EUs forordning for personvern (GDPR) blir norsk lov i 2018, og erstatter da dagens regelverk rundt bruk og oppbevaring av personopplysninger. Slik det nå ser ut vil dette i Norge tidligst skje 1 august 2018. Dette fordi Norge er et EØS land og det er noen formelle hindre som gjør at implementering ikke kan skje 25. mai 2018, som det gjør i EU for øvrig. Uansett – vi vet at nytt regelverk kommer.

Disse nye reglene gir organisasjoner og virksomheter noen nye plikter, samtidig som de registrerte får nye rettigheter. Det som imidlertid er viktig å huske i disse GDPR tider er at mye av det som gjelder i dag etter personopplysningsloven også vil være gjeldende rett etter at GDPR er trådt i kraft.


I artikkelen setter vi fokus på spørsmål vi har erfart at mange frivillige organisasjoner lurer på. Vi ser også at mye av det som i dag kan virke uklart egentlig dreier seg om markedsføringsloven, og ikke GDPR. Dette vil derfor følgelig heller ikke endres med GDPR.

 

Advokat Therese Fevang

Hvordan kan vi kommunisere med våre kunder? Endres dette av GDPR?

Regler for hvordan dere kan kommunisere med kunder/givere er regulert i markedsføringsloven. Dette vil ikke endres med GDPR.

Dette innebærer da i all hovedsak at dere kan fortsette å kommunisere med kundene deres slik dere alltid har gjort, forutsatt at denne kommunikasjonen da er innenfor gjeldende markedsføringslov.

Hovedreglene for kommunikasjon med kunder er at dersom det skal sendes en DM eller det skal ringes til vedkommende, må det vaskes mot Reservasjonsregisteret. Dersom man ønsker å sende e-post eller SMS, må mottakeren ha samtykket til slik kommunikasjon.

Plikten til å vaske mot reservasjonsregistret gjelder ikke i de tilfellene det er etablert et eksisterende kunde-/giverforhold. Hva som er å anse som et etablert kundeforhold for frivillige organisasjoner er nærere regulert i markedsføringsloven og i veiledninger gitt fra Forbrukertilsynet. Det følger av markedsføringsloven at

«For frivillige organisasjoner skal et eksisterende giverforhold også anses å foreligge dersom giveren etter første bidrag har samtykket til eller bedt om å bli kontaktet ved en senere anledning, eller giveren innenfor en treårsperiode har ytet sporadiske bidrag.»

Det innebærer at dersom det er etablert et eksisterende kundeforhold som beskrevet over, trenger organisasjonen ikke å vaske mot Reservasjonsregisteret for å henvende seg til disse.

Også når det gjelder henvendelser via elektronisk kommunikasjon (for eksempel e-post eller SMS) er det gjort unntak fra plikten til å innhente samtykke dersom det er etablert et eksisterende kundeforhold. Forbrukertilsynet har utarbeidet en veiledning som nærmere gir veiledning vedrørende markedsføring i elektroniske kanaler, se https://www.forbrukertilsynet.no/lov-og-rett/veiledninger-og-retningslinjer/forbrukerombudets-veiledning-markedsforing-via-e-post-sms-o-l

For frivillige organisasjoner er det verdt å merke seg at reglene rundt elektronisk markedsføring gjelder for henvendelser som er gjort «i næringsvirksomhet». Mange av henvendelsene som gjøres fra frivillige organisasjoner vil ikke være å regne som «næringsvirksomhet» – og for disse vil ikke kravene om samtykke mv gjelde. Se også nærmere om dette i veiledningen over.

Må jeg slette alle givere/kunders om ikke er aktive?

Den registrerte får en tydeligere rett til å kreve sletting av egne personopplysninger i det nye regelverket. Dette omtales gjerne som retten til å bli glemt («right to be forgotten»). Den registrerte kan kreve at opplysninger om han eller henne skal slettes dersom:

  1. det ikke lenger er nødvendig å ta vare på opplysningene for å oppnå formålet med behandlingen
  2. behandlingen er basert på samtykke, og samtykket trekkes tilbake
  3. de registrerte har rett til å motsette seg behandlingen av personopplysninger (se nedenfor)
  4. personopplysningene har blitt behandlet i strid med reglene
  5. personopplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester

På den annen side har også den enkelte organisasjon (den behandlingsansvarlige) en plikt til å etablere selvstendige rutiner for å vurdere hvilke opplysninger de må slette på eget initiativ. Dette innebærer blant annet at opplysninger som ikke lenger er relevante eller nødvendige for å oppfylle formålet, skal slettes.

Konkret innebærer dette at den enkelte organisasjon må nærmere se på de opplysningene som behandles, hvilke hjemmel de har for å behandle opplysningene og konkret ta stilling til hvor lenge de konkrete opplysningene kan oppbevares. Hva gjør jeg for eksempel når en fast giver slutter å betale inn sin faste sum eller den den sporadiske giveren plutselig ikke har gitt på noen år. Hvilke opplysninger kan da oppbevares videre og hvilke opplysninger må slettes. Det kan for eksempel hende at visse opplysninger må oppbevares videre for regnskapsmessige formål.

Dette må konkret vurderes ved gjennomgang av opplysningene, til hvilket formål de er innhentet for og konkret hvilke opplysninger som er nødvendig senere.  Her kan for eksempel markedsføringslovens bestemmelse om hva som anses å være et fast giverforhold gi pekepinn.

Se ellers hva jeg skriver avslutningsvis om hvordan komme i gang etter GDPR.

