Foreningsleddene vil derfor være selvstendige behandlingsansvarlige for slik aktivitet, og være underlagt personvernregelverket.
Når det gjelder behandling av personopplysninger i foreningsleddende vil Legeforeningen sentralt tilrettelegge for noe av behandlingen og/eller foreta behandlingen på vegne av det enkelte foreningsledd. Dette vil f.eks. være tilfellet for oppbevaring av medlemslister, og ved enkeltsaker om juridisk bistand som i første omgang sendes inn til underforeningen. De ulike foreningsleddene kan imidlertid forestå noe behandling på egenhånd, som ikke er innom Legeforeningen sentralt. Det er viktig å være oppmerksom på at foreningsleddet da vil ha ansvar for at behandlingen skjer i henhold til det til enhver tid gjeldende regelverk.
Som et første steg må alle foreningsledd foreta en kartlegging av den behandling av personopplysninger som gjøres i underforeningen (se nærmere i punkt 1 nedenfor). Sjekklisten vi har utarbeidet for næringsdrivende leger vil også i stor grad kunne benyttes for foreningsleddene, men eksempler på type opplysninger som behandles vil variere. Vi har derfor utformet en tilpasset sjekkliste som kan benyttes når foreningsleddene skal kartlegge sin behandling av personopplysninger. Vi har også laget et eksempel på et kartleggingsskjema som foreningen kan bruke for å kartlegge sin behandling av personopplysninger her.
Sjekkliste for foreningsleddene:
- Kartlegg bruk av personopplysninger
Virksomheten må skaffe oversikt over hvilke personopplysninger de sitter på. For mindre virksomheter kan dette for eksempel gjøres i et Excel-ark. For eksempel:- Hvem behandler virksomheten personopplysninger om? For eksempel styremedlemmer.
- Hvilke type opplysninger har dere om styremedlemmene og når og for hvilket formål brukes opplysningene? For eksempel: navn, adresse, spesialisering, arbeidssted, telefonnummer, betalingsdetaljer for utbetaling av honorarer m.v., pårørendeinformasjon, referat fra møter el.a.
- Se også nevnte eksempel på kartleggingsskjema som foreningen kan bruke for å kartlegge sin behandling av personopplysninger her.
- Har du lov til å bruke opplysningene?
For å behandle personopplysninger kreves en hjemmel. Dette kan være en lovhjemmel, samtykke eller nødvendighetsgrunn. I tilknytning til et styreverv vil et eksempel på en nødvendighetsgrunn være at man har betalingsdetaljer for å kunne utbetale honorarer. - Sletting av informasjon
Det er et generelt prinsipp at informasjon skal slettes når det ikke lenger er nødvendig for formålet det var innhentet for. Det skal likevel lagres lenger når det er pålagt i lov, for eksempel bokføringsloven. Det er viktig å ha rutiner for sletting av informasjon.- Har dere nå lagret mer informasjon enn nødvendig? For eksempel unødvendige/utdaterte notater fra medlemskontakt, dokumenter i saker som er videresendt til JA, opplysninger om tidligere styremedlemmer. - Rutiner for informasjonssikkerhet og internkontroll
Det er viktig å sørge for at virksomheten har god informasjonssikkerhet, og at det er rutiner for internkontroll. Dette innebærer at virksomheten må ha rutiner som sikrer at virksomheten har tilfredsstillende informasjonssikkerhet og at virksomheten overholder reglene om personvern. Rutinene må dokumenteres. Legeforeningen jobber for tiden med å utarbeide rutiner for internkontroll, sletting m.v. Disse rutinene vil i noen grad være dekkende også for foreningsleddenes behandling av personopplysninger, særlig for de tilfeller hvor Legeforeningens sekretariat forestår behandlingen på vegne av foreningsleddet. De ulike foreningsleddene kan imidlertid forestå noe behandling på egenhånd og som ikke er innom Legeforeningen sentralt. Det er viktig å være oppmerksom på at foreningsleddet da vil ha ansvar for at behandlingen skjer i henhold til det til enhver tid gjeldende regelverk, og har særskilte rutiner/retningslinjer som dekker dette. - Bruker dere en databehandler?
Dersom dere bruker en leverandør som behandler opplysninger på virksomhetens vegne er dette en databehandler, og det kreves en databehandleravtale.