Personvern

Databehandling og personvern
Av: Martin Hafsahl
Publisert: 12.03.2015

Retningslinjer for idrettens databehandling – Bransjeregler for Idrett

1. FORMÅL

Norges Idrettsforbund og Olympiske Komité (NIF) har som personvernmål å fremstå som en profesjonell og seriøs aktør ved behandling av personopplysninger. Alle tilsluttede organisasjonsledd skal få organisatorisk gevinst ved elektronisk behandling av medlemmenes personopplysninger. Normene skal gjøre det enkelt for alle som arbeider med medlemsdata å holde seg innenfor norsk lov og idrettens normer og opptrer likt overfor medlemmene. Medlemmenes personvern skal sikres, og den enkelte skal ha kontroll med behandlingen av egne personopplysninger. Normene omfatter enhver bruk av personopplysninger som innsamling, registrering, sammenstilling, lagring og utlevering ved hjelp av elektroniske hjelpemidler.

2. GRUNNLEGGENDE PERSONVERNPRINSIPPER

Personopplysninger skal:

  • behandles forholdsmessig og med bakgrunn i berettigede forhold
  • samles inn til et spesifisert, uttrykkelig og rettmessig formål
  • ikke brukes til formål som er uforenlig med det opprinnelige uten den registrertes samtykke
  • være nødvendige, tilstrekkelige og relevante for å oppfylle det formålet de er samlet inn for
  • være oppdaterte og av god kvalitet
  • slettes straks oppbevaring i personidentifiserbar stand ikke lenger er nødvendig for å oppfylle det opprinnelige formålet.

3. DEFINISJONER

3.1. Personopplysninger:

  • Opplysninger og vurderinger som kan knyttes til en enkeltperson.

3.2. Sensitive personopplysninger:

  • opplysninger av privat karakter, for eksempel:
  • religiøse eller ekstreme tilknytninger,
  • mistanke eller dom for straffbart forhold,
  • medisinske opplysninger,
  • seksuelle forhold.

3.3. Registrert:

  • Den som en personopplysning kan knyttes til, for eksempel medlem eller konkurransedeltaker.

3.4. Samtykke:

  • Frivillig erklæring fra den registrerte hvor vedkommende godtar behandlingen av opplysningene om seg selv. Det kreves at vedkommende er tydelig informert om hva det samtykkes i.

3.5. Behandling av personopplysninger:

  • Enhver bruk av personopplysninger; både innsamling, registrering, lagring, sammenstilling eller utlevering.

3.6. Behandlingsansvarlig

  • Det organisasjonsleddet som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes.

3.7. Databehandler

  • Den som behandler personopplysningene på vegne av den behandlingsansvarlige.

3.8. Barn:

  • Ethvert individ som er under 18 år. I alle spørsmål knyttet til medlemskapet, herunder stemmerett, har et medlem som har fylt 15 år fulle rettigheter.

3.9. Idrettsdatabasene:

  • Idrettsdatabasene er betegnelsen for de sentrale databasene hvor Norsk Idrett behandler sine data knyttet til felles administrasjons- og informasjonssystemer.

3.10. Organisasjonsledd:

  • NIF, særforbund, idrettskretser, særkretser, idrettsråd og idrettslag.

3.11. Fagmyndighet:

  • Betegnelsen ’fagmyndighet’ henspeiler til det organisasjonsledd som har fullmakt til å fastesette regler innenfor en idrett eller fagområde.

4. IDRETTSORGANISASJONEN

4.1. NIF

  • En frivillig, partipolitisk nøytral og uavhengig fellesorganisasjon for den organiserte idretten i Norge.
  • NIF ivaretar de fellesidrettslige oppgavene for medlemmene gjennom idrettskretser (fylke), idrettsråd (kommune) og de lokale idrettslagne.

4.2. Særforbundene

  • Nasjonale organisasjoner tilsluttet NIF som er ansvarlige for en eller flere idretter i Norge.
  • Særforbundet representerer disse idrettene internasjonalt.

Den lokale idrettsutøvelsen skjer i særidrettsgrupper innenfor idrettslagene.