 

Hvordan praktisk skal vi løse innsynsretten?

Den enkelte har rett til å få bekreftet om det behandles personopplysninger om dem, og dersom det er registrert opplysninger har den enkelte rett til både generell informasjon og en «kopi» helt konkret hva som er registrert om vedkommende.

Mange lurer på hvordan retten til innsyn praktisk skal løses. Mye av den generelle informasjonen kan gis i en «personvern policy» eller lignende. Det som kan være mer utfordrende er hvordan den konkrete informasjonen som er registrert om den enkelte skal gjøres tilgjengelig. Det som kan være en utfordring er å få en bekreftelse på at den som ber om innsyn er den vedkommende gir seg ut for å være. Dersom organisasjonen har en type «min side», kan det enkelt løse via for eksempel bank id eller lignende. Men, det er jo mange organisasjoner som ikke har dette på plass. Da må det etableres rutiner for å identifisere og bekrefte de som henvender seg er rette vedkommende. Dette kan praktisk gjennomføres på flere ulike måter.

Hvordan sikre at du lovlig kan oppbevare og bruke personopplysninger?

Utgangspunktet for GDPR og for å kunne lovlig behandle personopplysninger, er at man har et såkalt behandlingsgrunnlag for å behandle personopplysningene. Dette reguleres nærmere i GDPR Artikkel 6. Samtykke er et av behandlingsgrunnlagene, men det er viktig å huske at dette ikke er det eneste behandlingsgrunnlaget.

De øvrige grunnlagene for behandling av personopplysninger er listet opp i GDRP Artikkel 6 nr. 1, hvor samtykke er ett av grunnlagene. De øvrige fem grunnlagene for at en behandling av personopplysningene er nødvendig for:

  1. Oppfylle en avtale med den registrerte
  2. Oppfylle en rettslig forpliktelse (dvs. pålegges en plikt etter lov)
  3. Verne fysisk persons vitale interesser
  4. Utføre oppgave i allmennhetens interesse eller utøve offentlig myndighet
  5. Det foreligger en berettiget interesse for behandlingen hvor ikke personverninteressene til den registrerte går foran (interesseavveining).

 

I diskusjoner vedrørende oppfyllelse av GDPR kan det synes som at samtykke er et «foretrukket» behandlingsgrunnlag. Det er imidlertid ikke riktig etter GDPR. Ofte vil rett og slett samtykke ikke være et riktig behandlingsgrunnlag, og et av de øvrige nevnt over vil være å foretrekke.

 

Krav til samtykke

Et samtykke er etter definisjonen i GDPR Artikkel 4 nr. 11 «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende».

Vilkår for samtykket er videre nærmere utdypet i GDPR Artikkel 7. Oppsummert gis det her krav til å holde oversikt over samtykkene samt at samtykket skal være klart og tydelig skilt fra øvrige eventuelle behandlingsgrunnlag. I tillegg fremheves det at et samtykket enkelt skal kunne trekkes tilbake samt at samtykke skal ikke være en kontraktsforpliktelse.

Det er altså en rekke krav til at et samtykke skal være lovlig, og alle kravene må være innfridd. Det fremheves i flere sammenhenger at GDPR legger (i forhold til gjeldende lovregler) større vekt på at et samtykke nå stiller krav til de enkelte skal ha klare og spesifikke valgmuligheter og at disse skal fremkomme klart når samtykket innhentes. Dette er bakgrunnen for at dette omtales som at det er krav til et «granulert samtykke».

 

Retten til å bli glemt

Den registrerte får en tydeligere rett til å kreve sletting av egne personopplysninger i det nye regelverket. Dette kalles retten til å bli glemt. Den registrerte kan kreve at opplysninger om han eller henne skal slettes dersom:

Det ikke lenger er nødvendig å ta vare på opplysningene for å oppnå formålet med behandlingen

  1. Behandlingen er basert på samtykke, og samtykket trekkes tilbake
  2. De registrerte har rett til å motsette seg behandlingen av personopplysninger (se nedenfor)
  3. Personopplysningene har blitt behandlet i strid med reglene
  4. Personopplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester

 

Retten til dataportabilitet

Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med den registrerte, kan den registrerte kreve å ta med seg opplysningene sine til en annen virksomhet. Dette kalles dataportabilitet. Dersom det er teknisk mulig, kan den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten.

Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format. Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse.

 

Protokoll over behandlingsaktiviteter

Mange virksomheter og organisasjoner lurer på hvordan de kan ta fatt på alle de pliktene som ligger i GDPR. Datatilsynet anbefaler å starte med å sette opp en protokoll over behandlingsaktiviteter.

 

De aller flest organisasjoner og virksomheter har plikt til å opprette en protokoll over behandlingsaktiviteter (GDPR art 30). Datatilsynet anbefaler at det er her dere tar fatt for å sikre at organisasjonen oppfyller relevante krav i GDPR.

Det er ikke er noen formkrav til hvordan protokollen skal føres, eller hva slags verktøy som skal benyttes. Dere bestemmer med andre ord selv hvorvidt dere fører oversikten som et tekstbehandlingsdokument, på regneark, eller via andre verktøy. Pass imidlertid på at de kravene til innhold som er obligatoriske blir med i en samlet skriftlig og elektronisk tilgjengelig oversikt.

Datatilsynet har på sin hjemmeside laget et forslag til hvordan en slik protokoll kan se ut og hvilke felter som bør inn. Se mer om dette på https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/?id=8284

 

—————————

For mer info om Data Factory se www.datafactory.no