Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.

Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer

 

Mer informasjon:

Fant du svaret ditt?

Oppgaven til PVO inkluderer blant annet:

  • å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
  • å kontrollere etterlevelse av personvern;
  • å gi råd om vurdering av personvernkonsekvenser (DPIA);
  • å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
  • å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

 

Mer informasjon:

Fant du svaret ditt?

En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

 

Mer informasjon:

Om samme tema:
Fant du svaret ditt?

PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.

PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:

  • ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
  • ikke kan straffe eller avvise PVO for å utføre sine oppgaver.

 

Mer informasjon:

Om samme tema:
Fant du svaret ditt?

Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.

Om samme tema:
Fant du svaret ditt?

GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner  om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».

I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:

  • den behandlingsansvarliges identitet og kontaktopplysninger;
  • formålet med behandlingen;
  • det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
  • den behandlingsansvarliges kontaktopplysninger;
  • kontaktinformasjonen til personvernombudet (dersom relevant);
  • mottakerne eller kategoriene av mottakere av opplysningene;
  • informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
  • kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.

I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:

  • lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
  • retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
  • retten til å sende inn en klage til en tilsynsmyndighet;
  • hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
  • når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
  • kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
  • hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.

 

Mer informasjon:

Om samme tema:
Fant du svaret ditt?

En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

  • behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
  • en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
  • systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

 

Mer informasjon:

Fant du svaret ditt?

Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.

Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.

  • Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.

 

Mer informasjon:

Fant du svaret ditt?

Virksomheter skal, når det gjelder direkte innsamling av personopplysninger fra berørte personer, gi informasjon om behandlingsaktivitetene på en kortfattet og åpen måte, ved hjelp av forståelig, lett tilgjengelig måte og med et klart og enkelt språk. Dette kan gjøres skriftlig (f.eks. på baksiden av et tilbud) eller elektronisk (f.eks. på et nettsted). Hvis vedkommende ber om det, kan du også gi denne informasjonen muntlig, men du må kunne dokumentere dette.

Selv når opplysningene blir innsamlet indirekte, dvs. hvis du ikke direkte samler inn personopplysninger fra en person selv, men for eksempel via en tredjepart, må du gi den samme detaljerte informasjonen til de berørte.

Om samme tema:
Fant du svaret ditt?

Personopplysninger betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar person er alle som kan identifiseres, enten direkte eller indirekte. Ulike opplysninger som til sammen kan føre til identifisering av en bestemt person, utgjør også personopplysninger.

Eksempler på personopplysninger er:

  • navn og etternavn;
  • hjemmeadresse;
  • e-postadresse;
  • et ID-kortnummer;
  • stedsdata;
  • IP-adresse (Internet Protocol)
  • en informasjonskapsel-ID;
  • bankkonto;
  • skatterapporter;
  • biometriske data (som fingeravtrykk);
  • personnummer;
  • passnummer;
  • testresultater,
  • karakterer fra skolen;
  • internettlogg;
  • bilder av enkeltindivider;
  • kjøretøyets registreringsnummer mv.

 

Mer informasjon:

Fant du svaret ditt?
Subscribe to