4.3. Idrettslagene

  • Selveiende og frittstående lokale medlemsorganisasjoner.
  • Idrettslagene har medlemskap i NIF og særforbundene samt øvrige tilhørende organisasjonsledd.
  • Idrettslagene har kun personlige medlemmer. Medlemmene har rett til å utøve den aktivitet som idrettslagene organiserer.
  • Den idrettslige aktiviteten organiseres ofte av særidrettsgrupper, som ofte også ivaretar medlemskapet i særforbundene, men idrettslaget forblir den juridisk ansvarlige enheten.

5. ORGANISASJONSLEDDENES ROLLER OG ANSVAR

5.1. NIF er behandlingsansvarlig for Idrettsdatabasene.

  • NIF’s behandlingsansvar omfatter opplysninger som registreres i fellessystemene og de felles idrettsdatabasene. Øvrige organisasjonsledd er kun å anse som databehandlere på vegne av NIF.
  • Den behandlingsansvarlige plikter å sørge for at all behandling av personopplysninger i Idrettsdatabasene oppfyller lovens krav.
  • Administrativt ansvar er delegert til NIF IT.

5.2. Meldeplikt.

  • Som behandlingsansvarlig har NIF, på vegne av organisasjonen, oppfylt meldeplikten til Datatilsynet for de felles idrettsdatabasene og systemene knyttet til disse.

5.3. Ett sett sentrale databaser

  • I idrettsdatabasene samles og knyttes idrettsrelatert informasjon sammen for at organisasjonen skal kunne arbeide effektivt for medlemmene. Det samles blant annet opplysninger som:
  • Grunndata om medlemmene.
  • Organisasjonsopplysninger.
  • Aktivitetsopplysninger.

5.4. Fagmyndighetens ansvar.

  • Det er relevant fagmyndighet som er ansvarlig for å fastsette reglene for databehandlingen innenfor eget fag eller særidrett, herunder angi hvem som har saklig behov for tilgang til ulike data.
  • Opplysningene om en person skal bare være tilgjengelig for de saksbehandlerne som har et saklig behov, dvs. strengt nødvendig for å administrere vedkommendes medlemskap og idrettslige aktivitet på en trygg og effektiv måte.

5.5. Godkjenning av systemer

  • Som bransjeansvarlig godkjenner NIF de standardsystemene som skal kommunisere med idrettens felles databaser.
  • NIF kan godkjenne at særforbund og fagmyndigheter kan knytte lokal programvare eller spesialapplikasjoner opp mot idrettens felles databaser. Formålet må være innenfor idrettsdatabasenes definerte formål og at det etableres sikre grensesnitt for utveksling av persondata.
  • Det er en forutsetning at prosedyrene for behandlingen av opplysningene i den lokale applikasjonen er i tråd med Idrettens bestemmelser og standarder for øvrig.

5.6. Registre utenfor Idrettsdatabasene.

  • Alle organisasjonsledd som registrerer personopplysninger i egne registre (altså ikke i Idrettsdatabasene), er behandlingsansvarlige disse.
  • De må selv påse at behandlingen følger personopplysningslovens krav og idrettens policyregler.
  • Godkjente systemer som representerer en forlengelse av de sentrale idrettsdatabasene, er å betrakte som en del av Idrettsdatabasene.
  • Alle øvrige registre blir å betrakte som ”utenfor”, og er således omfattet av meldeplikten til Datatilsynet.
  • 5.7. Sikkerhet og brukertilganger
  • NIF har et overordnet ansvar for at datasikkerheten i Idrettsdatabasene er tilfredsstillende.
  • Brukernes tilgang til Idrettsdatabasene skal kontrolleres og vedlikeholdes av ett sentralt punkt hos behandlingsansvarlig (NIF).
  • NIF IT og de som utvikler og drifter idrettens systemløsninger, skal sørge for at databasene er forskriftsmessig sikret mot uautorisert bruk.
  • Systemene skal ha nødvendig funksjonalitet for å gi riktig tilgang i forhold til brukerens oppgave og organisasjonstilhørighet.
  • Kun autorisert person fra organisasjonsleddet kan anmode NIF om å tildele bruker, passord og relevante tilganger for en saksbehandler.

