Anklager om GDPR-brudd i Den norske kirke:

Kirken kan ha brutt personvernet til 130 000 barn

Human-Etisk Forbund anklager Den norske kirke for å bryte personvernforordningen (GDPR), ved å registrere udøpte barn uten å informere foreldrene.

Ved dåp blir man medlem i Den norske kirke, men selv barn som ikke er døpt kan være i medlemsregisteret. Foto: Terje Bendiksby / NTB scanpix
Ved dåp blir man medlem i Den norske kirke, men selv barn som ikke er døpt kan være i medlemsregisteret. Foto: Terje Bendiksby / NTB scanpixVis mer

Human-Etisk Forbund (HEF) har i et brev til Den norske kirke og Datatilsynet nylig gått kraftig ut mot at kirken registrerer udøpte barn.

HEF hevder at kirken, ved å registrere barna som tilhørige, behandler disse personopplysningene ulovlig.

Trond Enger, generalsekretær i Human-Etisk Forbund, er kritisk til kirkens praksis.

- Mange av våre medlemmer har i årenes løp informert oss om at deres barn er blitt inkludert i kirkens medlemstall, uten at de som foreldre er blitt orientert. Nettopp at det gjelder barn og barns rett til personvern, gjør at vi ser alvorlig på denne saken. Vi forventer at kirken nå følger loven og rydder opp, sier Enger.

Trond Enger, generalsekretær i Human-Etisk Forbund. Foto: Human-Etisk Forbund
Trond Enger, generalsekretær i Human-Etisk Forbund. Foto: Human-Etisk Forbund Vis mer

– Kan være ulovlig

Barn med minst én forelder som er døpt i Den norske kirke, vil automatisk registreres som «tilhørige». Ingen blir medlem før de er døpt, men alle tilhørige inngår i medlemsstatistikken til kirken.

De «tilhørige» utgjør over 130 000 udøpte barn under 18, ifølge Den norske kirkes medlemsstatistikk.

Disse er registrert fordi kirkeloven krever det, ifølge kirken. Når det gjelder registrering av personopplysninger, skal likevel personvernforordningen (GDPR) gå foran andre norske lover – som kirkeloven – ved konflikt.

Ifølge personvernforordningen er det to viktige kriterier for å behandle personopplysninger slik kirken gjør:

Personen som registreres må bli informert om det, og det må være et behandlingsgrunnlag – det vil si en god grunn.

Jan Sandtrø er advokat med spesialisering på personvern og GDPR. Dagbladet har vært i kontakt med Sandtrø for å undersøke om det er hold i HEFs anklager, og han bekrefter at dette kan se ut som GDPR-brudd.

- Det er vanskelig å se hvilket grunnlag Den norske kirke har for å behandle disse opplysningene etter personvernforordningen. Det foreligge et grunnlag for behandling, ellers er behandlingen ulovlig. Slikt grunnlag må finnes i artikkel 6 i GDPR. Kirken mener at det foreligger lovgrunnlag, men det kan se ut til å være å tøye loven for langt, uttaler Sandtrø.

Selv mener Den norske kirke at registreringen er lovregulert andre steder.

- En del av grunnlaget handler om at ordningen med å registrere «tilhørige» er regulert i kirkeloven, sier kirkerådsdirektør Ingrid Vad Nilsen.

Ingrid Vad Nilsen er direktør i Kirkerådet, den utøvende organet i Kirkemøtet, det øverste representative organet i Den norske kirke. Foto: Bo Mathisen
Ingrid Vad Nilsen er direktør i Kirkerådet, den utøvende organet i Kirkemøtet, det øverste representative organet i Den norske kirke. Foto: Bo Mathisen Vis mer

- Finnes det andre lovregler som legitimerer denne innhentingen av persondata?

- Vi vil holde det litt åpent, for vi skal svare Human-Etisk Forbund skriftlig når juristene har det svaret klart, uttaler Vad Nilsen.

- Hvorfor er det nødvendig å ha disse opplysningene om familiemedlemmer?

