Personvernerklæring for Norges Innsamlingsråd

1. Om personverndokumentet

Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger er i samsvar med loven. 

2. Ansvar for behandling av personopplysninger hos oss

Det overordnede behandlingsansvaret har generalsekretær Siri Nodland. Det daglige behandlingsansvaret har fagansvarlig/ansvarlig for medlemsutvikling Charlotte Arnø Storebakken.

Kontaktinformasjon:

• Norges Innsamlingsråd, Øvre Slottsgate 3, 0157 Oslo
• Charlotte Arnø Storebakken, epost: charlotte@innsamlingsradet.no

3. Kunnskap over reglene om personopplysninger

Vi skal sørge for at ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. 

4. Kartlegging av behandling av personopplysninger

Norges innsamlingsråd kartlegger all behandling av personopplysninger. Dette gjøres i et eget skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag den har for behandlingen..

5. Grunnkrav for behandling av personopplysninger

Iht Personvernforordningen skal Norges Innsamlingsråd sørge for at personopplysninger:

1. behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»)
2. samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)
3. er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
4. er korrekte og om nødvendig oppdaterte. 
5. lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)
6. behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)

Hvis personopplysninger brukes til andre formål enn de er samlet inn for, se punkt 2 ovenfor, skal vi alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Vi skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.

6. Grunnlag for å behandle personopplysninger

6.1. Behandlingsgrunnlag

Norges Innsamlingsråd skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:

1. den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål
2. behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
3. behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige

a. Ansatte

Personopplysningene om ansatte i Norges Innsamlingsråd er knyttet til ansettelsesforholdet. Vi har behov for å dokumentere at vi har oppfylt forpliktelser etter lov og avtale etter at de er oppfylt. Vi har også behov for dokumentasjon for personaladministrasjon til bruk for fremtidig personaladministrasjon.  

b. Tidligere ansatte

Opplysninger om tidligere ansatte i Norges Innsamlingsråd oppbevares i inntil tolv måneder. Opplysninger om at den ansatte har vært ansatt, varighet av arbeidsforholdet og arbeidsoppgaver kan vi lagre lenger. Opplysningene vil ikke bli utlevert til andre uten at den tidligere ansatte ber om det, for eksempel i forbindelse med vurdering av ansettelse hos ny arbeidsgiver.

Det kan oppstå behov for å dokumentere personalforhold også etter at arbeidsforholdet er avsluttet, for eksempel en tvist med den tidligere ansatte. Dette kan gjelde for eksempel dokumentasjon for at vi som arbeidsgiver har oppfylt våre forpliktelser etter lovgivning eller arbeidsavtalen.  

c. Jobbsøkere

Norges Innsamlingsrådruker ikke opplysningene vi mottar i forbindelse med søknadsprosess til noe annet enn å vurdere søknaden. Vi gir ikke opplysningene til noen andre. Vi kan beholde opplysninger fra jobbsøkere i seks måneder, i tilfelle jobbsøkere skulle mene at deres rettigheter ikke er oppfylt.

d. Kontaktpersoner hos medlemmene

Norges Innsamlingsråd registrerer kontaktopplysninger som telefonnummer, epostadresse, stilling og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold og ikke til kontaktpersonens privatliv. Disse opplysningen oppbevares for å oppfylle forventingene fra medlemmene om riktig informasjon fra oss og vedlikehold av medlemskapet.

e. Kontaktpersoner hos leverandører

• Norges Innsamlingsråd registrerer kontaktopplysninger som telefonnummer, epostadresse, stilling og arbeidsgiver, som alle er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. 

d. Kontaktpersoner hos partnere

Norges Innsamlingsråd registrerer kontaktopplysninger som telefonnummer, epostadresse, stilling og arbeidsgiver, som alle er knyttet til partnerens næringsvirksomhet og ikke til kontaktpersonens privatliv. 

e. Andre kontaktpersoner

Behandling av personopplysninger er basert på interesseavveining. Vi har behov for å ha kontakt med offentlige myndigheter, for eksempel NAV og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter. 

6.2 Grunnlag for behandling av sensitive personopplysninger

Norges Innsamlingsråd registrer ikke sensitive personopplysninger om sine medlemmer, partnere eller leverandører.

6.3 Registrertes rettigheter

Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Mottar vi slike henvendelser, skal de sendes til generalsekretær Siri Nodland, kontaktinformasjon se pkt .2

Vi skal sørge for at registrerte får gjennomført rettighetene sine hos oss.

7.   Sletting av personopplysninger

Vi skal slette personopplysninger når de ikke lenger er nødvendig for formålet. Minst én gang i året skal vi gjennomgå dette. Våre retningslinjer for sletting følger nedenfor eller av kartleggingsskjemaet.

