Personvern

Behandling av personopplysninger

På denne siden finner du alt om KIDN og håndtering av personopplysninger. Her er lenke til Databehandleravtalen og til KIDns eksempel/mal for Personvernerklæring

25. mai 2018 trådte EUs nye personvernforordning, The General Data Protection Regulation (GDPR), i kraft. Dette er i praksis en ny lov for personvern, og den vil endre måten vi samler inn, bruker, håndhever og lagrer persondata på.
Den skal implementeres i alle lokale personvernlover i hele EU og EØS-området. Den vil gi innbyggerne større kontroll over sine egne personopplysninger og skal sikre at informasjonen beskyttes i hele Europa. For eksisterende lov i Norge – Personopplysningsloven – se lovdata.no – paragraf 19. (Oppdatert norsk lov ble vedtatt av Stortinget 22. mai 2018, men iverksettes først i juli).

Den nye forordningen er i stor grad videreføring av eksisterende regelverk, men kravet til behandling av personopplysninger er skjerpet. I tillegg er individets rettigheter styrket. Kiwanis District Norden (KIDN) har forberedt overgangen og det er utarbeidet både en databehandleravtale og mal for personvernerklæring. Dokumentene er sendt til alle klubbene og er i tillegg lagt ut her.

Distriktet (KIDN), som databehandler, har laget en databehandleravtale som regulerer forholdet mellom KIDN og den enkelte klubb. Hver klubb signerer avtalen og returnerer den deretter til distriktet.
Klubbene som bruker og behandlingsansvarlig, må lage egne personvernerklæringer. Et eksempel på slik erklæring er vist nedenfor og kan brukes som mal når klubbene skal lage sin personvernerklæring. 

Databehandleravtalen KIDN og klubbene:  Databehandleravtalen

Databehandleravtalen regulerer KIDNs (databehandler) bruk av personopplysninger på vegne av den enkelte klubb (behandlingsansvarlig).

Klubbenes president signerer avtalen og returnerer den til Lovkomiteen – lov@kiwanis.no
Klubben vil så få et signert eksemplar  (databehandlers underskrift) i retur.

Personvernerklæring – eksempel og mal

Hver klubb må lage sin egne personvernerklæring

Utskriftvennlig versjon:  Personvernerklæring_mal_kidn   – komplett versjon i Word for utskrift og bruk når personvernerklæring skal lages.

Nedenfor finnes personvernerklæringen punkt for punkt i egne bokser. Klikk på boksen for å lese teksten.

I boksen finnes originalteksten for hvert av de 14 punktene som erklæringen inneholder samt en merknad til hjelp og ekstra informasjon under arbeidet.

1. Innledning
Kiwanis Club XX er opptatt av våre medlemmers personvern, og vi sørger derfor for at all behandling av dine personopplysninger skjer i henhold til Personopplysningloven og andre relevante lover og regler. I denne personvernerklæringen forklarer vi hvordan vi samler inn, behandler og benytter informasjon om deg og hvordan vi tar hensyn til personvernet.

Erklæringen omfatter alle personopplysninger som lagres på elektroniske media. Lagring på manuelle arkiver er unntatt.

Merknad: Fyll inn klubbens navn. Dersom klubben samler inn andre/flere data så er ikke det noe problem. Ekstra data kan lagres på papir eller løs harddisk/minnepinne/tilsvarende. Det kan bl a være aktuelt i forbindelse med data for historisk eller statistisk bruk.

2.  Grunnlag og hjemmel.
Vår behandling av dine personopplysninger skjer innenfor rammen av de alminnelige regler i den, til enhver tid gjeldende, norske personopplysningsloven, med eventuelle forskrifter, samt øvrige relevante lover og regelverk som har innvirkning på personvernet.

Merknad. Data for Lov og forskrift finnes i Databehandleravtalens pkt 1.
Den norske personopplysningsloven er under Stortingsbehandling og ventes behandlet høsten 2018.

3. Formål og hensikt
Vi samler inn dine personopplysninger for å administrere ditt medlemskap, ha en korrekt identifikasjon ved henvendelser, kunne kontakte deg og levere informasjon, nyhetsbrev og tjenester samt svare på henvendelser og gjøre oppmerksom på endringer i eksempelvis personvernerklæringen.

Merknad: Her må klubben tilpasse teksten til den praksis som gjelder der slik at punktet viser riktige fakta.

4. Behandlingsansvarlig
Kiwanis Club XX er behandlingsansvarlig for behandlingen av personopplysningene dine med webredaktør /(evt XX) som utførende ledd (databehandler) .  (Tilpasses av den enkelte klubb)

Merknad. Fyll inn klubbens navn og hvem som utfører arbeidet. Det er normalt presidenten som er klubbens «juridiske person» og som sådan formelt lovmessig ansvarlig. Her skal også settes inn hvilken funksjon som har det utøvende, daglige ansvar for behandling av opplysningene. Her kan sekretær eller webredaktør være et normalt valg.