6. HJEMMELSGRUNNLAG FOR BEHANDLINGEN OG FORMÅLET MED REGISTRERINGEN

6.1. Kun nødvendig opplysninger for å oppfylle medlemsavtalen skal registreres.

  • Personopplysningslovens § 8 sier at kun de opplysningene som er nødvendig for å oppfylle ”medlemsavtalen” kan registreres.
  • Hjemmelen til å opprette et elektronisk medlemsregister er knyttet til at en medlemsorganisasjon må kunne kontakte og informere medlemmet for å oppfylle sine forpliktelser overfor medlemmet.
  • Dette gir saklig grunn til å registrere ulike adresser og telefonnumre.
  • Knyttet til det å la seg velge eller oppnevne til tillitsverv i en frivillig organisasjon, følger det at man også aksepterer at ens navn blir offentliggjort overfor allmennheten. Omfanget av annen informasjon må medlemmet ha anledning til å kontrollere selv.

6.2. Felles grunndata skal sikre entydig identifikasjon av medlemmene.

  • Organisasjonen må kunne identifisere medlemmet entydig for derved å unngå forveksling eller ukorrekt medlemsbehandling. Dette gir saklig grunn til å registrere kjønn og fødselsdato.
  • Disse grunndataene blir registrert av det organisasjonsleddet som først får vedkommende person innmeldt.
  • Deretter vil grunndataene være tilgjengelige og oppdateres av alle organisasjonsledd som har lovlig tilgang til databasen.

6.3. Medlemmenes persondata skal kun være til bruk innenfor organisasjonen.

  • Personvernopplysningslovens § 8 gir kun hjemmel til at opplysningene benyttes til administrasjon av idrettsorganisasjonens virksomhet.
  • En kan si at alt arbeid som er rettet mot å tilrettelegge aktiviteter for medlemmene er relevant idrettsadministrativ bruk.
  • Derimot vil bruk av data eller utlevering av disse for kommersielle hensyn være klart utenfor det som automatisk følger av medlemsavtalen og derfor kreve aktivt samtykke fra medlemmet.

7. DEN REGISTRERTES RETTIGHETER

7.1. Krav om informasjon ved innmelding og registrering.

  • Den enkelte som registreres må bli informert om følgende:
  • Navn og adresse på den behandlingsansvarlige.
  • Formålet med behandlingen.
  • At opplysningene vil bli utlevert til idrettens organisasjonsledd.
  • At det er frivillig å gi fra seg opplysningene.

7.2. Krav om samtykke til andre formål.

  • Dersom et organisasjonsledd ønsker å benytte de registrerte personopplysningene til andre formål enn organisasjonsarbeid, må medlemmet samtykke til dette før behandlingen kan iverksettes.
  • Eksempler på andre formål:
  • Publisering på internett, for eksempel kontaktinformasjon på klubbens hjemmeside.
  • Publisering av dommernes adresser og telefonnumre i terminlistene.
  • Utsendelse av reklame til medlemmenes e-postadresser eller mobiltelefoner (SMS).
  • Salg av adresseinformasjon til ekstern partner, særlig med reklameformål (adressemekling).

7.3. Organisering av samtykke.

  • NIF er det sentrale kontaktpunktet for medlemmene når det gjelder alle medlemskap og funksjoner som er registrert i det sentrale personregisteret. NIF plikter å tilrettelegge for innhenting av slike samtykker på en god og praktisk måte.
  • Ved innmelding skal medlemmet motta en medlemsbrosjyre eller adressen til autorisert informasjon på internett med samme formål.
  • Ved senere innkreving av medlemskontingent skal medlemmet hvert år motta internettadressen til samme informasjon.
  • Ved første gangs registrering av elektronisk adresse i idrettsdatabasene, skal medlemmet tilskrives elektronisk med brukernavn og passord til personlig internettside hvor den enkelte kan kontrollere og vedlikeholde egne persondata.
  • Dersom disse vilkårene ikke er oppfylt er heller ikke informasjonsplikten oppfylt og personopplysninger kan ikke registreres.
  • Dersom andre organisasjonsledd skal behandle personopplysninger i egne medlemsregistre, må organisasjonsleddet påse at personopplysningslovens krav tilfredsstilles.

