- Gjelder personopplysningsloven for behandling av medlemsopplysninger?
- Hvilke opplysninger kan registreres om medlemmene?
- Kan foreningen registrere fødselsnummer?
- Er behandling av medlemsopplysninger melde- eller konsesjonspliktig?
- Hva skal skje med opplysningene når et medlem melder seg ut?
- Kan foreningen selge medlemsinformasjonen videre?
- Kan foreningen markedsføre egne produkter/tjenester overfor medlemmene?
- Har medlemmene krav på å få se hva som er registrert om dem?
- Hvordan skal medlemsopplysninger sikres?
GJELDER PERSONOPPLYSNINGSLOVEN FOR BEHANDLING AV MEDLEMSOPPLYSNINGER?
En personopplysning er en opplysning eller vurdering som direkte eller indirekte kan knyttes til en enkeltperson. Eksempler på hva som regnes som en personopplysning er: navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder og fødselsdato.
Loven omfatter behandling av personopplysninger. Dersom en forening behandler opplysninger om medlemmene som nevnt over, vil personopplysningsloven gjelde. Opplysninger om virksomheter faller utenfor lovens virkeområde.
HVILKE OPPLYSNINGER KAN REGISTRERES OM MEDLEMMENE?
Den ansvarlige skal kun behandle de opplysningene som er nødvendige og relevante i forbindelse med administrasjon av medlemskapet. Hvilke opplysninger dette vil være må vurderes konkret ut fra hva slags forening det er snakk om. De fleste foreninger vil registrere kontaktopplysninger om medlemmene, slik som navn, adresse, telefonnummer og eventuelt e-postadresse, samt medlemsnummer.
Som hovedregel må medlemmet samtykke i registrering og behandling av personopplysningene. Et gyldig samtykke innebærer at medlemmet avgir en frivillig, uttrykkelig og informert erklæring om at opplysningene kan behandles. Det er viktig at medlemmet får tilstrekkelig informasjon om foreningens bruk og lagring av opplysninger før registrering skjer. Dette er viktig for at den enkelte skal kunne ivareta sine rettigheter etter personopplysningsloven.
Les mer om samtykke
Les mer om informasjonsplikten
KAN FORENINGEN REGISTRERE FØDSELSNUMMER?
Fødselsnummer kan kun benyttes når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.
I utgangspunktet vil foreninger sjelden ha et saklig behov for å behandle fødselsnummer i sin interne administrasjon. Det finnes likevel enkelte forhold som tilsier at fødselsnummer kan være nødvendig. Et eksempel vil være i de tilfellene medlemmet ønsker skattefradrag, og foreningen må gi informasjon om dette til skattemyndighetene. Det understrekes likevel at det må være opp til den enkelte å avgjøre om en slik levering av opplysninger skal skje.
ER BEHANDLING AV MEDLEMSOPPLYSNINGER MELDE- ELLER KONSESJONSPLIKTIG?
Det er gjort unntak fra melde- og konsesjonsplikten for behandling av medlemsopplysninger i personopplysningsforskriftens § 7-15. Dette betyr altså at man ikke trenger å melde denne behandlingen. Den er heller ikke konsesjonspliktig.
Les hele bestemmelsen (Lovdata)
Merk likevel at unntaket bare gjelder dersom personopplysningene behandles som et nødvendig ledd i administrasjon av foreningens virksomhet. Behandling av fødselsnummer i forbindelse med skattefradrag for medlemmene faller også inn under unntaket fra melde- og konsesjonsplikt.
Hvis foreningen behandler sensitive personopplysninger, gjelder unntaket fra melde- og konsesjonsplikt bare dersom medlemmet har samtykket i behandling av opplysningene, og de har nær og naturlig sammenheng med medlemskapet. (Sensitive personopplysninger er definert i personopplysningslovens § 2 nr 8.)
Selv om foreningen er fritatt fra melde- og konsesjonsplikt, vil personopplysningslovens øvrige regler gjelde i sin helhet. Virksomheten må selv passe på at regelverket blir fulgt, men kan selvsagt be Datatilsynet om råd og veiledning ved behov.
HVA SKAL SKJE MED OPPLYSNINGENE NÅR ET MEDLEM MELDER SEG UT?
Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Dette gjelder også for medlemsopplysninger.
Det er i første omgang opp til foreningen selv å vurdere hvor lenge det er nødvendig å lagre opplysninger om det enkelte medlem. Som utgangspunkt skal opplysningene slettes når medlemmet melder seg ut. Opplysninger kan lagres lenger etter avtale med medlemmet. Dette kan for eksempel være praktisk der medlemmet kan få tilbake tidligere opptjente fordeler eller ansiennitet ved å melde seg inn i foreningen på et senere tidspunkt.
KAN FORENINGEN SELGE MEDLEMSINFORMASJONEN VIDERE?
Som hovedregel må foreningen innhente samtykke dersom medlemsopplysninger skal utleveres eller selges videre til tredjepart. Etter en interesseavveining kan det likevel i enkelte tilfeller være mulig å videreformidle opplysningene uten samtykke. En slik videreformidling krever at det er gitt god informasjon til medlemmet i forkant av utleveringen.
Sensitive opplysninger skal aldri utleveres uten at medlemmet har samtykket i det.
Les mer om mekling av adresseopplysninger
KAN FORENINGEN MARKEDSFØRE EGNE PRODUKTER/TJENESTER OVERFOR MEDLEMMENE?
Foreningen kan markedsføre egne produkter og tjenester overfor sine medlemmer uten forhåndssamtykke fra den enkelte. Medlemmet har imidlertid rett til å reservere seg internt i virksomheten mot markedsføringshenvendelser. Foreningen må informere medlemmet om denne muligheten, og har plikt til å respektere reservasjonen.
HAR MEDLEMMENE KRAV PÅ Å FÅ SE HVA SOM ER REGISTRERT OM DEM?
Det er en grunnleggende rett etter personopplysningsloven at den enkelte har krav på innsyn i sine egne opplysninger. Det er kun få unntak fra regelen om innsynsrett, og disse vil sjelden være relevante for å nekte innsyn i medlemsopplysninger. Foreningen må eventuelt begrunne avslag på innsyn skriftlig, og vise til relevant unntakshjemmel.
Les mer om retten til innsyn
HVORDAN SKAL MEDLEMSOPPLYSNINGENE SIKRES?
Virksomheter skal ha en forholdsmessig sikring av personopplysninger. Da ulike foreninger vil sitte på ulike medlemsopplysninger kan det ikke gis et enkelt svar på sikring av slik informasjon. Les derfor mer om dette under informasjonssikkerhet.