- Utgangspunktet for ordningen er at det har vært ansett som mer naturlig at barn tilhører samme trossamfunn som foreldre, enn at de ikke hører til, fordi de er med på aktiviteter og trosopplæring, forklarer hun.

- Brudd på informasjonsplikten

I brevet som Dagbladet har fått tilgang til, anklager Human-Etisk Forbund kirken for å ikke informere foreldre om at barna deres registreres.

- Ut fra våre erfaringer er det ca. 130 000 barn som står oppført som tilhørige i kirkens medlemsregister, uten at verken de eller foreldrene er informert om eller har samtykket til det, sier Trond Enger i Human-Etisk Forbund.

Sandtrø er også kritisk til denne manglende informasjonen.

- Etter innføringen av GDPR skal alle som det blir behandlet personopplysninger om være informert om det. Dette gjør ikke Den norske kirke, mener Sandtrø.

Selv hevder kirken at informasjonen blir gitt gjennom invitasjon til dåp.

- Hvordan er familiemedlemmene informert om at kirken har disse opplysningene?

- Det går ikke en informasjon ut... De aller fleste nybakte foreldre opplever å få en invitasjon til dåp. Vi har en utbredt tradisjon, da først og fremst med fødselsmeldinger fra fødestuer som har opphørt, men fram til i fjor har vi operert med fødselsmeldinger. Noen steder inviterer menigheter til dåp fortsatt, sier Vad Nilsen.

- Forbudt å behandle opplysninger om religion

- Behandler Den norske kirke opplysninger om barn og familieforhold til medlemmer av kirken uten lovlig grunnlag, er dette alvorlig. Dette er også opplysninger som kan gjelde personers religion, som det er forbudt å behandle etter GDPR artikkel 9, om det ikke foreligger et unntak. Også det at det gjelder personopplysninger om barn gjør saken alvorlig, sier Sandtrø.

Jan Sandtrø er advokat spesialisert på GDPR. Foto: Privat.
Jan Sandtrø er advokat spesialisert på GDPR. Foto: Privat. Vis mer

Kirken mener at lovgrunnlaget ikke er endret på dette feltet, og at de har gått gjennom alle rutiner etter den nye personvernforordningen.

- Vi har hatt kontroll av Datatilsynet i 2014. Vi har også hatt internrevisjon i 2018 som har sett på personvernsituasjonen, og hvorvidt vi har alle rutinene vi skal ha, forklarer kirkerådsdirektøren.

En endring i folkeregisterloven fra 1. oktober i fjor har gjort at Den norske kirke ikke lenger kan registrere nyfødte barn automatisk. Likevel er over 130 000 barn i registeret, til de automatisk slettes når de fyller 18.

Konsekvenser av GDPR-lovbrudd

Datatilsynet bekrefter å ha mottatt kopi av brevet, som vil bli vurdert av saksbehandler etter hvert. Til Dagbladet uttaler de at «overtredelsesgebyr gis i alvorlige saker der det har skjedd åpenbare brudd som berører mange og som burde vært unngått», men vil ikke spekulere i hva som blir utfallet i denne saken.

GDPR-brudd har forekommet både i Oslo og Bergen kommune tidligere. Begge sakene endte med bøter i millionklassen.

I mai varslet Datatilsynet at Utdanningsetaten i Oslo kommune vil få et gebyr på 2 millioner kroner, fordi appen Skolemelding hadde alvorlige sikkerhetshull, som gav uvedkommende tilgang til personopplysningene til 63 000 elever i Osloskolen.

Et tilsvarende brudd i Bergen kommune gjaldt også datasystemer i grunnskolen, og endte med et overtredelsesgebyr på 1,6 millioner. Det skjedde i august i fjor, da en elev fikk tak i personopplysninger til 35 000 brukere i grunnskolen, i hovedsak barn. Nettopp det gjorde at direktør i Datatilsynet, Bjørn Erik Thon, var ekstra bekymret.

- At barn og unges rettigheter og friheter har vært utsatt for overtredelsen gjør det ekstra alvorlig, uttalte Thon da boten ble vedtatt.