Frequently Asked Questions

Virksomheter skal, når det gjelder direkte innsamling av personopplysninger fra berørte personer, gi informasjon om behandlingsaktivitetene på en kortfattet og åpen måte, ved hjelp av forståelig, lett tilgjengelig måte og med et klart og enkelt språk. Dette kan gjøres skriftlig (f.eks. på baksiden av et tilbud) eller elektronisk (f.eks. på et nettsted). Hvis vedkommende ber om det, kan du også gi denne informasjonen muntlig, men du må kunne dokumentere dette.

Selv når opplysningene blir innsamlet indirekte, dvs. hvis du ikke direkte samler inn personopplysninger fra en person selv, men for eksempel via en tredjepart, må du gi den samme detaljerte informasjonen til de berørte.

Enkeltpersoner har rett til å be om sletting av personopplysninger om dem, og i så fall har den behandlingsansvarlige plikt til å slette personopplysningene. Du bør svare uten ugrunnet opphold og senest innen én måned. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er kompleks, forutsatt at den registrerte blir informert om forsinkelsen senest én måned etter mottak av forespørselen.

Det er viktig å merke seg at retten til sletting ikke er absolutt. Retten til sletting gjelder ikke dersom behandlingen er nødvendig:

• for å utøve retten til ytrings-  og informasjonsfrihet (f.eks. for journalistiske formål);
• for å oppfylle en rettslig forpliktelse som krever behandling av personopplysninger (f.eks. behandling av opplysninger om ansattes arbeidstid);
• av årsaker til offentlig interesse på folkehelseområdet;
• for arkiveringsformål i allmennhetens interesse eller vitenskapelige eller historiske forskningsformål eller statistiske formål; og
• for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Når personopplysningene som skal slettes tidligere har blitt utlevert eller overført til andre virksomheter, må du informere mottakerne om at den registrerte har bedt om sletting, med mindre dette er umulig eller vil kreve en uforholdsmessig innsats.

Mer informasjon:

• Respekter enkeltindividers rettigheter

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Ja, kundene dine må informeres idet telefonsamtalen starter om formålet med opptaket, eventuelle mottakere av opptaket, om retten til å protestere og retten til innsyn.

Mer informasjon:

• Behandle personopplysninger lovlig

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

• your habitual residence;
• your place of work; or
• the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

• data processing takes place in more than one country;
• or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.

Nei, behandling av sensitive personopplysninger er i utgangspunktet forbudt.Det finnes noen unntak for svært spesifikke omstendigheter:

• Den enkelte har gitt sitt uttrykkelige samtykke til at sensitive opplysninger kan behandles.
• Behandlingen av sensitive opplysninger er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser, spesielt i forbindelse med arbeidsrett, trygderett og sosialrett. For eksempel kan den behandlingsansvarlige måtte behandle sensitive opplysninger for å avgjøre om en ansatt har rett til trygdeytelser eller ansettelsesstipend.
• Behandling av sensitive opplysninger er nødvendig for å verne den registrertes vitale interesser dersom vedkommende  fysisk eller juridisk ikke er i stand til å samtykke. For eksempel, hvis en person blir etterlatt bevisstløs som følge av en ulykke og krever umiddelbar medisinsk behandling, kan deres helseopplysninger behandles for å sikre at det gis riktig medisinsk behandling.
• Behandlingen av sensitive opplysninger utføres i forbindelse med berettigede aktiviteter av en stiftelse, sammenslutning eller annet ideelt organ med et formål av politisk, filosofisk, religiøst eller fagforeningsmessig art, og bare for behandling av personopplysninger om organets medlemmer, tidligere medlemmer eller personer som har regelmessig kontakt med det.
• De sensitive opplysningene ble åpenbart offentliggjort av den registrerte selv.
• Behandling av sensitive opplysninger er nødvendig i forbindelse med rettssaker.
• Behandling av sensitive opplysninger er nødvendig for saker av viktige allmenne interesser.
• Behandling av sensitive opplysninger er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin. For eksempel kan det være nødvendig å vurdere en persons sensitive opplysninger, slik som helserelaterte opplysninger, for å vurdere vedkommendes arbeidskapasitet som ansatt.
• Behandling av sensitive opplysninger er nødvendig av allmenne folkehelsehensyn på grunnlag av EU- eller nasjonal lovgivning. For eksempel kan behandling av enkeltpersoners sensitive opplysninger være nødvendig for å sikre høy kvalitet på helsevesenet og en høy kvalitet på medisinske produkter, eller for å bekjempe alvorlige helsetrusler, for eksempel virus.
• Behandling av sensitive opplysninger er nødvendig for arkiveringsformål i allmennhetens interesse, eller for vitenskapelige eller historiske forskningsformål, eller statistiske formål. For eksempel kan behandling av sensitive opplysninger være nødvendig for å gi nøyaktig statistikk om situasjonen i et land innenfor et bestemt felt.

Mer informasjon:

• Behandle personopplysninger lovlig

En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Enkeltpersoner kan spørre deg om du behandler personopplysningene deres, og hvor dette er tilfellet har de rett til å få innsyn i disse personopplysningene. Så når dette skjer, og hvis du behandler personopplysningene deres, bør du for eksempel gi en kopi av personopplysningene, gratis, sammen med nødvendig tilleggsinformasjon. Når en forespørsel gjøres elektronisk, bør virksomheten gi de nødvendige opplysningene i et vanlig elektronisk format, med mindre den enkelte ber om noe annet.

Mer informasjon:

• Respekter enkeltpersoners rettigheter

Du må svare uten ugrunnet opphold og senest innen en måned etter mottak av forespørselen. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er  komplisert og mer tid er nødvendig for å besvare den, forutsatt at den enkelte er informert om dette innen en måned etter mottak av forespørselen.

Du må gjøre dette gratis.

Mer informasjon:

• Respekter enkeltindividers rettigheter

We take note of your suggestion to the EDPB to consider this matter for future guidance. You may consult the topics currently included in the EDPB's Work Programme on our website.

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision¹. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.

Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.

Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.

Mer informasjon:

• Lovlig behandling av personopplysninger

Pseudonymisering består i å transformere personopplysninger slik at de ikke lenger kan tilskrives en bestemt person uten noe tilleggsinformasjon, forutsatt at slik tilleggsinformasjon holdes adskilt og er underlagt tekniske og organisatoriske tiltak for å sikre at personopplysningene ikke kan tilskrives enkeltpersoner. I praksis kan det bety å erstatte personopplysninger (navn, fornavn, personnummer, telefonnummer osv.) i et datasett med indirekte identifiserende data (alias, sekvensnummer, etc.). Pseudonymiserte data er fortsatt personopplysninger og er underlagt GDPR.

Anonymiserte data er personopplysninger som har blitt anonymisert på en slik måte at den enkelte ikke er identifiserbar eller ikke lenger kan identifiseres på noen måte som medrimelig sannsynlighet kan bli brukt. Når anonymiseringen er implementert på riktig måte, gjelder GDPR ikke lenger for de anonymiserte dataene.

Mer informasjon:

• Sikre personopplysninger