Tilpasninger til de nye GDRP-reglene
Snart trer en ny EU-lov i kraft. Du har kanskje hørt om den allerede?
Den nye loven gjelder nye personvernregler og omtales som GDPR (General Data Protection Regulation).
I EU er de nye reglene operative fra 25. mai, men for Norge så vil regelverket først innføres rundt den 1. juli - se hvorfor hos Infotjenester.
Norsk Toppfotball (NTF) er interesseorganisasjonen til klubbene i Eliteserien og OBOS-ligaen og har på vegne av klubbene jobbet med tilpasningene til de nye reglene i lengre tid.
NTF tilbyr en rekke digitale tjenester for ligaen og klubbene på og utenfor arenaen; noen knyttet til kamp/event på arenaene, og noen som lever hele året uavhengig av sted. Tjenestene finnes tilgjengelig på en lang rekke digitale kanaler.
Som en del av tilpasningen er det nylig lansert helt nye vilkår og betingelser og personvernserklæring samt informasjon om Cookie-bruk. Disse er felles for alle våre klubber og ligaen og kan sees på disse linkene.
- Vilkår og betingelser for bruk av våre digitale tjenester
- Personvernserkæring og erklæring for bruk av informasjonskapsler
Eksisterende kunder vil bli underlagt de oppdaterte brukervilkårene og personvernreglene fra og med 1.juli. For nye kunder vil endringene gjelde fra og med i dag. Ved å bruke våre digitale tjenester på eller etter denne datoen godtar du automatisk disse oppdateringene.
Hvis du har spørsmål vedrørende den nye personvernlovgivningen, kan disse sendes til dpo@toppfotball.no . Vi vil svare deg så fort vi kan dersom dette gjelder fellessystemene. Gjelder det forhold i den enkelte klubb vil vi videresende henvendelsen til aktuell klubb.
Opplæring av NTFs medlemsklubber
NTF har en rekke digitale fellessystemer for våre medlemsklubber (medieplattform, CRM, SMS-løsning, WiFi-pålogging, Fantasy, SocialCee m.m.). Vi tar ansvaret for at fellessystemene møter GDPR-kraven samt gir klubbene generell opplæring og veiledning.
I GDPR-prosessen har vi jobbet sammen med SEF (Svensk Elitfotboll - vår søsterorganisasjon i Sverige) og engasjert PWC som har bistått oss.
Alle våre medlemsklubber har utnevnt en egen GDPR-ansvarlig.
I tillegg til at disse personene har fått mye informasjon og er med i et internt digitalt fora. Dessuten har de også vært samlet over et 2- dagers kurs i sentral regi.
Deltakerne på kurset fikk ved hjelp av revisjonsselskapet PWC gjennomgang i grunnleggende informasjon om GDPR samt hva man skal tenke på når man implementerer GDPR i egen klubb. I tillegg gikk NTF igjennom hva som skjer på fellessystemene og til slutt fikk deltakerne en presentasjon av verktøyet Draftit.
I Draftit så har alle klubbene gjennom en rammeavtale med NIF fri tilgang til systemet Privacy Evaluation. Dette verktøyet hjelper til med å evaluere på en systematisk måte hvordan virksomheten ligger an i forhold til kravene i GDPR.
Alle GDPR-ansvarlige har gjennomført en e-learningmodul om GDPR og det samme verktøyet benyttes mot alle ansatte i klubbene slik at de får grunnleggende kunnskap om de nye personvernsreglene. Løsningen som er benyttet her heter Draftit Privacy E-learning.
7 prinsipper for behandling av personopplysninger
Det finnes syv prinsipper som er fundamentet for GDPR og som ble gjennomgått av PWC på kurset. Disse er:
- Lovlighet, rettferdig og åpenhet med hensyn til den registrerte
- Formålsbegrensning. Samle inn for gyldige formål og ikke viderebehandle for uforenlige formål
- Dataminimering. Kun ha adekvate, relevante personopplysninger som er nødvendige for formålet
- Korrekthet. Oppdage og om nødvendig korrigere personopplysninger
- Lagringsbegrensning. Man skal ikke oppbevare personopplysninger lengre enn nødvendig.
- Integritet og fortrolighet. Sørge for tilstrekkelig sikkerhet rundt behandlingen av personopplysninger
- Ansvar. Behandlingsansvarlig er ansvarlig for og skal kunne påvise at prinsippene etterleves.
6 prinsipper for når man kan behandle personopplysninger
I kurset så fikk også klubbene innsikt fra PWC om behandlingen av personopplysninger. Disse får fra og med de nye reglene kun behandles basert på bakgrunn av følgende:
- Samtykke. Behandlingen er tillatt dersom den registrerte har samtykket til det
- Avtale. Behandlingen er tillatt dersom det er nødvendig for å
oppfylle en avtale den registrerte er part i, eller for å gjennomføre
tiltak på den registrertes anmodning før en avtaleinngåelse. - Oppfylle rettslig forpliktelse. Behandling er
tillatt dersom det er nødvendig for å oppfylle en rettslig forpliktelse som
påhviler den behandlingsansvarlige. - Berettiget interesse. Behandling er tillatt dersom den er
knyttet til de berettigede interessene som forfølges av behandlingsansvarlig
eller tredjepart, med mindre den registrertes interesser eller grunnleggende
rettigheter og friheter går foran og krever vern av personopplysninger. - Allmenhetens interesse. Behandling er tillatt
dersom det er nødvendig for å utføre en oppgave i allmennhetens
interesse eller utøve offentlig myndighet som den
behandlingsansvarlige er pålagt. - Vitale interesser. Behandling er tillatt dersom det er
nødvendig for å verne den registrertes eller annen fysisk persons vitale
interesser (dette vil typisk være aktuelt i et "liv-eller-død" tilfelle).
– Det skal være samme standard i hela Europa. Måten vi ser på personopplysninger idag skiller sig veldig mye fra hvordan vi så på dette for ti år siden. Folk bryr seg mer om det nå, sier Peter Olby i PWC.
– Vi i NTF er nå i sluttfasen med å sikre alle fellessystemene i forhold til GDPR. Vi har i flere år jobbet strukturert med CRM for klubbene og derigjennom hatt et aktivt forhold til samtykker. Gjennom våre fellessystemer, f.eks. Eliteserien Fantasy og på medieplattformen, er dette godt innarbeidet sier digitalansvarlig i NTF, Thomas Torjusen, som har vært prosjektleder for innføringen av GDPR i toppfotballen.
