Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:

• helse;
• seksuelle orientering;
• rasemessig eller etniske opprinnelse;
• politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
• biometriske og genetiske opplysninger.

Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.

Mer informasjon:

• Grunnleggende personvern

Pseudonymisering består i å transformere personopplysninger slik at de ikke lenger kan tilskrives en bestemt person uten noe tilleggsinformasjon, forutsatt at slik tilleggsinformasjon holdes adskilt og er underlagt tekniske og organisatoriske tiltak for å sikre at personopplysningene ikke kan tilskrives enkeltpersoner. I praksis kan det bety å erstatte personopplysninger (navn, fornavn, personnummer, telefonnummer osv.) i et datasett med indirekte identifiserende data (alias, sekvensnummer, etc.). Pseudonymiserte data er fortsatt personopplysninger og er underlagt GDPR.

Anonymiserte data er personopplysninger som har blitt anonymisert på en slik måte at den enkelte ikke er identifiserbar eller ikke lenger kan identifiseres på noen måte som medrimelig sannsynlighet kan bli brukt. Når anonymiseringen er implementert på riktig måte, gjelder GDPR ikke lenger for de anonymiserte dataene.

Mer informasjon:

• Sikre personopplysninger

GDPR eller General Data Protection Regulation oppretter et harmonisert sett med regler som gjelder for all behandling av personopplysninger av virksomheter (offentlig eller privat, uavhengig av størrelse) etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller rettet mot enkeltpersoner i EU. Hovedformålet med GDPR er å sikre at personopplysninger har samme høye beskyttelsesstandard overalt i EØS, økt rettssikkerhet for både enkeltpersoner og virksomheter som behandler personopplysninger, og tilbyr en høy grad av beskyttelse for enkeltpersoner.

Forordningen trådte i kraft 24. mai 2016 og gjelder fra 25. mai 2018.

Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

• behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
• sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
• sørger for sikkerheten til behandlingen;
• ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
• bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
• bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
• etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
• gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
• muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Et brudd på personopplysninger er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.

• Hvis bruddet utgjør en risiko for de berørte personene, må du rapportere det til den relevante tilsynsmyndigheten innen 72 timer.
• Hvis bruddet sannsynligvis vil føre til en høy risiko for berørte personer, må du også kommunisere bruddet til de berørte personene uten ugrunnet opphold.

I alle tilfeller, for alle brudd — selv de som ikke er varslet til en DPA — må du dokumentere i det minste de grunnleggende detaljene om bruddet, vurderingen av bruddet, virkninger av bruddet og trinnene som er tatt som respons.

Mer informasjon:

• Brudd på personopplysningssikkerheten

Enkeltpersoner kan spørre deg om du behandler personopplysningene deres, og hvor dette er tilfellet har de rett til å få innsyn i disse personopplysningene. Så når dette skjer, og hvis du behandler personopplysningene deres, bør du for eksempel gi en kopi av personopplysningene, gratis, sammen med nødvendig tilleggsinformasjon. Når en forespørsel gjøres elektronisk, bør virksomheten gi de nødvendige opplysningene i et vanlig elektronisk format, med mindre den enkelte ber om noe annet.

Mer informasjon:

• Respekter enkeltpersoners rettigheter

Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.

Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:

• hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
• hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.

Mer informasjon:

• Respekter enkeltpersoners rettigheter

PVO kan være en eksisterende ansatt med tilstrekkelig kunnskap om GDPR (hvis de faglige oppgavene til den ansatte er forenlige med rollen som PVO og dette ikke fører til interessekonflikter) eller en ekstern person. PVO bør kunne utføre oppgaver selvstendig og bør kunne rapportere direkte til den øverste ledelsen.

Mer informasjon:

• Personvernombud

GDPR skiller mellom to hovedroller: de som er behandlingsansvarlige og databehandlere. Dette skillet er avgjørende ettersom den behandlingsansvarlige har mer ansvar og må oppfylle flere forpliktelser enn databehandleren.

Behandlingsansvarlige og databehandlere kan være fysiske eller juridiske personer, for eksempel: en SMB, en offentlig myndighet, et selskap, en organisasjon, et statlig organ, en forening etc.

En behandlingsansvarlig bestemmer formålene og midlene for en behandlingsaktivitet. Med andre ord, den behandlingsansvarlige bestemmer alle «hvordan» og «hvorfor» til behandlingsaktiviteter. Databehandlere behandler personopplysninger på vegne av den behandlingsansvarlige. Behandlingen som utføres av databehandlere må reguleres av en avtale med den behandlingsansvarlige eller annen juridisk bindende kontrakt.

Eksempler på behandlingsansvarlige:

• selskaper som behandler personopplysningene til sine kunder for å gjennomføre salg;
• finansinstitusjoner som behandler personopplysninger om sine kunder;
• foreninger som behandler personopplysninger om sine medlemmer;
• skoler eller universiteter som behandler personopplysninger om elever og lærere;
• sykehus som behandler personopplysninger om sine pasienter;
• offentlige etater som behandler personopplysninger om innbyggere.

Eksempler på databehandlere:

• en SMB ansetter en regnskapsførertjeneste for å oppbevare registre, SMBen er behandlingsansvarlig og regnskapsførertjenesten er en databehandler,
• et lønningsselskap behandler personopplysninger for en SMB. Lønnsselskapet vil fungere som databehandler dersom det utelukkende behandler personopplysningene på vegne av SMBen. SMBen bestemmer formålene og midlene for databehandlingen, og er derfor behandlingsansvarlig.
• en SMB beordrer et markedsføringsselskap til å samle inn e-postadresser via tredjeparts nettsteder.  Markedsføringsselskapet gjør dette i henhold til de uttrykkelige instruksjonene fra SMBen og for SMBens spesifikke formål. Markedsføringsselskapet fungerer som databehandler for denne innsamlingen.

Mer informasjon:

• Behandlingsansvarlig eller databehandler