Tilbake

GDPR for foreninger og arrangører

Image: Designed by Freepik

EUs nye GDPR (General Data Protection Regulation) er over oss og det nye regelverket som er tilpasset dagens digitale virkelighet har som hovedregel at man ikke kan lagre personopplysninger uten uttrykkelig samtykke fra personen det gjelder. 

GDPR medfører flere nye rettigheter for personer og plikter for organisasjoner, og alle som håndterer personopplysninger hos foreninger/arrangører må forholde seg til de nye reglene. Det omfatter også underleverandører av personopplysninger, som f.eks. Medlemsadmin som blir en databehandler, og forening/arrangør blir behandlingsansvarlig.

Medlemsadmin har oppdatert kjøpsvilkårene for kjøper vedr. behandling av personopplysninger, og alle som kjøper medlemsskap eller skal kjøpe billett/påmelding må krysse av for at de samtykker til disse. Kjøpsvilkårene innebærer også å kunne motta e-post som gjelder medlemskap/arrangement fra forening/arangør. Den enkelte forening/arrangør har også mulighet for å erstatte denne standard teksten med sin egen hvis de mener det er nødvendig. Man kan bare bruke personopplysningene til det man har opplyst om.

Den enkelte forening kan i tillegg utforme egne samtykke-tekster som hvert medlem kan gi eller trekke sitt samtykke til på Min side. Dato for når samtykke ble gitt eller trukket blir lagret.

Det er den enkelte forening/arrangør som eier dataene som ligger lagret i Medlemsadmin, og som har ansvaret for dataene som en behandlingsansvarlig. Den nye loven pålegger behandlingsansvarlig en rekke plikter som er omtalt her https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter .

Som underleverandør må Medlemsadmin ha en databehandleravtale med forening/arrangør, og våre foreningsvilkår er oppdatert med en standard databehandleravtale. En beskrivelse av pliktene som følger av databehandleravtalen kan leses her: https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/databehandleravtale/ .

I enkelte tilfeller kan en person kreve å få sine personsopplysninger slettet, ofte kalt "retten til å bli glemt". Forespørsel om sletting av informasjon fra en person kan gis til forening/arrangør som har mulighet til å slette/anonymisere personopplysninger for utmeldte medlemmer og tidligere arrangement. Utmeldte blir automatisk skjult. Medlemsadmin kan også bistå med sletting ved henvendelse fra forening/arrangør.  Retten til å bli slettet er omtalt på disse sider, som også beskriver noen unntak, bl.a. bokføringsloven i forbindelse med betalingstransksjoner: https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-sletting/ .

Innføring av GDPR kan virke omfattende og informasjonsmengden på nettet er stor, og det kan kanskje virke vanskelig å vite hvor man skal starte. Det er Datatilsynet som har ansvaret i Norge for  oppfølging av GDPR, så det er et godt utgangspunkt, selv om informasjonsmengden også der er veldig omfattende. For frivillige foreninger/arrangører kan nettsidene til "Frivillighet Norge" om personvern også være et bra startsted, se denne lenken.

Kontakt oss gjerne på support@medlemsadmin.net dersom du har noen spørsmål rundt GDPR og vi vil hjelpe så godt vi kan.

Forrige Neste