I et brev sendt til Den norske kirke (DnK), fra Human-Etisk Forbund (HEF), i begynnelsen av juni påpeker HEF at DnKs praksis med tilhørigregister i sin nåværende form er i strid med GDPR-lovgivingen; EUs personverndirektiv som Norge er tilsluttet.

DnK har per i dag rundt 130 000 tilhørige i sitt register. Dette er barn under 18 år, der minst én av foreldrene er medlem i DnK, som har blitt registrert uten aktivt samtykke fra foresatte eller fra barnet selv hvis/når det er over 15 år (som er livssynsmessig myndighetsalder i Norge).

Kirkens føring av tilhørige følger av Kirkelovens §3. Les mer bakgrunn på Human-Etisk Forbunds nettsider.

Frem til i fjor fikk DnK automatisk informasjon fra Folkeregisteret. Denne praksisen er nå stanset, etter at ordningen opphørte som konsekvens av «skilsmissen» mellom stat og kirke, hvor DnK ble et selvstendig rettssubjekt i 2017. Registeret finnes imidlertid fortsatt, og det legges fortsatt aktivt til tilhørige. Disse teller også med som medlemmer i DnK når for eksempel beregninger av støtte til tros- og livssynsamfunn utregnes.

Krever sletting, eller samtykke

EUs personverndirektiv, som ble innført som gjeldene norsk lov i mai i fjor, krever imidlertid – med svært få unntak – at all registrering av sensitive personopplysninger skal ha aktivt samtykke fra den registrert. I tillegg plikter registrene å melde fra om registreringen.

HEF har fått en juridisk utredning fra advokatfirmaet Bull & Co, der lovligheten i tilhørighetsregisteret vurderes. Konklusjonen i denne er at dagens tilhørighetsregister i Dnk er ulovlig.

I sitt brev krever HEF derfor at DnK enten sletter hele registeret over tilhørige, eller skaffer gyldig samtykke i tråd med GDPR fra alle registrerte, det vil si fra foreldrene for de under 15 år, og fra den tilhørige selv for de som har fylt 15 år. I tillegg må alle som er oppført bli informert, og kommende tilhørige få informasjon.

Vil ikke slette

DnK fikk frist til 17. juni med å svare bekreftende på at de ville oppfylle HEFs krav, ellers ville forbundet føre klagesak til Datatilsynet. Tilsynet har også fått kopi av korrespondansen.

Mandag mottok HEF svaret. Her fremgår det at Dnk, kanskje ikke helt uventet, er av en litt annen oppfatning. I sin konklusjon svarer DnK blant annet:

«Vi merker oss synspunktene fra HEF. Den norske kirke har allerede stoppet med automatisk registrering av tilhørige etter at tilgangen til familierelasjoner bortfalt fra 1. oktober 2018. Vi ser derimot ikke at det er grunnlag for sletting av de allerede registrerte tilhørige i medlemsregisteret. Vi finner da heller ikke å kunne følge opp det fremsatte kravet på dette punktet. Vi vil se nærmere på hvordan informasjon til de registrerte kan følges opp og eventuelt forbedres.»

I sin begrunnelse viser DnK til at det sendes ut informasjon om dåpsopplæring til tilhørige, samt at de regner seg som av så allmenn interesse at de tilfredsstiller kravene til unntak i personvernlovgivingen.

Ikke godt nok

Sjef for Politisk avdeling i Human-Etisk Forbund, Lars-Petter Helgestad, mener Dnks begrunnelse for å ikke etterfølge HEFs krav rett og slett ikke er god nok.

– Vi blir ikke beroliget av dette svaret, sier Helgestad til Fri tanke, og utdyper:

– De sier de ikke er interessert i å slette registeret. Da står de igjen med en mulighet; å innhente samtykke fra de foresatte. Det hadde vært veldig fint om de kunne behandle disse barnas rettigheter etter lovverket.

– De påberoper seg også at deres register er av allmenn viktighet ...

– Der har vi selvfølgelig helt ulike tolkninger. De har rett i at de har en gammel lovhjemmel i Norge. Men den er ikke utformet slik at den er i tråd med reglene i GDPR, som altså har omfattet alle registre i samfunnet det siste året. Der har de en jobb å gjøre.

– Betyr dette at dere vil klage tilhørighetsregistret inn for Datatilsynet?

– Det har vi ikke bestemt oss for ennå. Vi fikk svaret på mandag, og vil bruke litt tid på å vurdere jussen slik at en eventuell klage gjøres skikkelig.

Datatilsynet har imidlertid fått hele korrespondansen vedlagt. Årsaken til det forklarer Helgestad med at en klage er en formell foreteelse, og da er det viktig at tilsynet har all tilgjengelig informasjon.

– Vi tar opp dette fordi våre medlemmer har levd med kirkens lemfeldige behandling av personopplysninger i 20 år, siden kirkeregisteret kom på plass. Tålmodigheten vår begynner å bli tynnslitt, og vi må kunne forvente at det drives i tråd med regelverket, sier han og påpeker at kirkens medlemsregister er det nest største registeret med personopplysninger i Norge.

Nødvendig å følge loven

Helgestad understreker også at han gjerne skulle vært foruten denne saken. Samtidig vil han berømme DnK for å ha svart på henvendelsen raskt. Men spørsmålet er jo hvilke endringer kommunikasjonen rundt tilhørighetsregisteret vil føre til.

– Jeg skulle ønske at det allerede var sånn at Den norske kirke drev etter lovverket. Når de ikke gjør det, er det dessverre nødvendig at noen utfordrer dem og faktisk sier ifra at det de gjør ikke er lov.

Viser til egen vurdering

Direktør Ingrid Vad Nilsen i Kirkerådet skriver i en epost til Fri tanke at rådet har vurdert registeret opp mot GDPR-lovgivingen.

– Kirkerådet vurderte dette i rundskriv nr. 1/2018, som ble sendt ut i forkant av at GDPR-lovgivningen trådte i kraft i fjor sommer. Registeret er etter vår vurdering innenfor GDPR-lovgivningen.

Rundskrivet hun henviser til er forankret i DnKs egen forskrift for medlemsregister, og ikke offentlig lovgiving.

– I deres svar fremgår det at dere vil se nærmere på hvordan informasjon til de registrerte kan følges opp og eventuelt forbedres. Hva betyr dette i praksis? Vil dere etterfølge kravet om aktivt samtykke likevel?

– I praksis betyr det at vi vil gjennomgå personvernerklæringen på kirken.no og ellers vurdere hvordan informasjon kan gis på en klar og tydelig måte.

– Dersom en klage til Datatilsynet fører til at dere blir bedt om å endre praksis. Vil dere etterfølge et slikt krav? Og hvordan vil dere forholde dere til en slik klage?

– Vi vil naturligvis forholde oss til Datatilsynet, og vi er opptatt av å ivareta personopplysningsvern på en god måte, skriver Nilsen.

Fri tanke har vært i kontakt med Datatilsynet. Vi har blant annet spurt om de kan si noe om lovligheten her, hva gangen vil være ved en klage, og eventuelle konsekvenser for tilhørighetsregisteret videre. Foreløpig uten å få svar.