Ordliste
Norges Idrettsforbund har samlet noen av de vanligste begrepene som benyttes innen personvernregelverket og gitt en forklaring av hva disse betyr.
Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»), som er lagret elektronisk eller er systematisert på papir, f.eks. medlemslister, lagslister og påmeldingslister. En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator som f.eks. et navn, fødselsnummer, alder, adresse, e-postadresse eller flere elementer som er spesifikke for nevnte fysiske personers fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Enkelte type personopplysninger defineres som «særlige kategorier av personopplysninger» eller «sensitive» personopplysninger. Dette omfatter opplysninger om:
- rasemessig eller etnisk opprinnelse,
- politisk, filosofisk eller religiøs oppfatning/overbevisning,
- fagforeningsmedlemskap,
- helseforhold,
- seksuell orientering, og
- genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
Behandling av slike opplysninger er som hovedregel forbudt, med mindre visse alternative vilkår etter personvernregelverket for slik behandling likevel er innfridd. Et slikt vilkår er samtykke. Dette innebærer at NIF og NIFs tilsluttede organisasjoner (særforbund, idrettslag osv.) vil kunne få samtykke til å f.eks. å behandle opplysninger om en utøvers helsetilstand i forbindelse med kontroller, undersøkelser eller tester. Tilsvarende vil et medlem gjennom samtykke kunne gi et særforbund, idrettslaget osv. adgang til å behandle helseopplysninger om f.eks. allergier, eller opplysninger om religiøs overbevisning, til bruk for organisering av arrangementer og turer der det skal serveres mat og/eller drikke.
Med behandling av personopplysninger forstås enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Definisjonen av behandling av personopplysninger er vid og dekker i prinsippet all bruk av personopplysninger uavhengig av hvilken teknologi som brukes.
Behandlingsansvarlig er den som alene eller sammen bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes. Det er NIF og NIFs tilsluttede organisasjoner som hver og en er behandlingsansvarlig for behandling av personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen i henholdsvis særforbundet, idrettslaget osv. I et idrettslag uten daglig ledelse vil det være styret som er ansvarlig for ivaretakelsen. Utføringen av behandlingen kan settes bort til for eksempel en ekstern part («databehandler»), men ansvaret kan ikke delegeres bort.
Med databehandler forstås en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Det kan for eksempel være et selskap som organisasjonen benytter til en IT-løsning, HR- eller lagringstjeneste eller lignende. Databehandler er undergitt behandlingsansvarliges instrukser, og kan ikke behandle opplysninger utenfor instruksen.
Det presiseres at en databehandler er en ekstern part eller et organisasjonsledd utenfor den behandlingsansvarliges organisasjonsledd. Det vil si at den behandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Det samme gjelder personer som utfører oppdrag og/eller utvikler løsninger på vegne av den behandlingsansvarlige, og som ikke omfatter behandling av personopplysninger.
Felles behandlingsansvar foreligger dersom to eller flere behandlingsansvarlige i fellesskap fastsetter hvorfor personopplysninger skal behandles (formålet) og hvordan behandlingen skal foregå (midlene).
Forutsetningen for at det kan foreligge et felles behandlingsansvar, er at hver av partene i utgangspunktet har eller kan ha et selvstendig behandlingsansvar for den aktuelle behandlingen. Dersom behandlingens formål og midler fastsettes av en av de behandlingsansvarlige ved at den andre aktøren kun retter seg etter instruksjonen, vil det ikke foreligge et felles behandlingsansvar.
Formålet og midlene for behandlingen må være fastsatt i fellesskap. Der det foreligger et felles behandleransvar skal det utarbeides en avtale/ordning som regulerer ansvar og forpliktelser mellom aktørene som til sammen har et felles behandleransvar. Det felles behandleransvaret som idrettslaget er en del av, er beskrevet nærmere under punkt 3.1.3.
Ved administrering av medlemsmassen, overordnet og på daglig basis, foreligger det et felles behandlingsansvar mellom NIF og de øvrige organisasjonsledd i NIF. Dette omfatter alle personopplysninger som inngår i Idrettens sentrale database og som tilgjengeliggjøres via idrettens felles informasjonssystemer. Ansvaret for å administrere Idrettens sentrale database har idretten lagt til NIF.
Det er etablert en ordning mellom NIF og NIFs organisasjonsledd som fastsetter formålene og midlene for behandlingen og hvor det respektive ansvaret for å overholde forpliktelsene i personvernregelverket er fastsatt.
Der organisasjonsledd tar i bruk eksterne løsninger (andre løsninger enn de NIF tilbyr) for innsamling av personopplysninger, vil det ikke foreligge et felles behandlingsansvar for denne behandlingen. Slike eksterne løsninger vil da driftes ved hjelp av databehandlere på vegne av det organisasjonsledd som er behandlingsansvarlig.
Behandling av personopplysninger er som utgangpunkt ikke tillatt med mindre det foreligger et gyldig behandlingsgrunnlag.
Behandlingsgrunnlag kan inndeles i tre hovedkategorier; et gyldig samtykke fra den enkelte, hjemmel i lov for behandlingen og oppfyllelse av et nødvendighetskriterium. Eksempel på nødvendighetskriterium kan være nødvendigheten av å oppfylle en kontrakt (ansettelseskontrakt) eller hvis den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse. Et annet eksempel kan være at behandlingen er nødvendig for at den behandlingsansvarlige eller tredjepersoner som opplysningene kan utleveres til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Behandlingen kan også være nødvendig for å utføre en oppgave i allmennhetens interesse.
De fleste opplysninger om personer som er engasjert i idretten, kan sies å være opplysninger som er nødvendige for å oppfylle medlemskapet, eller for at den enkelte skal kunne delta som utøver, eller å utføre oppgaver som ansatt, oppdragstaker eller frivillig innen idretten.
Med samtykke fra den registrerte forstås enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende. For barn under 15 år må slikt samtykke gis av foresatte.
Et samtykke skal kunne trekkes tilbake, like enkelt som det avgis. Hvis et samtykke trekkes tilbake skal behandling som ikke lenger er nødvendig opphøre, og registrerte opplysninger slettes i tråd med organisasjonens sletterutiner, med mindre det foreligger et grunnlag for å fortsette behandlingen.
Med tredjeland menes alle land utenfor EØS.
I denne forstand menes overføring av personopplysninger all utlevering av personopplysninger, kopi eller overføring via et nettverk, eller all utlevering av personopplysninger, ut av organisasjonens virksomhet. Der slik overføring skjer ut av EU og EØS vil de som overfører opplysningene være eksportør av personopplysningene. Dette kan typisk være tilfellet ved deltakelse i internasjonale konkurranser og/eller bruk av IT-løsninger som lagrer data utenfor EU og EØS.