5. Hva er personopplysninger
Når du, etter søknad, blir registrert som medlem hos oss vil du oppgi en del data som vi lagrer. Disse opplysningene lagres i vår medlemsliste/medlemsarkiv for å administrere ditt medlemskap og sikre korrekt identifisering ved behandling av personopplysningene dine.

Personopplysninger er data og vurderinger som kan knyttes til enkeltpersoner. Dette kan være Kiwanis ID-nummer (medlemsnummer), navn, bosted, telefonnummer, e-postadresse og klubbens KI-nummer, eller en kombinasjon av disse som gjør det mulig å vite hvem som befinner seg bak de elektroniske dataene.

Merknad. Datatilsynets definisjon på personopplysning er:
Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Se også pkt 7 når det gjelder hvilke personopplysninger som Kiwanis benytter som standard, og pkt 9 når det gjelder deling.

6. Slik samler vi inn personopplysninger
Når du blir medlem i klubben og leverer din søknad, vil du oppgi en del data som vi lagrer i vår medlemsliste (medlemsarkiv) i samsvar med ditt eventuelle samtykke. Samtidig vil du bli informert om denne erklæringen og må signere for ditt samtykke for bruk av dine data; som dokumentasjon.

Merknad. Her må teksten tilpasses praksis i klubben både når det gjelder hvordan man blir medlem (metode) og hvordan man lagrer opplysningene.
Bakerst i Databehandleravtalen er det sider med tabell der man kan skrive inn medlemmenes navn og få signaturen. Beholdes i klubben, men må tas vare på da det er dokumentasjonen på medlemmets samtykke. Det blir veldig viktig ved evt uoverensstemmelser m m.

SamtykkeDefinisjon: Erklæring om at tiltak kan igangsettes der erklæringen er avgitt frivillig, innholdet er uttrykkelig og der erklæringen er avgitt på bakgrunn av tilstrekkelig informasjon om tiltaket.

7. Hvilke personopplysninger samler vi inn/hva vi vet om deg

Opplysningene som samles inn omfatter ditt Kiwanis ID-nummer, fullt navn, kjønn, fødselsår og dato, bostedsadresse, e-postadresse og telefonnumre. I tillegg oppgis klubbens KI-nummer og innmeldingsdato. Vi samler ikke i noe tilfelle inn sensitive opplysninger slik personopplysningsloven spesifiserer. Vi samler heller ikke inn opplysninger om barn. Skulle vi motta slike opplysninger vil de bli returnert og/eller slettet.

Dersom det, etter avtale, blir samlet inn andre/flere personopplysninger enn de ovenfornevnte om deg vil de bli lagret internt, på manuelt vis, slik at de bare er tilgjengelig for intern bruk i klubben.

Merknad. Personopplysningene som er listet er er de som sendes fra KIDN til KIs database og er altså de opplysningene som Kiwanis samler inn og bruker. Her kan det selvsagt forekomme at klubben samler inn flere data. Det må i så fall fremkomme her, være etter medlemmets samtykke, og det må angis på hvilken måte andre data lagres og brukes.
Eksempel på andre behov kan være aktuelt i forbindelse med data for historisk eller statistisk bruk.

Sensitive personopplysninger (i h t Personopplysningsloven) er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

8. Slik behandler og bruker vi personopplysningene dine
Personopplysningene dine lagres manuelt i klubbens medlemsregister. De benyttes til å lage en medlemsliste som publiseres på klubbens nettsted på lukkede sider; d. v. s. at man trenger brukernavn og passord for å se dem. Datamaskinene som benyttes vil være sikret mot inntrengning og misbruk av data ved hjelp av tilgjengelige sikkerhetsprogrammer.  Bare klubbens medlemmer har tilgang til disse sidene.
Hva klubben bruker opplysningene til er det redegjort for i pkt 3 ovenfor. Vi vil ikke bruke dem på åpne nettsider uten ditt samtykke. Din e-postadresse vil ikke foreligge på de åpne sidene uten ditt samtykke.

Merknad. Teksten må tilpasses praksis i klubben. Det bør være fast regel hos alle at opplysningene ikke benyttes på åpne sider uten samtykke fra vedkommende. Private e-postadresser bør ikke være oppgitt på åpne sider; bruk e-postsystemet i Kiwanis. Dersom bruk på åpne sider er nødvendig kreves samtykke.

9. Hvem deles opplysningene med

Ved innmelding i klubben sendes personopplysningene dine til KIDNs medlemsregister der medlemsregisteransvarlig legger dem inn i Kiwanis Internationals database i USA. Gjennom ditt samtykke god-kjenner du også at KIDN kan forhandle med Kiwanis International (KI) og eventuelt Kiwanis International European Federation (KIEF), samt underleverandører, om bruk og behandling av persondata. Dette skal da foregå innenfor rammene av denne erklæringen som du har signert.
I tillegg blir data lagret på KIDNs nettsted som et medlemsregister, i samsvar med ditt samtykke. Her ligger de også på lukkede sider; bare tilgjengelig for kiwanismedlemmer i KIDN.

