Personvern i Venstre
Innholdsfortegnelse
Håndtering av medlemsinformasjon i lokal- og fylkeslag i Venstre
Når man jobber med medlemsinformasjon, for eksempel når man har ringerunder før valgkamp eller det purres på kontingent, er det ofte behov for å dele denne informasjonen med flere, da flere deler på oppgaven.
Det beste er at dere gir vedkommende tilgang til medlemsregisteret i den perioden det er behov. Se veiledning for medlemsregisteret.
Behandling av medlemslister
Ofte er det hensiktsmessig å generere et Excel-ark og jobbe sammen i dette: Notere hvem som ønsker å bidra i valgkampen, hvem som ikke vil bli ringt opp igjen, osv.
Om dere vil jobbe i et excelark, må følgende sørges for:
Send aldri medlemslister på e-post
Skriv ikke ut medlemslister
Om man ønsker å jobbe sammen om et dokument, kan dette gjøres ved å:
opprette et dokument i en sky, Stemvenstre.no-domenet, som alle lokallag har tilgang til, er egnet. Les mer om Stemvenstre-domenet og hvordan dette brukes.
sørge for at tilgangen til dokumentet er begrenset (ikke åpen for alle) og
dele kun med de som skal ha tilgang.
Når arbeidet med listen er ferdig, skal listen slettes. Så lenge man jobber med listen, for eksempel en oversikt over frivillige i en valgkamp, kan listen bestå. Når valgkampen er over, må listen slettes.
Om personvern og GDPR
GDPR står for General Data Protection Regulations og blir kalt personvernforordningen på norsk. Det er et nytt sett med personvernregler som innføres i hele EU, inkludert Norge. Dette regelverket viderefører hovedprinsippene, men er strengere enn personopplysningsloven.
Personvernforordningen er bygget på en grunntanke om at hvert individ eier sine egne personopplysninger. Det er en menneskerettighet som beskyttes av europakommisjonen.
Dette medfører at alle virksomheter som ønsker å behandle personopplysninger er pålagt å respektere individets rett til
informasjon og innsyn
å bli glemt
dataportabilitet
innsyn og registerutdrag
Retten til informasjon
Den som vil anvende personopplysninger i sin virksomhet må informere den registrerte om dette på en enkel og forståelig måte. Ved innsamling av personopplysninger må virksomheten blant annet informere om:
Hvem som er behandlingsansvarlig og personvernrådgiver samt kontaktinfo til disse
Formålet med behandlingen
Hvilke typer av personopplysninger som samles inn
Hvor lenge opplysningene vil lagres
Om opplysninger vil overføres til tredjeland eller internasjonal organisasjon
Retten til å bli glemt
Individet har rett til å begjære at sine personopplysninger skal fjernes fra et register, dersom behandlingsgrunnlaget er basert på samtykke eller en avtale som har utløpt eller blitt brutt. Slik fjerning kan foregå ved total anonymisering eller sletting av opplysningene.
For enkelte tilfeller har registrerte rett til å begrense bruken av personopplysninger. Dette kan være tilfeller hvor registrerte har motsatt seg behandling, eller i påvente av korreksjon.
Retten til retting og korrigering
Et individ kan kreve at korrekte og nøyaktige opplysninger behandles, og dermed at det straks korrigeres eller legges til utfyllende informasjon.
Retten til dataportabilitet
Enhver person kan be om at personopplysninger registrert om dem hos en virksomhet skal kunne overføres til en annen aktør. Slik data skal utgis på et maskinlesbart format, eksempelvis x-html. Data som man kan kreve overflyttet gjelder kun de opplysningene man har oppgitt selv og ikke bearbeidet bedriftssensitiv informasjon.
Retten til innsyn
Et individ har krav på innsyn i alle personopplysningene som behandles om dem hos en virksomhet. I tillegg har man rett til å kostnadsfritt motta en kopi av opplysningene som finnes lagret hos virksomheten, inkludert kommentarer i fritekstfelt. Dette har virksomheten 30 dagers frist på å ta frem ved forespørsel.
«Virksomheter kan kun låne personopplysninger, aldri eie dem. Pass på at du er en verdig låntager»
Sjekkliste for lokal- og fylkeslag
Undersøk hvordan dere i dag lagrer og behandler personlig informasjon
Første skritt er å undersøke hvordan dere lagrer og behandler personlige data i dag, og hvilke virkninger GDPR vil ha lokallaget. Viktige spørsmål å stille er:
Hvilke personopplysninger håndterer vi?
Hvor lagres og behandles personopplysningene i vårt lokallag?
Håndterer vi denne informasjonen på en god måte?
Lagrer vi personopplysninger andre steder enn i medlemsregisteret? Har vi feks egne epostlister, eller tar vi ut egen lister i Excel eller PDF? Husk at å sende medlemslister på post ikke er lov og at man har like høye krav til sikkerhet dersom man benytter lister med persondata i programmer som feks Excel. Disse bør derfor slettes så raskt som mulig og om mulig skal man unngå å ta ut lister med persondata fra medlemsregisteret.
Oppfyller vi rettighetene til de som er registrert?
Informerer vi godt nok om hvordan dataene blir behandlet i vårt lokallag?
Har vi kontroll på hvor vi lagrer alle medlemsopplysninger og kan vi med en gang slette alle dataene når et medlem melder seg ut?
Hvem har tilgang til medlemsdataene?
Er det noen som har tilgang som ikke behøver det?
Har vi interne grupper (feks på Facebook) som kun er for medlemmer som ikke er skjulte og hemmelige?
Har vi samtykke for å publisere portrettbilder (personsider) og gruppebilder på nettsiden vår?
Husk at vi i Venstre ikke eier noen av personopplysningene, men bare kan bruke dem til et bestemt formål (feks så lenge et medlemskap er aktivt) og at den enkelte skal informeres om alle formål når de samles inn. Når formålet med behandlingen av personopplysninger ikke lenger foreligger, kan de ikke lenger beholdes, men skal slettes så snart som mulig.