Personvern i Venstre

Om personvern og GDPR

GDPR står for General Data Protection Regulations og blir kalt personvernforordningen på norsk. Det er et nytt sett med personvernregler som innføres i hele EU, inkludert Norge. Dette regelverket viderefører hovedprinsippene, men er strengere enn personopplysningsloven.

Personvernforordningen er bygget på en grunntanke om at hvert individ eier sine egne personopplysninger. Det er en menneskerettighet som beskyttes av europakommisjonen.

Dette medfører at alle virksomheter som ønsker å behandle personopplysninger er pålagt å respektere individets rett til

  • informasjon og innsyn
  • å bli glemt
  • dataportabilitet
  • innsyn og registerutdrag

Retten til informasjon

Den som vil anvende personopplysninger i sin virksomhet må informere den registrerte om dette på en enkel og forståelig måte. Ved innsamling av personopplysninger må virksomheten blant annet informere om:

  • Hvem som er behandlingsansvarlig og personvernrådgiver samt kontaktinfo til disse
  • Formålet med behandlingen
  • Hvilke typer av personopplysninger som samles inn
  • Hvor lenge opplysningene vil lagres
  • Om opplysninger vil overføres til tredjeland eller internasjonal organisasjon

Retten til å bli glemt

Individet har rett til å begjære at sine personopplysninger skal fjernes fra et register, dersom behandlingsgrunnlaget er basert på samtykke eller en avtale som har utløpt eller blitt brutt. Slik fjerning kan foregå ved total anonymisering eller sletting av opplysningene.

For enkelte tilfeller har registrerte rett til å begrense bruken av personopplysninger. Dette kan være tilfeller hvor registrerte har motsatt seg behandling, eller i påvente av korreksjon.

Retten til retting og korrigering

Et individ kan kreve at korrekte og nøyaktige opplysninger behandles, og dermed at det straks korrigeres eller legges til utfyllende informasjon.

Retten til dataportabilitet

Enhver person kan be om at personopplysninger registrert om dem hos en virksomhet skal kunne overføres til en annen aktør. Slik data skal utgis på et maskinlesbart format, eksempelvis x-html. Data som man kan kreve overflyttet gjelder kun de opplysningene man har oppgitt selv og ikke bearbeidet bedriftssensitiv informasjon.

Retten til innsyn

Et individ har krav på innsyn i alle personopplysningene som behandles om dem hos en virksomhet. I tillegg har man rett til å kostnadsfritt motta en kopi av opplysningene som finnes lagret hos virksomheten, inkludert kommentarer i fritekstfelt. Dette har virksomheten 30 dagers frist på å ta frem ved forespørsel.

«Virksomheter kan kun låne personopplysninger, aldri eie dem. Pass på at du er en verdig låntager»

Sjekkliste for lokal- og fylkeslag

Undersøk hvordan dere i dag lagrer og behandler personlig informasjon

Første skritt er å undersøke hvordan dere lagrer og behandler personlige data i dag, og hvilke virkninger GDPR vil ha lokallaget. Viktige spørsmål å stille er:

  • Hvilke personopplysninger håndterer vi?
  • Hvor lagres og behandles personopplysningene i vårt lokallag?
  • Håndterer vi denne informasjonen på en god måte?
  • Lagrer vi personopplysninger andre steder enn i medlemsregisteret? Har vi feks egne epostlister, eller tar vi ut egen lister i Excel eller PDF? Husk at å sende medlemslister på post ikke er lov og at man har like høye krav til sikkerhet dersom man benytter lister med persondata i programmer som feks Excel. Disse bør derfor slettes så raskt som mulig og om mulig skal man unngå å ta ut lister med persondata fra medlemsregisteret.
  • Oppfyller vi rettighetene til de som er registrert?
  • Informerer vi godt nok om hvordan dataene blir behandlet i vårt lokallag?
  • Har vi kontroll på hvor vi lagrer alle medlemsopplysninger og kan vi med en gang slette alle dataene når et medlem melder seg ut?
  • Hvem har tilgang til medlemsdataene?
  • Er det noen som har tilgang som ikke behøver det?
  • Har vi interne grupper (feks på Facebook) som kun er for medlemmer som ikke er skjulte og hemmelige?
  • Har vi samtykke for å publisere portrettbilder (personsider) og gruppebilder på nettsiden vår?

Husk at vi i Venstre ikke eier noen av personopplysningene, men bare kan bruke dem til et bestemt formål (feks så lenge et medlemskap er aktivt) og at den enkelte skal informeres om alle formål når de samles inn. Når formålet med behandlingen av personopplysninger ikke lenger foreligger, kan de ikke lenger beholdes, men skal slettes så snart som mulig.