Hva er en personvernerklæring?
En personvernerklæring skal gi informasjon om personopplysninger som samles inn og hvordan personopplysningene behandles, samt rettighetene knyttet til denne behandlingen.
Hva regnes som personopplysninger?
Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende er om opplysningen kan identifisere en konkret person. Opplysninger som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data likevel utgjøre en personopplysning. Eksempler på personopplysninger er navn, telefonnummer og e-postadresse.
Hvem er behandlingsansvarlig?
Det Norske Baptistsamfunn (DNB) er behandlingsansvarlig for personopplysninger som samles inn og behandles ved DNB, jf. EUs Personvernforordning (GDPR) artikkel 4 nr. 7. Generalsekretær er overordnet behandlingsansvarlig for behandling av personopplysninger ved DNB, men har delegert sine oppgaver til de ansvarlige ansatte ved DNB. Delegeringen omfatter kun oppgavene, ikke ansvaret.
DNB som behandlingsansvarlig bestemmer formålet med behandlingen av personopplysningene. All behandling av personopplysninger skal ha et spesifikt, uttrykkelig angitt formål som er saklig begrunnet i DNBs virksomhet. Dette følger av GDPR artikkel 5 nr. 1 bokstav b, som sier at personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål».
Personopplysninger som blir innhentet og samlet inn begrenses følgelig til det som er helt nødvendig for å oppfylle formålet med behandlingen.
Personopplysninger som er samlet inn til ett konkret formål kan ikke senere brukes til et annet formål. Det vil da måtte gjøres en ny vurdering av hvorvidt det finnes et behandlingsgrunnlag for det nye formålet.
Følgende formål har Det norske Baptistsamfunn (DNB) om å prosessere personopplysninger:
For å behandle personopplysninger må det, i tillegg til formålet, foreligge et rettslig grunnlag. Det alminnelige kravet til rettslig grunnlag følger av GDPR artikkel 6. For behandling av sensitive personopplysninger kreves ytterligere rettslig grunnlag regulert i GDPR artikkel 9. Det rettslige grunnlaget må være oppfylt før behandlingen av personopplysninger begynner.
Nødvendig for å oppfylle en avtale med deg
Formålet med DNBs behandling av personopplysninger er i tråd med de avtalene vi har inngått med deg, herunder medlemskap i en menighet.
Samtykke
Dersom ikke annet behandlingsgrunnlag foreligger, vil DNBs behandling av personopplysninger basere seg på et frivillig, uttrykkelig og informert samtykke fra deg.
Dersom du har avgitt samtykke til DNB, har du rett til å trekke dette tilbake til enhver tid. Trekker du tilbake samtykket, vil behandlingen opphøre, og personopplysningene slettes dersom behandlingen utelukkende er basert på avgitt samtykke. Samtykket kan trekkes tilbake ved å kontakte oss via personvern@baptist.no.
Rettslige forpliktelser
DNB behandler personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. Dette kan være for kontroll og rapportering til offentlig myndigheter som politi, Skatteetaten, NAV, Statsforvalteren, og tilsvarende.
Berettiget interesse
DNB kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten. Det er aktuelt å vurdere om man kan bruke berettiget interesse som behandlingsgrunnlag dersom man f.eks. ikke har mulighet til å innhente gyldig samtykke, har hjemmel i lov eller behandler persondata på bakgrunn av avtalevilkår.
Personopplysninger som registreres og behandles om deg er avhengig av hvilken rolle du har i DNB.
Arbeidssøkere
Personopplysninger, CV og søknad på søkere blir lagret i egen mappe som har begrenset tilgang og hvor kun generalsekretær og HR-ansvarlig har tilgang. Personopplysninger, CV og søknad fra søkere til stillinger blir lagret i 1 år før de slettes.