Det er inngått databehandleravtale mellom klubben og KIDN.

KIDN, og dermed også klubben, benytter seg av 2 felles underleverandører. Leverandør av nettsteder er DMT Alvdal AS, og system for e-post er plassert hos Domeneshop AS. Begge underleverandører er kjent med KIDNs avtalemessige og lovmessige forpliktelser og oppfyller vilkårene etter disse.

KIDN har databehandleravtaler med disse to som kan fremvises på forespørsel.

Merknad. Klubber som benytter andre databehandlere enn de som KIDN bruker må selv sørge for at det foreligger en databehandleravtale med disse.

De nevnte databehandlerne som KIDN benytter har selv inngått avtaler med sine underleverandører. Dette er tatt  med i databehandleravtalen overfor KIDN.

10. Slik beskytter vi dine personopplysninger

Som behandlingsansvarlig vil klubben oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Ved denne erklæringen er rutiner og andre tiltak for å oppfylle disse kravene dokumentert. Denne erklæringen vil være tilgjengelig på din forespørsel hos XX (fyll ut).

Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler (KIDN) melder avviket til behandlingsansvarlig. Klubben har ansvaret for at avviksmelding sendes Datatilsynet.

Klubben vil avtale med databehandler (KIDN) at det gjennomføres sikkerhetsrevisjoner en gang i året. Dette vil primært gjøres mellom klubben og medlemsregisteransvarlig, slik at man har forståelse for at medlemsmassen er riktig.

Sikringen av dine personopplysninger er beskrevet ovenfor i punktene 7-9.

Merknad. Alle rutiner og tiltak som stilles etter Personopplysningsloven og forskriften til denne er dekket i denne personvernerklæringen. Vær derfor varsom når det gjøres evt endringer for å unngå at klubbens erklæring ikke lenger tilfredsstiller de lovmessige krav. 

11. Sletting av personopplysninger

Personopplysninger vil ikke bli lagret lenger enn nødvendig for formålet. De vil bli slettet umiddelbart etter at vi har mottatt melding om at ditt medlemskap er avsluttet, med mindre det er lovpålagt å oppbevare opplysninger en viss tid.

Merknad. Ref pkt 1 og 7 når det gjelder historisk eller statistisk bruk av opplysningene eller noen av dem. Ref også lagringspåbud i økonomiske saker/regnskap.

12. Hvilke rettigheter har du som registrert medlem

Som behandlingsansvarlig kan Kiwanis Club XX ikke behandle dine personopplysninger med mindre du har gitt en spesifikk og klar indikasjon på samtykke med din signatur som beskrevet ovenfor.

Dine rettigheter omfatter ditt samtykke, tilgang til data, rett til å bli glemt, overføring av datainformasjon og korrigering av denne, begrensninger i bruk av data, motsette seg behandling, rett til å bli varslet ved eksempelvis datainnbrudd.

Du har rett til å få vite hvilke personopplysninger som behandles av klubben, og har derfor rett til:

a. å få en oversikt over de opplysninger som behandles

b. å be om at feilaktige eller ufullstendige opplysninger korrigeres

c. å be om at personopplysninger skal slettes eller at bruk av personopplysninger skal begrenses. Informasjonen kan fremdeles lagres, men skal ikke brukes

d. å protestere dersom du mener personopplysninger behandles i strid med formålet, f. eks til bruk i direkte markedsføring

e. å kreve at personopplysninger som behandles av klubben utleveres til deg eller at disse utleveres direkte til annen behandlingsansvarlig. Utlevering forutsetter at personopplysningene behandles på bakgrunn av avtale eller samtykke, og at utlevering er tekniske mulig (dataportabilitet).

Merknad. Fyll inn klubbnavn i første linje.
Retten til innsyn og informasjon gjelder ikke dersom opplysningene benyttes til historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte. 
 

13. Endring av personvernerklæringen
Vi vil kunne oppdater erklæringen med jevne mellomrom.

Merknad. Den registrerte har selvsagt en alminnelig rett til å bli orientert om endringer i personvernerklæringen.

14. Kontakt 

Gjeldende personvernerklæring vil være tilgjengelig på xx@kiwanis.no .  Ved spørsmål om vår personvernerklæring ta kontakt med XX. (Tilpasses av den enkelte klubb).

Merknad. Sett inn klubbnavn i e-postadressen. Sett inn hvem som skal kontaktes ved evt spørsmål. Her bør det gjerne stå funksjon (sekretær/webredaktør/annet) og telefonnummer, e-post eller annet.