Behandling av personopplysninger og informasjonssikkerhet i idretten

GDPR står for General Data Protection Regulations og blir kalt personvernforordningen på norsk. Det er et nytt sett med personvernregler som innføres i hele EU, inkludert Norge.  Dette regelverket viderefører hovedprinsippene, men er strengere enn den nåværende personopplysningsloven. Den nye loven trer i kraft 25. mai 2018.

Loven gjelder for alle virksomheter som behandler persondata, herunder alle idrettslag og særidrettsgrupper samt alle organisasjonstyper som er juridiske enheter ettersom vi administrerer medlemmer og andre personer som påtar seg roller i idretten. Hovedformålet er å gi enkeltpersoner sterkere rettigheter og bedre kontroll over sitt eget personvern gjennom strengere grenser for hvilke data som kan samles inn og lagres. Man kan kreve å få vite hvilken informasjon som er lagret om seg, og be om at data slettes, feil endres eller å få dataene utlevert elektronisk for gjenbruk.

En personopplysning er en hvilken som helst opplysning som er knyttet til en identifiserbar privatperson. Det omfatter alt fra fødselsnummer, navn, IP-adresse eller skostørrelse angitt for en person. Behandling omfatter all bruk og lagring av opplysninger om personer uavhengig om det lagres på papir, i regneark eller i et medlemsregister. Innhenting av medlemsopplysninger som så lagres, og senere oppdateres og brukes som grunnlag for fakturering av kontingent er et enkelt eksempel.  Andre eksempler kan være sammenstillinger, rapporter, utlevering og formidling av slike opplysninger. Man behandler altså opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe. Det er behandling enten den skjer elektronisk, automatisk (uten manuelle prosesser) eller manuelt.

Sensitive opplysninger er en persons rasemessige eller etniske bakgrunn, politisk tilhørighet, religiøs eller filosofisk oppfatning eller medlemskap i fagforening. Også opplysninger om helse og seksuell legning er sensitive opplysninger. For lagring/oppbevaring av sensitive personopplysninger er særlige regler med særskilte krav. Fødselsnummer er ikke en sensitiv personopplysning.  

De reglene som gjelder i dag følger av personopplysningsloven og dens forskrift.

EUs forordning finnes foreløpig i en uoffisiell norsk oversettelse her, men det kommer en ny lov og nye forskrifter.

Idretten har utviklet en ny Norm for behandling av personopplysninger og informasjonssikkerhet i idretten samt en veileder som primært er rettet mot idrettslag/mindre organisasjonsledd. Disse er basert på dagens lovverk med enkelte tilpasninger til personvernforordningen.  Normen vil bli oppdatert i løpet av 2018.

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av reglene. Datatilsynet kan ilegge overtredelsesgebyr ved lovbrudd. 

NIF har inngått rammeavtale Draftit Privacy AS som tilbyr: 

• Hjelp til å vurdere egen regeletterlevelse («sjekkliste»)
• Kan brukes kostnadsfritt av hele idrettsorganisasjonen
• Tilgang kan bestilles hos NIF Digital Support
• Verktøy for dokumentasjon over behandling av personopplysninger
• Tjenesten Privacy Records tilbys for 7000 kr + mva for små org.ledd (pr. år)
• Avtale må inngås med Draftit med ref. til NIFs rammeavtale
• E-læringskurs for ansatte
• Avtale må inngås med Draftit med ref. til NIFs rammeavtale