Behandling av personopplysninger innen idretten er omfattet av personvernregelverket som fra juli 2018 avløste tidligere personopplysningsloven i Norge.
Reglene handler om hvorfor og hvordan offentlige myndigheter, private virksomheter og frivillige foreninger kan samle inn, oppbevare og behandle personopplysninger om fysiske personer.
Frivillige organisasjoner som NIF kan oppleve utfordringer med overholdelse av reglene i personvernregelverket. Denne veiledning med svar på ofte stilte spørsmål har til formål å hjelpe idretten på vei mot å sikre seg at overholdelse av reglene i personvernregelverket overholdes.
GDPR står for General Data Protection Regulation eller personvernforordningen på norsk. Dette er et sett med personvernregler som trådte i kraft i alle EU-land i mai 2018 og i EØS (Norge) i juli 2018. Regelverket gjelder som norsk lov og har erstattet tidligere nasjonal lovgivning med Personopplysningsloven av 2018.
GDPR gjelder overalt og angår alle!
Regelverket gjelder de som får registrert sine personopplysninger noe sted, og det gjelder for deg som er ansatt/konsulent/rådgiver/frivillig osv. for de som behandler personopplysninger. Regelverket gjelder derfor også idrettslag og andre organisasjonsledd ettersom vi administrerer medlemmer og andre personer som påtar seg roller i idretten.
Hovedformålet er blant annet å styrke enkeltpersoners grunnleggende rettigheter i den digitale tidsalderen vi lever i. Dette ved å gi dem retten til å kontrollere bruken og ha oversikt over egne personopplysninger. Videre er formålet å gjøre organisasjoner ansvarlige for hvordan personopplysninger behandles.
En personopplysning er enhver opplysning om en identifisert eller identifiserbar fysisk person.
Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, biometriske opplysninger, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Behandling av personopplysninger innebærer enhver operasjon eller en rekke av operasjoner som gjøres med personopplysninger. Enten automatisert eller ikke. Dette være seg for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering eller overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Et eksempel på hva det innebærer å behandle personopplysninger er når et idrettslag henter inn navn,- og kontaktopplysninger, lagrer disse og bruker dataene som grunnlag for fakturering av kontingenter.
Behandling av personopplysninger er som utgangpunkt ikke tillatt med mindre det foreligger et gyldig behandlingsgrunnlag.
Behandlingsgrunnlag kan inndeles i tre hovedkategorier; et gyldig samtykke fra den enkelte, hjemmel i lov for behandlingen og oppfyllelse av et nødvendighetskriterium. Eksempel på nødvendighetskriterium kan være nødvendigheten av å oppfylle en kontrakt (ansettelseskontrakt) eller hvis den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse. Et annet eksempel kan være at behandlingen er nødvendig for at den behandlingsansvarlige eller tredjepersoner som opplysningene kan utleveres til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Behandlingen kan også være nødvendig for å utføre en oppgave i allmennhetens interesse.
De fleste opplysninger om personer som er engasjert i idretten, kan sies å være opplysninger som er nødvendige for å oppfylle medlemskapet, eller for at den enkelte skal kunne delta som utøver, eller å utføre oppgaver som ansatt, oppdragstaker eller frivillig innen idretten.
Personvernregelverket påvirker idretten og alle organisasjonsledd innen norsk idrett fordi alle vi i idretten som registrerer opplysninger som f.eks navn, adresse og fødselsdato om medlemmer, frivillige, tillitsvalgte eller ansatte, vi behandler personopplysninger.
Dette innebærer at hvert enkelt særforbund, idrettslag eller andre organisasjonsledd må ha god kontroll på sine personopplysninger og må kunne dokumentere at opplysningene behandles i tråd med regelverket.
Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.
Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer at et særforbund, idrettslag og andre organisasjonsledd må sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket.
Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov.
Gjennom å ha god internkontroll og god informasjonssikkerhet sikrer organisasjonen at den behandler personopplysninger lovlig, sikkert og forsvarlig.
Ja. Alle som behandler personopplysninger er omfattet av personvernregelverket.
Medlemsopplysninger kan kun brukes til det eller de formål opplysningene er samlet inn for. Opplysningene må med andre ord ikke brukes til såkalte uforenlige formål. Hvis for eksempel et idrettslag har samlet inn opplysninger i forbindelse med en turnering som skal avholdes, så kan ikke disse opplysningene benyttes til for eksempel utsendelse av markedsføringsmateriale på vegne av en virksomhet.
Enhver det samles inn opplysninger om har krav på å vite hva slags behandling NIF og underliggende organisasjonsledd foretar, samt grunnleggende informasjon om disse behandlingene. Slik informasjon er gitt i personvernerklæringen på NIF sine nettsider. Idrettslag, særforbund og andre organisasjonsledd bør også ha personvernerklæringer på sine nettsider.
Ved utveksling av personopplysninger innad i organisasjonen mellom ulike organisasjonsledd, så skal det alltid vurderes om formålet med utvekslingen veier tyngre enn de registrertes interesse i at opplysningene deles. Videre skal opplysningene ikke benyttes til noe annet formål enn de opprinnelig er samlet inn for. Ved tvil om adgang til å utveksle opplysninger, kan det innhentes et samtykke fra hver person som opplysningene omfatter.
Sørg også for at det ikke utveksles flere personopplysninger enn nødvendig, og er det tale om særlige kategorier av opplysninger så skal ikke disse utveksles uten den registrertes samtykke.
Selve utvekslingen må gjøres på en sikker måte, så opplysningene ikke kommer på avveie, og de må ikke gjøres tilgjengelig for andre enn de som har bedt om og har behov for opplysningene.
Ved utveksling av særlige kategorier av opplysninger eller andre særlig beskyttelsesverdige opplysninger via e-post, så skal dette gjøres kryptert.
Du har krav på å vite hvilke personopplysninger om det som er registrert og hvilken kilde personopplysningene stammer fra dersom personopplysningene ikke er gitt av deg selv.
Du kan kreve at den behandlingsansvarlige utdyper denne informasjonen i den grad det er nødvendig for at du skal kunne ivareta egne interesser.