Ansatt (fast/midlertidig), innleid konsulent/oppdragstaker
Formålet med behandling av personopplysninger er å administrere lønn og personalansvar, systemtilganger, samt ansettelse av nødvendig personale. Behandlingen av personopplysninger er nødvendig for å oppfylle en gjensidig avtale om ansettelse. DNB behandler personopplysninger om deg for å administrere arbeidsgivers personal- og økonomiansvar, som for eksempel lønnsutbetaling, skattetrekk, oversikt over arbeidstid, fravær, ferie og permisjoner.
Hjemmelsgrunnlaget for behandlingen av personopplysningene om ansatte er personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, b, c (jf. nr. 3 bokstav b) eller f, artikkel 9 nr. 2 bokstav a eller b, artikkel 88, samt arbeidsmiljøloven.
DNB benytter ansattdata i sin daglige virksomhet for å kunne gi ansatte tilgang til basistjenester som for eksempel e-post, lønn, interne systemer og portaler. I tillegg vil ansatte være registrert i ytterligere systemer for å kunne utføre arbeid for DNB i den konkrete stillingen.
Personopplysninger om ansatte behandles hovedsakelig i DNBs personal- og økonomisystem. DNB har berettiget interesse i å beholde opplysninger som kan dokumentere ansettelsesforholdet. Det betyr at opplysningene ikke slettes, men lagres i dette systemet. Når du slutter i DNB blir personalmappen din gjennomgått og kun nødvendig informasjon blir lagret. DNB vil fortsatt lagre opplysninger om hvem som har arbeidet i virksomheten, hvor lenge og i hvilken stilling. Lønnsopplysninger vil også lagres da dette er relevant i bl.a. pensjonssammenheng.
For å oppfylle kravene DNB har som arbeidsgiver som å utbetale lønn, opprette brukertilganger i IT-systemer og fysisk adgang til DNBs lokaler, er det nødvendig å behandle en del opplysninger som f.eks.: navn, adresse, telefonr., e-postadresse, personr., kontonr., lønn, skatteforhold. Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på DNBs internettsider. Portrettbilde av deg som ansatt publiseres ved godkjenning fra deg.
Pastorer, ledere og frivillige i kirke
Vi lagrer nødvendige opplysninger om pastorer, ledere og frivillige som navn, adresse, telefonnummer og e-postadresse for å kunne kommunisere og komme med relevant informasjon. Opplysningen slettes 5 år etter avsluttet tjeneste, med unntak av navn, stilling/rolle og tidsperiode, som beholdes pga. historisk verdi.
Givere
Når vi mottar gaver til arbeidet, lagrer vi navn, kontaktinformasjon, personnummer (dersomdette er oppgitt), beløp og formål hos vår databehandler. Dette gir giveren mulighet til
å få skattefradrag på gaver og dessuten motta takkebrev (samtykke for dette innhentes vis medlemssystemet Cornerstone). Vi må oppbevare informasjon iht. Skattelovgivning i 5 år etter siste gave. Opplysningene kan kun slettes eller anonymiseres etter dette. Giver kan reservere seg fra å motta takkebrev.
Betalingsavtaler med givere blir lagret i våre systemer i inntil 5 år etter at avtalen
er blitt passiv.
Vi lagrer også meldinger/brev om testamente/arv. Der testamente har bestemmelser om legat/fond vil testamentet og opplysninger om booppgjøret bevares inntil formålet ikke lenger kan oppfylles eller midlene er brukt opp.
For dem som gir på vipps, vil navn, dato og beløp komme opp i giverrapportene. Dette vil bli lagret i vårt giversystem.
Økonomiske forhold
Personopplysninger som behandles i forbindelse med refusjon av utlegg, reiseregninger, lønn og andre økonomiske forhold, beholdes som bilag til regnskap etter regnskapsloven.
Bilder
DNB har egne nettsider og benytter seg av sosiale medier for å informere om vårt arbeid. I tillegg hender det at vi trykker opp brosjyrer o.l. Det benyttes en rekke bilder i disse sammenhengene, også av enkeltpersoner eller grupper der den enkelte på bildet kan gjenkjennes.
