom på dette når man ønsker å invitere barn som ikke er døpt og bare står oppført som tilhørig i medlemsregisteret.

Å avgjøre spørsmål om å få delta i trosopplæringstiltak hører under foreldreansvaret. Etter alder og utvikling får barnet økt selvbestemmelsesrett. For 14-årige konfirmanter bør det derfor være uproblematisk å adressere invitasjon direkte til dem enten de er medlemmer eller tilhørige. Hvor grensen ellers bør gå, er det ikke gitt nærmere retningslinjer om. Ved inn- og utmelding er det i forslaget til ny trossamfunnslov lagt opp til en 12-årsgrense for aktivt samtykke fra barnet, og dette kan kanskje være en rettesnor for når man bør sende invitasjoner til foreldre/foresatte eller direkte til barnet. 15 år er gjeldende rett,  ettersom forslaget ikke er vedtatt ennå.

 

Lister med e-post og mobilnumre

Vi kan i mange tilfeller benytte behandlingsgrunnlaget berettiget interesse når vi ønsker å bruke telefonnumre og e-post. Vanlige brev har behandlingsgrunnlag i forskriften om medlemsregisteret.

I tillegg må man ta hensyn til sikker oppbevaring og dataminimering. Telefonnumre og e-post kan ikke lagres i medlemsregisteret. Det er da hensiktsmessig å benytte et fagsystem (Kardinal eller Labora/Medarbeideren) til lagring. Lager man lister i Word/Excel skal man være forsiktig med oppbevaring og spredning. Har man telefonnumre/e-post lagret i et fagsystem, bør man slette nedlastede filer (duplikatopplysninger) med en gang man er ferdig med formålet.

 

Utsending av nyhetsbrev og lignende generelle e-poster

Det er lov å sende nyhetsbrev til de som har døpt barna sine. Etter GDPR-reglene må bruk av for eksempel en e-postadresse ha et såkalt «behandlingsgrunnlag». Her er det flere alternativer hvor blant annet «samtykke» kan være et av behandlingsgrunnlagene. Bruk av e-post til oppfølging av medlemmer vil normalt dekkes av alternativet «berettiget interesse».

 

Lister fra arrangementer hvor deltagere ikke er medlemmer

I dette tilfellet kreves skriftlig samtykke fra den som blir registrert.

Grunnen til dette er at deltakerne ikke er medlemmer av Den norske kirke, og behandlingen av personopplysningene har da verken utgangspunkt i medlemsregisterforskriften eller berettiget interesse i forlengelse av registeret.

 

Mulighet for avmelding fra lister med nyhetsbrev o.l.

I alle e-poster som sendes ut, både til medlemmer og andre deltagere, må det lettfattelig stå forklart hvordan man melder seg av e-postlisten. Det samme gjelder SMS.

Til toppen

Beklager, men vi kan ikke finne din posisjon pga instillingene i nettleseren din. Du må tillate autolokasjon for å kunne benytte denne funksjonaliteten:

Se instruksjoner for din nettlester under:

Internet explorer

Internet options / Privacy / Location / klikk på "Clear sites"

Chrome

Settings / Advanced / Priacy and security / Content settings / Location -> Fjern "kirken.no" fra blokkert-lista

Firefox

Options / søk etter "location" / settings / Fjern "Kirken.no" fra blokkert

Safari

Settings for this website / Location -> "Allow"