GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.

Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.

Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.

Mer informasjon:

• Lovlig behandling av personopplysninger

Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

• Personvernombud

Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.

Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.

Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.

Mer informasjon:

• Grunnleggende personvern

Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.

Mer informasjon:

• Grunnleggende personvern

EDPB publiserer jevnlig pressemeldinger, nyhetsartikler, blogginnlegg og annet innhold på EDPBs nettside og sosiale medier. (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) for å holde personvernmiljøet og allmennheten oppdatert med sitt arbeid.

EDPBs nettside har også to RSS-feeder, som du kan abonnere på for automatiske oppdateringer på EDPB- nyheter og EDPBs nyeste publikasjoner.

De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:

• sikker tilgang til lokalene;
• bruke regelmessig oppdatert antivirusprogramvare;
• velg passordene dine nøye;
• få brukerne til å autentisere seg selv før de bruker datamaskiner;
• ha rutiner for backup og gjenopprettelse av data.

I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.

Mer informasjon:

• Sikre personopplysninger

For at samtykke skal anses som gyldig, må det være:

• frivillig;
• spesifikt;
• informert; og
• utvetydig.

Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.

I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).

I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.

Mer informasjon:

• Lovlig behandling av personopplysninger

GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:

• gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
• besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.

Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Enkeltpersoner har rett til å be om sletting av personopplysninger om dem, og i så fall har den behandlingsansvarlige plikt til å slette personopplysningene. Du bør svare uten ugrunnet opphold og senest innen én måned. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er kompleks, forutsatt at den registrerte blir informert om forsinkelsen senest én måned etter mottak av forespørselen.

Det er viktig å merke seg at retten til sletting ikke er absolutt. Retten til sletting gjelder ikke dersom behandlingen er nødvendig:

• for å utøve retten til ytrings-  og informasjonsfrihet (f.eks. for journalistiske formål);
• for å oppfylle en rettslig forpliktelse som krever behandling av personopplysninger (f.eks. behandling av opplysninger om ansattes arbeidstid);
• av årsaker til offentlig interesse på folkehelseområdet;
• for arkiveringsformål i allmennhetens interesse eller vitenskapelige eller historiske forskningsformål eller statistiske formål; og
• for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Når personopplysningene som skal slettes tidligere har blitt utlevert eller overført til andre virksomheter, må du informere mottakerne om at den registrerte har bedt om sletting, med mindre dette er umulig eller vil kreve en uforholdsmessig innsats.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Du kan ikke lagre personopplysninger for alltid.

Personopplysninger kan som hovedregel bare lagres så lenge det er nødvendig for formålene som personopplysningene behandles for.

I noen tilfeller kan lagringsperioden bestemmes av spesifikke lover.

Virksomheter bør innføre retningslinjer for lagring av personopplysninger for å sikre at personopplysninger ikke lagres lenger enn nødvendig. Personopplysninger må slettes eller anonymiseres når disse ikke lenger er nødvendige for det formålet som de ble behandlet for.

Mer informasjon:

• Grunnleggende personvern