Som hovedregel skal vi verken ta, lagre eller publisere bilder hvor enkeltperson(er) er hovedmotivet (portrettbilder) på åpne sider uten å ha sikret samtykke fra de avbildede personene først. Samtykket kan gis muntlig. Når det gjelder barn eller andre som ikke selv kan gi samtykke, er det foreldre som må gjøre det. Bilder hvor situasjonen eller aktiviteten er selve motivet, kan derimot gjengis uten samtykke så lenge bildene er harmløse og ikke på noen måte krenkende for den som er avbildet (Åndsverksloven §45c). Dersom vi har grunn til å tro at de som er på bildene, ikke vil ønske at bildene blir publisert, vil vi ikke publisere dem. Barn og unge vil bli tatt spesielt hensyn til. Bilder kan fjernes/slettes på oppfordring fra den som er avbildet.
Kopi av pass
I noen sammenhenger ber vi om kopi av pass i forbindelse med planlegging og booking av reiser, hovedsakelig fra ansatte og frivillige. Dette slettes ett år etter endt tjeneste.
Påmelding konferanser og andre arrangementer
Via vår nettside/checkin er det mulig å melde seg på konferanser. I tilknytning til dette samler vi informasjon som navn, kontaktopplysninger og allergier. Disse personopplysningene blir ikke brukt til andre formål enn å administrere arrangementet.
Vi innhenter egne samtykker for å motta invitasjon til nye arrangementer. Vi innhenter også samtykke for å kunne sende informasjon om arrangementet på sms/e-post.
E-post / Nyhetsbrev
Du kan sende e-post til oss, men husk at alle virksomheter er sårbare for datatyveri. Du bør derfor ikke sende sensitivt innhold per e-post. Om vi mottar en slik e-post, behandler vi e-posten i henhold til innhold, arkiverer i forhold til relevant saksbehandling og sletter den straks fra innboksen.
DNB sender ut nyhetsbrev på e-post til de som ønsker. Ved å fylle inn navn og e-postadressen din i skjemaet på vår hjemmeside, blir du lagt til vår nyhetsbrevliste. DNB behandler personopplysningene frem til du melder deg av nyhetsbrevet.
Bruk av informasjonskapsler (cookies)
Nettstedene våre bruker informasjonskapsler for å kartlegge besøkende og deres bruk. Dette gjør vi for å tilpasse og gjøre nettstedet vårt mest mulig relevant for våre besøkende. Informasjonskapslene inneholder ikke personopplysninger. Du kan selv forhindre at informasjonskapsler blir lagret på datamaskinen din ved å endre innstillinger i nettleseren. Les mer om dette under fanen «Cookies i DNB».
Den registrerte er den som personopplysningene kan knyttes til. Behandlingen av personopplysninger skal utgjøre så lite inngrep som mulig for den enkelte registrerte, ut ifra det som er praktisk, teknisk og økonomisk mulig. Som registrert har du derfor viktige rettigheter som skal ivaretas.
Rett til informasjon
All informasjon du trenger å vite om DNBs behandling av personopplysninger skal inngå i personvernerklæringen.
Rett til innsyn
Du har rett til å få vite hvilke personopplysninger DNB behandler om deg. Dersom du ber om innsyn får du kopi av dine personopplysninger, til hvilke formål de er benyttet og om opplysningene er blitt gitt videre og til hvem.
Dersom det av hensyn til vern av andre personer eller avdekking av brudd på lover og regler, kan DNB i enkelte tilfeller ikke gi deg innsyn dersom dette er nødvendig og vilkårene for det er oppfylt.
Innsynsskjema
Dersom du ønsker informasjon om eller innsyn i personopplysninger, kan du sende utfylt innsynsskjema til personvern@baptist.no.
Rett til korrigering/retting av feil
Hvis du oppdager at DNB har registrert uriktige, utdaterte eller ufullstendige opplysninger om deg, har du rett til å få disse rettet eller oppdatert. Hvis retting av feil gjelder opplysninger som er sendt inn av andre, må henvendelser om feil rettes til kilden.