7.4. Innsynsrett

  • De registrerte har rett til å få innsyn i de opplysninger som er registrert om vedkommende.
  • Retten omfatter blant annet hva opplysningene skal brukes til og hvor opplysningene er hentet fra.
  • Den behandlingsansvarlige er ansvarlig for å publisere hvor medlemmet kan ta kontakt på en slik måte at medlemmene får nyttiggjort seg sine rettigheter.
  • Den registrerte har krav på å få svar på en henvendelse i løpet av 30 dager.
  • I de tilfeller der andre organisasjonsledd er behandlingsansvarlig for egne interne medlemsregistre, er de ansvarlig for å besvare alle henvendelser fra de som er registrert i det aktuelle registeret.

7.5. Reservasjonsrett mot direkte markedsføring.

  • Organisasjonsleddene kan distribuere reklame direkte til egne medlemmer ved å benytte medlemmets postadresse eller telefonnumre uten å innhente forhåndssamtykke.
  • Organisasjonsleddene kan distribuere reklame til egne medlemmers elektroniske adresse hvis det er innhentet et aktivt forhåndssamtykke.
  • De registrerte har rett til å reservere seg mot all direkte markedsføring.
  • Reservasjonsretten omfatter ikke utsendelse av nødvendig informasjon knyttet til et aktivt medlemskap i organisasjonen.
  • Databehandleren kan i praksis være organisasjonsleddet selv, en samarbeidspartner eller en profesjonell adressemekler.
  • Behandlingsansvarlig plikter imidlertid å forsikre seg om at vedkommende databehandler forplikter seg til å følge gjeldende regelverk.

7.6. Reservasjonsmetoder.

  • En kan reservere seg ved å kontakte
  • Avsender av henvendelsen.
  • Det sentrale reservasjonsregisteret i Brønnøysund.
  • NIF.
  • Et medlemsregister som også benyttes til utsendelse av reklame, skal ha funksjonalitet som gjør det mulig å sperre det enkelte medlems kontaktinformasjon mot reklame.
  • Behandlingsansvarlig plikter å sørge for at man kun benytter adresser som er sjekket mot det offentlige reservasjonsregisteret.
  • Slik vasking skal være foretatt mindre enn 3 måneder før dataene hentes ut.

7.7. Klubbenes rett til å formidle tilbud til medlemmene.

  • Organisasjonsleddene har rett til å formidle tilbud om utstyr og aktiviteter, såfremt tilbudet er relevant i forhold til medlemskapet og de aktivitetene klubben tilbyr.
  • Eksempel på relevante tilbud er rabatt på trening, invitasjon til treningsleir eller idrettsskole, samt tilbud om utstyr spesielt egnet for den aktuelle idretten.
  • Alle produkter i gråsonen skal betraktes som irrelevante. Det samme gjelder der relevante og irrelevante tilbud presenteres eller er koblet sammen.

7.8. Retting og sletting.

  • NIF skal rette eller slette opplysningene når de er feilaktige, mangelfulle eller unødvendige.
  • Når registreringen ikke lenger er nødvendig for å oppfylle formålet med behandlingen, skal dataene slettes.
  • Dette skal i utgangspunktet skje på initiativ fra behandlingsansvarlig, men også på direkte anmodning fra den registrerte.
  • I en rekke sammenhenger har organisasjonsleddene rett til å ta vare på opplysninger som har historisk verdi, så som sentrale verv eller resultater fra personer som har representert organisasjonsleddene.
  • Behandlingsansvarlig plikter å sørge for at omfanget av hva som tas vare på begrenses til det som er strengt nødvendig.

8. ETTERLEVELSE OG KONTROLL

  • Dette regelverket er i henhold til personvernlovens bestemmelser og vedtatt av Idrettsstyret i idrettsstyremøte 7. desember 2004 som gjeldende for alle underlagte organisasjonsledd.
  • Brudd på disse bestemmelsene som omfattes av det sivilrettslige regelverket, herunder særlig personvernlovens og markedsføringslovens bestemmelser, kan straffes etter disse bestemmelsene. Brudd på bestemmelsene kan også straffes foreningsrettslig i henhold til NIFs lov kapittel 11.