Er det definert en forskjell på ulike personopplysninger?
Er det definert en forskjell på ulike personopplysninger?

GDPR i idrettslaget

Hva er GDPR? Hva betyr det for idrettslaget? Hva kan idrettslaget gjøre? Hva kan skje hvis idrettslaget ikke gjør noe? GDPR er noe som kan være vanskelig å sette seg inn i, og derfor har vi tatt en prat med Marius Otterstad i Advokatfirmaet Kleven & Kristensen for å få svar på noen av de mest essensielle spørsmålene i forbindelse med GDPR.

- Hva er GDPR, og hvorfor burde et idrettslag tenke på dette?

GDPR er kort forklart en lov som skal styrke personvernet ved behandling av enkeltpersoners personopplysninger på nett. Tenk deg at alle personopplysninger har en verdi som trenger beskyttelse for å ikke bli utnyttet. Om den blir utnyttet vil den som sitter med ansvaret å sikre verdiene bli holdt ansvarlig. GDPR skal dermed være med på å synliggjøre verdien av personopplysningene, og håndheve bruddene ovenfor enkeltpersoner slik at behandlingen skjer på en lovlig, rettferdig og åpen måte, forteller Otterstad.

Spørsmålet er hvorfor idrettslag burde tenke på dette. Svaret er enkelt: Om idrettslag ikke ønsker å bli holdt erstatningsrettslig ansvarlig ved mislighold burde de ha en god plan for sin behandling av personopplysninger, fortsetter Otterstad.

- Er det definert en forskjell på ulike personopplysninger? Eventuelt hvilke?

Både ja og nei. Personopplysninger er alle opplysninger og vurderinger som kan knyttes opp til en enkeltperson. I dette ligger de overordnede opplysningene som navn, adresse, e-postadresse, SoMe-adresser, aliaser/kallenavn, telefonnummer, foto og fødsels-/personnummer, men også vurderinger, kategoriseringer og karakteriseringer av en person.

Her vil det være et gråsoneskille mellom det man kan karakterisere som sensitive opplysninger, da de nevnte opplysningene kan føre til kunnskap om mer sensitive opplysninger om en person. Det vil være typisk opplysninger om helse, seksuell orientering, etnisk opprinnelse, religiøs overbevisning samt genetiske og biometriske opplysninger. Hovedpoenget er at man i utgangspunktet skal behandle alle personopplysninger som om de var sensitive, slik at man kan dokumentere de vurderingene man har tatt underveis, sier Otterstad.

- Hvordan kan man starte arbeidet med GDPR i et idrettslag?

Her er det flere enkle grep som kan tas. Det viktigste er å sørge for at ledelsen har innført GDPR-kompatible retningslinjer. Selv om dette høres utfordrende ut dreier det seg i all hovedsak om å ha en god plan for behandlingen av dataen og åpenhet rundt planen. Uten åpenhet er det heller ikke mulig å innhente samtykke fra den det gjelder.

Det er derfor viktigere enn noensinne med åpenhet med tanke på hva personopplysningene blir brukt til, hvor de blir lagret og hvem de blir delt med. Uten åpenhet rundt dette er det fare for at det ikke foreligger gyldige samtykke fra den det gjelder. Da kan man fort bli holdt erstatningsansvarlig, forteller Otterstad før han fortsetter:

Idrettslagets styre burde derfor foreta følgende konkrete grep så snart som mulig om de ikke allerede har gjort det:

  • utføre en full kartlegging av idrettslagets innsamling og behandling av personopplysninger. Både behandlinger som skjer internt i deres system og eksternt som for eksempel gjennom deres nettsider.
  • lage en protokoll over hvilke behandlinger av personopplysninger som skjer i virksomheten. Her finner man standardprotokoller som oppfyller minimumskravene på Datatilsynets nettside.
  • utforme gode rutiner for hver enkelt behandling som er kartlagt. Det er også viktig at dette informeres til hele laget.
  • dokumentere sikkerheten. Det vil si innad i systemet deres som for eksempel sikring av registre ved brannmurer og to-trinns innlogging, og utad i form av eksempelvis samtykkeerklæringer for behandling av datatrafikk på deres nettside.

På NIFs hjemmesider finner man mye god informasjon. NIF har også utarbeidet enkelte maler idrettslagene kan benytte i kartleggingsfasen. Det er også mye informativ informasjon på Datatilsynets hjemmesider. Idrettslagene bør i tillegg vurdere om det er behov for nærmere skreddersøm og i så fall innhente juridisk bistand. Det vil eksempelvis være utforming av tilpasset databehandleravtaler, utforming av personvernerklæringer for ansatte, kunder, leverandører og andre typisk nettbesøkende, samt samtykkeerklæringer. Videre bør idrettslaget vurdere å innhente juridisk kompetanse ved eventuelle varslinger og rapporteringer om brudd og ved krav eller pålegg fra databehandler eller Datatilsynet, sier Otterstad.

GDPR kan kanskje for mange virke komplisert, det kjenner i hvert fall jeg på. Hvis vi skal oppsummere litt, hva vil du si er det aller viktigste et idrettslag gjør når det kommer til arbeid med GDPR?

- Det viktigste er at idrettslaget er klar over at deres virksomhet er pålagt å følge kravene etter GDPR og har dokumentert sine tiltak for å oppfylle kravene. Det stilles høyere krav til større virksomheter, slik at så lenge idrettslaget har vurdert sin egen stilling og deres behov deretter vil det falle naturlig hvilke tiltak som må gjøres.

Hvem kan måtte stå ansvarlig dersom Datatilsynet skulle finne brudd på GDPR i et idrettslag?

I utgangspunktet er det idrettslaget som er ansvarlig for at laget oppfyller GDPR. Videre vil styremedlemmene kunne ha et styreansvar (erstatningsansvar) dersom de har opptrådt uaktsomt. Det vil si at GDPR-kompatibilitet for idrettslaget ikke er noe en kar i kjelleren på klubbhuset skal styre med, men det skal være utarbeidet en god plan fra ledelsen på forhånd, avslutter Otterstad.

 

Vi takker Marius Ottersen fra Kleven & Kristensen for tiden og gode, utfyllende svar.