Rett til sletting
I gitte situasjoner kan du be oss slette opplysninger om deg selv. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt via personvern@baptist.no.
Ved henvendelse er det viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, samt opplyse om hvilke personopplysninger du ønsker å få slettet.
Lovverket gir DNB anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi behandler personopplysningene for å oppfylle en lovpålagt oppgave, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk. DNB må beholde informasjon om dåp, vigsel til ekteskap, jordfestelse (gravferdsseremoni) samt inn- og utmeldinger til DNB. (Fortolkning og tilpasset fra «Forskrift om Den norske kirkes medlemsregister, §2», jf. Kirkeloven. Merk at denne loven i utgangspunktet kun gjelder for Den norske kirkes medlemsregister).
Rett til innsigelse/fremme en protest
Du har rett til å fremme innsigelse eller protestere mot behandling av dine personopplysninger under visse vilkår, dersom behandlingen er basert på berettiget eller allmenn interesse, eller utøvelse av offentlig myndighet. Eksempel er behandling som innebærer direkte markedsføring, profilering eller dersom det skjer med tanke på vitenskapelig/historisk forskning eller statistikk.
Rett til begrensning
I enkelte tilfeller kan du ha rett til å kreve behandlingen av dine personopplysninger blir begrenset. Begrenset behandling vil si at personopplysningene fortsatt blir lagret, men at de ikke kan brukes til noe. Du finner mer om retten til begrensning hos Datatilsynet.
Rett til å klage over behandlingen
Dersom du mener DNB ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller dersom du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen.
Dersom du mener at DNB behandler dine personopplysninger i strid med regelverket eller dersom du ønsker å benytte deg av dine rettigheter, kan du sende henvendelsen til personvern@baptist.no
DNB utleverer ikke personopplysninger om deg til andre aktører, med mindre det foreligger et gyldig rettslig grunnlag eller at du har gitt spesifikt samtykke til dette. "Gyldig rettslig grunnlag” gjelder i denne sammenhengen opplysninger til for eksempel: NAV, Politi- og skattemyndigheter, Statsforvalteren.
Primært behandler DNB personopplysninger som er gitt av deg. Dersom det er behov for ytterligere personopplysninger om deg for nødvendig behandling, vil dette hentes inn fra ulike offentlige myndigheter avhengig av din rolle og funksjon.
DNB oppbevarer opplysninger så lenge det er nødvendig for å utføre lovpålagte oppgaver, og i samsvar med regelverket. Opplysninger vil som hovedregel slettes når dette behovet faller bort, med mindre vi har en lovpålagt plikt til å oppbevare dem etter annet regelverk, for eksempel arkivloven, bokføringsloven eller tros- og livssynsamfunnsloven og tilhørende forskrifter.
DNB utfører årlige risikoanalyser, og tester sikkerheten for å sikre dine personopplysninger.
Ansatte som behandler dine personopplysninger er underlagt taushetsplikt, og dette gjelder også ansatte hos underleverandører.
Dersom du ønsker å benytte deg av dine rettigheter kontakt personvern@baptist.no
Bruk av e-post har mange svakheter som gjør at fortrolige opplysninger kan komme på avveie. Send derfor ikke sensitive eller fortrolige opplysninger med e-post til oss.
DNB vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager. Dersom særlige forhold gjør det umulig for DNB å gi et fyllestgjørende svar innen fristen, vil du motta et foreløpig svar med opplysninger om årsaken til forsinkelsen og tidspunktet du kan vente svar.
Ved mistanke om brudd på personopplysningssikkerheten, kan avvik meldes inn via dette skjemaet: Melding om avvik
DNB kan revidere denne personvernerklæringen som følge av at vår behandling av personopplysninger endrer seg eller som følge av ny personopplysningslovgivning. Når personvernerklæringen endres, vil en oppdatert versjon publiseres på vår nettside.
Sist oppdatert 10.10.2022
Klikk her for å laste nede hele dokumentet.