Det må foreligge et rettslig grunnlag – et såkalt «behandlingsgrunnlag» – for å kunne innhente, lagre og bruke personopplysninger om andre. Enkelt forklart: «Behandlingsgrunnlaget» er den grunnen du har for å innhente, lagre og bruke personopplysninger. Dette gjelder naturligvis ikke i rent private sammenhenger, men som virksomhet må Den norske kirke følge reglene.
Personopplysninger som innhentes og brukes i medlemsregisteret er lovlige og reiser ingen problemstillinger med tanke på behandlingsgrunnlag, fordi det foreligger hjemmel til dette i Forskrift om Den norske kirkes medlemsregister.
Når menigheten har behov for å innhente og bruke personopplysninger utover det som ligger i medlemsregisteret, eventuelt å benytte opplysningene i medlemsregisteret til andre formål, er det nødvendig å ha et eget behandlingsgrunnlag (lovlig grunnlag).
For lovlig å kunne sitte med personopplysninger, som f.eks. en liste med e-poster og mobilnummer, blir altså spørsmålet om vi lovlig kan basere dette på:
- Forskrift om Den norske kirkes medlemsregister,
- Skriftlig samtykke, eller
- Berettiget interesse
I Kirkerådets rundskriv nr. 1/2018 forklares disse hjemlene som grunnlag for å innhente og bruke personopplysninger:
1. Forskrift om Den norske kirkes medlemsregister
Forskriften regulerer hvilke opplysninger som kan lagres i registeret, og utgjør selv et rettslig grunnlag for å kunne innhente disse opplysningene.
Opplysninger som er lagret i medlemsregisteret kan for eksempel brukes i sammenheng med kirkelige tiltak som opplæring, diakonale tiltak, og barne- og ungdomsarbeid. Forskriften utgjør et gyldig behandlingsgrunnlag for å bruke opplysningene i dette registeret til å sende ut invitasjoner til slike aktiviteter.
2. Samtykke
Ved noen behandlinger vil det være nødvendig å innhente samtykke som behandlingsgrunnlag, for eksempel når det innhentes helseopplysninger eller når det tas bilder av personer som skal brukes på menighetens nettsider eller i menighetsbladet.
Det kreves dessuten samtykke når man vil registrere og behandle personopplysninger fra personer som man vet ikke er medlemmer i Den norske kirke. [SKJEMA]
3. Berettiget interesse
«Berettiget interesse» er et lovlig behandlingsgrunnlag på lik linje med medlemsforskriften og skriftlig samtykke. Berettiget interesse sikter til at man i en konkret situasjon har lovlig interesse i å sitte med bestemte personopplysninger.
I de tilfeller hvor medlemsregisterforskriften ikke strekker til som hjemmelsgrunnlag, slik som for lagring av e-post og telefonnummer, legges det til grunn at Den norske kirke normalt har berettiget interesse i å kunne innhente og lagre slike opplysninger, i den grad aktiviteten har sammenheng med opplysninger og aktiviteter regulert av medlemsregisterforskriften.
Men selv om Den norske kirke i flere tilfeller kan basere seg på såkalt berettiget interesse i flere tilfeller hvor medlemsregisterforskriften ikke er tilstrekkelig som behandlingsgrunnlag, løser ikke det alle utfordringer. Når berettiget interesse brukes som behandlingsgrunnlag, skal alltid den personen som personopplysningene gjelder få opplyst følgende ved innhenting av opplysningene:
- Hvem er behandlingsansvarlig kontakt i virksomheten?
- Hva er formålet med innhentingen og bruken av opplysningene?
- Hvilken berettiget interesse man legger til grunn?
- Hvor lenge opplysningene lagres?
- Retten til sletting av opplysninger?
Poenget er at dette er informasjon som den registrerte ellers ville ha fått ved bruk av samtykkeskjemaer og som gjelder den registrertes rettigheter til å bli informert for å kunne ivareta sine interesser. Vi ser da at forskjellen fra å basere seg på samtykkeskjemaer ikke blir så stor.
Når det opplyses om berettiget interesse, informeres det derfor standardisert.
Eksempel på tekst som kan ligge i bunn av e-post finner du her.