Du må svare uten ugrunnet opphold og senest innen en måned etter mottak av forespørselen. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er  komplisert og mer tid er nødvendig for å besvare den, forutsatt at den enkelte er informert om dette innen en måned etter mottak av forespørselen.

Du må gjøre dette gratis.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Ja, men  først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine  interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.

Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.

Mer informasjon:

• Behandle personopplysninger lovlig

Samtykke kan være et gyldig rettslig grunnlag for lagring av jobbsøkeres CVer. Et annet mulig rettslig grunnlag kan være berettiget interesse. I så fall må du gjennomføre en balansetest for å bevise at virksomhetens berettigede interesser veier tyngre enn søkernes personvern.

Du må uansett informere kandidatene om at du planlegger å lagre personopplysningene og for hvilke formål.

Mer informasjon:

• Behandle personopplysninger lovlig

Nei, behandling av sensitive personopplysninger er i utgangspunktet forbudt.Det finnes noen unntak for svært spesifikke omstendigheter:

• Den enkelte har gitt sitt uttrykkelige samtykke til at sensitive opplysninger kan behandles.
• Behandlingen av sensitive opplysninger er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser, spesielt i forbindelse med arbeidsrett, trygderett og sosialrett. For eksempel kan den behandlingsansvarlige måtte behandle sensitive opplysninger for å avgjøre om en ansatt har rett til trygdeytelser eller ansettelsesstipend.
• Behandling av sensitive opplysninger er nødvendig for å verne den registrertes vitale interesser dersom vedkommende  fysisk eller juridisk ikke er i stand til å samtykke. For eksempel, hvis en person blir etterlatt bevisstløs som følge av en ulykke og krever umiddelbar medisinsk behandling, kan deres helseopplysninger behandles for å sikre at det gis riktig medisinsk behandling.
• Behandlingen av sensitive opplysninger utføres i forbindelse med berettigede aktiviteter av en stiftelse, sammenslutning eller annet ideelt organ med et formål av politisk, filosofisk, religiøst eller fagforeningsmessig art, og bare for behandling av personopplysninger om organets medlemmer, tidligere medlemmer eller personer som har regelmessig kontakt med det.
• De sensitive opplysningene ble åpenbart offentliggjort av den registrerte selv.
• Behandling av sensitive opplysninger er nødvendig i forbindelse med rettssaker.
• Behandling av sensitive opplysninger er nødvendig for saker av viktige allmenne interesser.
• Behandling av sensitive opplysninger er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin. For eksempel kan det være nødvendig å vurdere en persons sensitive opplysninger, slik som helserelaterte opplysninger, for å vurdere vedkommendes arbeidskapasitet som ansatt.
• Behandling av sensitive opplysninger er nødvendig av allmenne folkehelsehensyn på grunnlag av EU- eller nasjonal lovgivning. For eksempel kan behandling av enkeltpersoners sensitive opplysninger være nødvendig for å sikre høy kvalitet på helsevesenet og en høy kvalitet på medisinske produkter, eller for å bekjempe alvorlige helsetrusler, for eksempel virus.
• Behandling av sensitive opplysninger er nødvendig for arkiveringsformål i allmennhetens interesse, eller for vitenskapelige eller historiske forskningsformål, eller statistiske formål. For eksempel kan behandling av sensitive opplysninger være nødvendig for å gi nøyaktig statistikk om situasjonen i et land innenfor et bestemt felt.

Mer informasjon:

• Behandle personopplysninger lovlig

PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.

Mer informasjon:

• Personvernombud

Utnevnelsen av et PVO er obligatorisk i følgende tre tilfeller:

• virksomheten er en offentlig myndighet;
• virksomhetens kjernevirksomhet består av regelmessig og systematisk overvåking av enkeltpersoner i stor skala, for eksempel geolokasjon via en mobil applikasjon, eller overvåking av kjøpesentre og offentlige rom gjennom CCTV;
• virksomhetens kjernevirksomhet består av storskala behandling av sensitive opplysninger eller personopplysninger knyttet til straffedommer og lovbrudd.

Du kan alltid utnevne et PVOpå frivillig basis, selv om dette ikke er lovpålagt. Vær oppmerksom på at du i så fall må overholde alle bestemmelsene i GDPR om oppgavene og stillingen til personvernombudet.

Mer informasjon:

• Personvernombud

Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.

Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.

GDPR pålegger alle organisasjoner som behandler personopplysninger forpliktelser, uavhengig av om de er behandlingsansvarlige eller databehandlere.

Spesielt bør du:

• Vurdere om formålet med innsamlingen av personopplysninger er berettiget, og bare samleinn personopplysninger som er nødvendige for de(n) bestemte formål;
• Holde personopplysninger nøyaktige og oppdaterte, og slette opplysningene når de ikke lenger er nødvendig for formålet;
• Respektere de registrertes rettigheter ved å informere dem om hvordan og hvorfor personopplysningenebehandles, og tilrettelegge for at de kan utøve sine rettigheter;
• Vurdere om du har et passende rettslig grunnlag for behandling av personopplysninger. Dersom du benytter samtykke som rettslig grunnlag, må dette innhentes før behandlingen starter;
• Sørge for at de registrertes personopplysninger håndteres på en sikker måte;
• Opprettholde en protokoll over behandlingsaktiviteter.

Databehandlere må overholde det ansvaret som er fastsatt i den databehandleravtalen, og de må ikke behandle dataene på en annen måte enn i henhold til den behandlingsansvarliges instruksjoner.

Mer informasjon:

• Etterlevelse
• Behandlingsansvarlig eller databehandler
• Grunnleggende e personvern

• Enhver behandling av personopplysninger må være lovlig, rettferdig og åpen.
• Personopplysninger kan bare samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Behandlingen av personopplysninger må være strengt begrenset til formålene som opprinnelig ble etablert, og kan derfor ikke behandles for andre formål som er uforenlige med de opprinnelige formålene.
• Man kan bare behandle personopplysninger som er nødvendige og forholdsmessige i lys av de fastsatte formålene.
• Personopplysninger som behandles må være korrekte og holdes oppdaterte. Unøyaktige personopplysninger må rettes eller slettes.
• Lagringen av personopplysninger må begrenses i tid, i lys av formålet som disse ble samlet inn og behandlet for. Som sådan må personopplysninger slettes eller anonymiseres når disse dataene ikke lenger er nødvendige.
• Personopplysninger må behandles på en sikker måte. Det må iverksettes robuste tiltak for cybersikkerhet, for å sikre at personopplysninger er tilstrekkelig beskyttet.

Avslutningsvis er det den behandlingsansvarlige virksomhet som er ansvarlig. Dette innebærer ansvar for å overholde og påvise etterlevelse av prinsippene ovenfor.

Mer informasjon:

• Grunnleggende personvern

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

• med samtykke fra berørte personer;
• der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
• for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
• når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
• for å beskytte en enkeltpersons vitale interesser;
• for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

• Behandle personopplysninger lovlig