Behandling av personopplysninger i Nordens velferdssenter
Bakgrunn
Nordens velferdssenter er en ideell offentlig organisasjon under Nordisk ministerråd. Nordens velferdssenter er ikke underlagt trykkefrihetsloven og offentlighets- og personvernloven (Sverige). De eksterne personopplysningene vi håndterer, handler i hovedsak om søknader til arrangementer, bestillinger og utsending av publikasjoner, abonnement og nyhetsbrev. Personopplysninger overdras ikke til annen part.
Den 25. mai 2018 trådte en europeisk personvernforordning, GDPR (General data Protection Regulation), i kraft i Sverige, Finland og resten av EU. Den erstattet personopplysningslovene i de forskjellige landene.
Nordens velferdssenter er behandlingsansvarlig i to land, nemlig i Finland og i Sverige. Disse to landene følger den europeiske personvernforordningen og har innarbeidet GDPR-bestemmelsene i sin nasjonale lovgivning. I den finske (5.12.2018/1050) og den svenske personvernloven (Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning) beskrives det nærmere hvordan disse landene anvender GDPR.
I Finland er det Dataombudsmannens byrå som er tilsynsmyndighet med det oppdrag å overvåke etterlevelsen av personvernlovgivningen og øvrige lover om behandlingen av personopplysninger. I Sverige er det Integritetsskyddsmyndigheten som er tilsynsmyndighet og overvåker at GDPR og den svenske personvernloven følges.
Nordens velferdssenter behandler grenseoverskridende personopplysninger i to europeiske medlemsstater. Mer om denne behandling kan man lese på:
https://www.imy.se/lagar–regler/dataskyddsforordningen/gransoverskridande-personuppgiftsbehandling/
Sletting av personopplysninger
Nordens velferdssenter følger GDPR med gjeldende lovgivning i Sverige og Finland for håndtering av personopplysninger.
Med personopplysning mener vi all slags informasjon som kan knyttes til en fysisk person som er i live. For eksempel personnummer, navn, adresse, foto og i noen tilfeller også lydinnspillinger som er lagret elektronisk.
Personopplysninger om barn anses som særlig verneverdige i personvernforordningen siden barn kan ha vanskeligere for å forutse risikoene med å gi fra seg opplysninger og forstå hvilken rett til beskyttelse for opplysningene de har. Akkurat som når det gjelder voksne, må man ha et rettslig grunnlag, det vil si støtte i loven, for å kunne behandle personopplysninger om barn.
For at Nordens velferdssenter skal kunne oppfylle regelverket:
- samler vi ikke inn andre personopplysninger enn de som kreves for virksomheten, og som det finnes rettslig grunnlag til å samle inn
- lagrer vi nødvendige eksterne personopplysninger i et felles kontaktregister
- finnes det en utpekt ansvarlig for hver persondatabehandling
- lagrer vi personopplysninger på en sikker måte i henhold til gjeldende IT-retningslinjer.
Vi fører en protokoll over behandlingsaktiviteter for alle våre personopplysningsbehandlinger. Av registeret fremgår det hvem som er behandlingsansvarlig i Nordens velferdssenter, databehandler (når persondatabehandlingen skjer utenfor Nordens velferdssenter), beskrivelse av personopplysningsbehandling, hvorfor vi samler inn og lagrer personopplysninger, tidsbegrensning for lagring av disse opplysningene, fjerningsrutine og hvilket rettslig grunnlag som personopplysningsbehandlingen påberoper seg.
Til hva brukes personopplysninger som vi har samlet inn?
Vi samler inn personopplysninger for særlige uttrykkelig angitte og berettigede formål. Det betyr at opplysninger som samles inn for et visst rapportert formål, ikke kan brukes til helt andre formål.
Vi samler inn personopplysninger for utsending, innbydelser, nyhetsutsending til journalister og følgere, ansettelser, lønnshåndtering, opplysninger til skattemyndigheter og trygd samt for personaladministrasjon.
Hvordan vi samler inn personopplysninger og håndterer dem
Nordens velferdssenter samler inn personopplysninger via Lyyti gjennom søknader til arrangementer på hjemmesiden eller via abonnementer på våre nyhetsbrev og andre publikasjoner og skjer via registrering på hjemmesiden. For de personopplysninger som krever samtykke, gis samtykket i forbindelse med registrering/bestilling. Nordens velferdssenters protokoll over behandlingsaktiviteter for personopplysningsbehandlinger angir hvordan og på hvilket rettslig grunnlag data samles inn, og hvordan samtykke gis (når det er påkrevd). Der angis det også hvem som er ansvarlig for personopplysningsbehandlingen. Ingen kan samle inn personopplysninger uten den ansvarliges godkjenning.
Lime er Nordens velferdssenters kontaktdatabase og brukes til å lagre og opprettholde informasjon om våre kontakter. Verktøyet brukes til å administrere lister, søke etter kontakter og foreta rettet utsending via forskjellige kanaler. Formålet med Lime er å samle personopplysninger i en database for å forenkle håndteringen av og søket etter relevant informasjon om våre kontakter for alle i Nordens velferdssenter som trenger å bruke personopplysninger i arbeidet.
Lagring
Hvor de innsamlede opplysningene lagres, avhenger av reglene for respektive register. Det samme gjelder hvor lenge opplysningene vil lagres. Faktorer som kan påvirke lagringstiden, er for eksempel lover og regler, for eksempel bokføringsloven (Sverige). Nordens velferdssenter lagrer aldri personopplysninger lenger enn det som trengs. Lagringstidene for personopplysningsbehandlingen fremgår av registeret over personopplysningsbehandlinger. Der fremgår det også om det finnes automatisk sletting av data etter en viss tid.
For databehandlere som Nordens velferdssenter engasjerer reguleres lagring og sikkerhet som oppfyller GDPR og gjeldende lovgivning i avtalen.
Retten til å bli glemt og klage til personvernmyndigheter
Personer har rett til å få tilgang til sine opplysninger og få feilaktige opplysninger rettet. De har også rett til å trekke samtykke til innsamling og, hvis det ikke finnes lovlige hindringer, få slettet opplysninger. Hvis personen synes at Nordens velferdssenter behandler opplysninger på en måte som strider med personvernforordningen, kan han eller hun klage til Personvernmyndigheten i Sverige og Dataombudsmannens byrå i Finland.