GDPR – Rutiner ifm bruk av fritekstfelt og medlemsdetaljer

Fra itINFO
Hopp til: navigasjon, søk

1. Innledning

Idrettslag kan selv definere medlemsdetaljer og fritekstfelt i KlubbAdmin. Dette er punkter hvor NIF ikke kan ha kontroll med bruk av løsningen og hvor det er viktig med retningslinjen slik at organisasjonen har et bevisst forhold til bruk av dette.

Artikkel 24 i GDPR (lenke til GDPR i ITinfo) stiller krav til egnede tekniske og organisatoriske tiltak for at behandlingsansvarlig skal sikre at behandlingen er i samsvar med kravene.

Felt som idrettslagene selv definerer i løsningen er idrettslaget selv ansvarlig for, slik at innhold og bruk er i samsvar med kravene i GDPR.

Bruk av fritekstfelt skal minimeres for å redusere risiko for lagring av informasjon som kan være i strid med kravene i GDPR.

Dette dokumentet oppsummering rutiner knyttet til disse to områdene, og innholdet skal publiseres som nyhetsartikkel på KlubbAdmins nettsted, samt på hjelpesidene itinfo.nif.no.

2. Rutine for bruk av medlemsdetaljer

Medlemsdetaljer er funksjonalitet som gir brukere av KlubbAdmins medlemsadministrasjon mulighet for å definere egne felt av ulike typer i løsningen. Dette gir idrettslagene en fleksibilitet til å kunne lagre egne personopplysninger i tillegg til de som er standard i løsningen.

Denne fleksibiliteten kan imidlertid være en utfordring i forhold til krav som følger av GDPR. Ifølge regelverket skal den ansvarlige (idrettslaget) bl.a.:

  • kun behandle data for berettigede formål, dvs. være lovlig og dermed må data være naturlig å behandle disse data i tilknytning til å være medlem i idrettslaget
  • begrense sin behandling til det som er nødvendig (dataminimering)
  • ikke lagre data lengre enn nødvendig
  • sikre at opplysningene alltid er korrekte
  • ikke behandle sensitive persondata (jfr. GDPR art. 9)

Vår anbefaling er å være varsom og bevisst med bruken av funksjonaliteten for å sikre seg at idrettslaget er i samsvar med kravene i loven. Standardløsningen uten bruk av medlemsdetaljer er innenfor kravene i loven basert på de vurderinger som NIF har gjort i forbindelse med lovligheten av behandlingen av personopplysninger. Les mer om behandling av personopplysninger og informasjonssikkerhet i idretten

Idrettslag som oppretter medlemsdetaljer, er selv behandlingsansvarlig og tar dermed ansvar for at alle lovens krav dekket og står ansvarlig for databehandlingen iht. Datatilsynet.

Det presiseres i denne sammenheng at om en lagrer tilleggsopplysninger på papir eller i et regneark i stedet for å benytte medlemsdetaljer, så endrer dette ikke ansvaret for idrettslaget da GDPR stiller samme krav også ved slik behandling/lagring.

Dersom en benytter medlemsdetaljer, bør en sørge for entydige (klare) ledetekster på felt, slik at de er lettforståelige for både idrettslaget og medlemmet som får tilgang til informasjonen i Min idrett. En må også passe på at ledeteksten i seg selv ikke legger føringer som innebærer at feltet i seg selv blir ulovlig, f.eks. tekst knyttet til sensitive persondata (seksuell legning, politisk overbevisning, helse m.v.). Om mulig bør en unngå bruk av fritekstfelt, jfr. neste punkt.

3. Rutine for bruk av funksjonstypedetaljer

Funksjonstypedetaljer er tilsvarende funksjonalitet som medlemsdetaljer, og gir brukere av SportsAdmins organisasjonsmodul mulighet for å definere egne felt av ulike typer i løsningen. Dette gir bl.a. NIF og særforbund en fleksibilitet til å kunne lagre egne (person)opplysninger knyttet til en funksjon/rolle i tillegg til de som er standard i løsningen.

På samme måte som med medlemsdetaljer kan dette representere utfordringer mtp. lovverket, og det organisasjonsleddet som benytter seg av funksjonstypedetaljer er behandlingsansvarlig for disse, jfr. innholdet for øvrig i punkt 2.

4. Rutine for bruk av fritekst

Fritekstfelt som en felttype i medlemsdetaljer, eller som felt knyttet til person i idrettssystemene for øvrig, bør som hovedregel unngås. Dette begrunnes i at det ikke er mulig å sikre seg hvilken informasjon ulike brukere registrerer i et slik felt. Uforsiktig bruk av fritekstfelt kan derfor lett medføre et lovbrudd som følge av ulovlig registrering. I stedet for fritekstfelt bør det benyttes felt av riktig type (tekst, dato, valg mellom verdier osv.) som passer for den informasjon som skal registreres/behandles.

Sensitive personopplysninger (rase/etnisitet, politisk oppfatning, seksuell orientering, religion, overbevisning eller fagforeningsmedlemskap, helseforhold inkl. genetiske og biometriske opplysninger) er det forbundt å lagre, og skal ikke lagres i fritekstfelt eller andre tekstfelt.

Tilsvarende skal det aldri lagres noen adresseopplysninger for personer som har hemmelig adresse. Adressefeltene i idrettsløsningene vil ikke vise adresse for personer som har hemmelig adresse i Det Sentrale Folkeregisteret.

I fritekstfelt skal det heller ikke registreres sensitive opplysninger, karakteristikker, fødselsnummer eller andre opplysninger om medlemmet som kan bli vurdert til å være ulovlig eller i gråsonen med tanke på idrettslagets eventuelle behov for opplysninger.

GDPRs krav om at registrering skal begrenses til et minimum er viktig å ta med i betraktning, samtidig som en er bevisst på at det er idrettslaget som står ansvarlig for registreringen og behandlingen.

Ved spørsmål kan IT-support kontaktes pr. support@idrettsforbundet.no