Ansatte

Vi beholder som hovedregel alle opplysninger i hele ansettelsestiden. Ansatte kan be om at opplysninger blir slettet. Dette vil bli vurdert konkret

Tidligere ansatte og jobbsøkere

Se ovenfor om behandlingsgrunnlaget for disse kategoriene. 

Kontaktpersoner hos leverandører og kunder

Vi skal slette opplysningene når vi blir kjent med at kontaktpersonen har sluttet hos leverandøren eller kunden eller at leverandøren eller kunden har utpekt en ny kontaktperson. Det samme gjelder når leverandør- eller kundeforholdet er opphørt.

Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon av den kontakten vi har hatt med leverandøren eller kunden. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtaleforholdet med leverandøren eller kunden. 

Andre kontaktpersoner

Vi skal slette opplysningene når vi blir kjent med at personen ikke lenger er relevant for våre behov, herunder hvis personen slutter hos bedriften, offentlig etaten osv. 

Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon av kontakt med personen eller personens arbeidsgiver. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtale-, offentligrettslige eller andre forhold.

8. Personvernombud

Vi har vurdert om personvernforordningen krever at vår bedrift skal ha personvernombud. 

Vi har ingen eller svært få fysiske personer som kunder. Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, tittel, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. Vi behandler enkelte sensitive opplysninger om ansatte.

Vi har konkludert med at vår bedrift ikke er underlagt krav om å ha personvernombud.

9. Alminnelig risikovurdering

Vi skal risikovurdere behandlingen av personopplysninger. Denne vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre. 

Kartleggingsskjemaet viser at vi:

• i stor grad behandler bare alminnelige kontaktopplysninger, som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l.
• behandler opplysninger om ansatte som er vanlige for å administrere personalforhold, herunder etterlevelse av lovpålagte forpliktelser
• har få eller ingen privatkunder
• ikke behandler opplysninger om barn
• behandler opplysninger som er en del av det å drive alminnelig næringsvirksomhet

10. Informasjonssikkerhet

Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i.

Risikoene våre er vurdert overordnet i punktet ovenfor.

På denne bakgrunn har vi gjennomført disse tiltakene:

• Det er utpekt en person hos oss med særlig oppgave å påse sikkerheten: Generalsekretær
• Uvedkommende skal hindres tilgang til personopplysningene eller utstyr disse er lagret på.
• Det skal sikres at virksomhetens nettverk er beskyttet mot inntrengning fra eksterne nettverk med brannmur som kun slipper gjennom nødvendig datatrafikk.
• Det skal sikres at virksomhetenes nettverk er beskyttet mot uvedkommendes bruk, eksempelvis ved sikring av trådløst nettverk. 
• Ekstra tiltak skal iverksettes for spesielt beskyttelsesverdige opplysninger som for eksempel sykemeldinger, opplysninger rundt tilrettelegging av arbeidsplassen, vurderinger av den ansatte, merknader og advarsler.
• Ansatte skal gis opplæring i bruk av virksomhetens IT-system.

11. Kjøp av IT-tjenester– databehandleravtaler

Vanligvis vil vi opptre som behandlingsansvarlig når virksomheten kjøper IT-tjenester fra en tjenesteleverandør. Vi har da fortsatt ansvaret for at personvernlovgivningen blir etterlevd ved kjøp av IT-tjenester, for eksempel HR-løsninger eller kundedatabaser/CRM.

Før vi kjøper IT-tjenester skal vi derfor blant annet vurdere om leverandøren tilfredsstiller de kravene til sikkerhet som personopplysningsloven krever (artikkel 32). Seriøse leverandører vil ofte kunne dokumentere at de oppfyller kravene. Vi må også sørge for å inngå en databehandleravtale som regulerer hvordan databehandleren skal håndtere personopplysningene den mottar fra og behandler på vegne av oss. Leverandører vil ofte ha egne avtaler som oppfyller kravene i regelverket.

Dersom tjenesteleverandøren skal overføre personopplysninger til land utenfor EU/EØS, må det foreligge et lovlig grunnlag for dette.

12. Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten (for eksempel hackerangrep eller tap av personopplysninger) skal vi straks kontakte Datatilsynet for å finne ut hva vi bør gjøre.

Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at vi ble kjent med bruddet. 

Vi har plikt til å varsle den registrerte dersom det er trolig at bruddet på personopplysningssikkerheten vil medføre høyrisiko for enkeltpersonenes rettigheter og friheter. Vi mener at vår behandling av personopplysninger bare helt unntaksvis kan føre til slik risiko.

Vi skal dokumentere eventuelle brudd på personopplysningssikkerheten. 

13. Kontroll, oppdatering og revisjon av dokumentet

Vi skal oppdatere og revidere dette dokumentet jevnlig

Generalsekretær Siri Nodland har ansvar for at behov for endringer og revisjoner blir identifisert og innarbeidet i dokumentet og i skjemaet. Dette skal gjøres årlig.