European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Hva skal jeg gjøre i tilfelle brudd på personopplysningssikkerheten?

Et brudd på personopplysninger er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.

  • Hvis bruddet utgjør en risiko for de berørte personene, må du rapportere det til den relevante tilsynsmyndigheten innen 72 timer.
  • Hvis bruddet sannsynligvis vil føre til en høy risiko for berørte personer, må du også kommunisere bruddet til de berørte personene uten ugrunnet opphold.

I alle tilfeller, for alle brudd — selv de som ikke er varslet til en DPA — må du dokumentere i det minste de grunnleggende detaljene om bruddet, vurderingen av bruddet, virkninger av bruddet og trinnene som er tatt som respons.

Mer informasjon:

Hvordan kan jeg respektere enkeltpersoners personvernrettigheter?

GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:

  • gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
  • besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.

Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.

Mer informasjon:

Are you seeking to exercise data subject rights (deletion, correction, access) to personal data held in the Schengen Information System (SIS)?

The Coordination Supervision Committee (‘CSC’) - which exists within the EDPB - coordinates the supervision of the processing of personal data in the Schengen Information System (‘SIS’). The relevant EU laws are Regulation (EU) No 2018/1862 (in particular Article 71), and Regulation (EU) No. 2018/1861 (in particular Article 57).

For personal data included in the SIS, you have rights of access, rectification, and erasure. These rights include:

  • The right to know if information relating to you is processed in the SIS;
  • The right of access to that data;
  • The right to correction of inaccurate data or deletion relating when that data have been unlawfully stored; and
  • The right to take action with courts, your data protection authority and/or competent authorities, as appropriate, to correct or delete data relating to you or to obtain compensation.

To exercise your rights, please contact your national competent authority, in the Schengen country of your choice. For more information on the national competent authorities and on the data protection authority in each Schengen country, please consult the “Guide for exercising data subjects’ rights”, available on our website. There you can also find model letters to assist you with the exercise of your rights. 

Please note that the EDPB does not have the competence to handle individual complaints or requests. Besides, the EDPB does not have access to the content of these information systems and databases.

More details on how to exercise your rights is available on our website.

Hvordan kan jeg holde meg oppdatert på EDPBs arbeid?

EDPB publiserer jevnlig pressemeldinger, nyhetsartikler, blogginnlegg og annet innhold på EDPBs nettside og sosiale medier. (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) for å holde personvernmiljøet og allmennheten oppdatert med sitt arbeid.

EDPBs nettside har også to RSS-feeder, som du kan abonnere på for automatiske oppdateringer på EDPB- nyheter og EDPBs nyeste publikasjoner.

Hva er GDPR?

GDPR eller General Data Protection Regulation oppretter et harmonisert sett med regler som gjelder for all behandling av personopplysninger av virksomheter (offentlig eller privat, uavhengig av størrelse) etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller rettet mot enkeltpersoner i EU. Hovedformålet med GDPR er å sikre at personopplysninger har samme høye beskyttelsesstandard overalt i EØS, økt rettssikkerhet for både enkeltpersoner og virksomheter som behandler personopplysninger, og tilbyr en høy grad av beskyttelse for enkeltpersoner.

Forordningen trådte i kraft 24. mai 2016 og gjelder fra 25. mai 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Gjelder GDPR også for papirjournaler?

Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.

Mer informasjon:

Hva er en felles behandlingsansvarlig?

Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.

Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.

  • Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.

Mer informasjon:

Jeg organiserer et arrangement som en del av mine forretningsaktiviteter, kan jeg ta bilder og videoer av arrangementet og deltakerne?

Ja, men  først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine  interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.

Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.

Mer informasjon:

Hvis jeg ønsker å lagre kandidaters CVer til fremtidige rekrutteringsprosesser, må jeg be om kandidatenes samtykke?

Samtykke kan være et gyldig rettslig grunnlag for lagring av jobbsøkeres CVer. Et annet mulig rettslig grunnlag kan være berettiget interesse. I så fall må du gjennomføre en balansetest for å bevise at virksomhetens berettigede interesser veier tyngre enn søkernes personvern.

Du må uansett informere kandidatene om at du planlegger å lagre personopplysningene og for hvilke formål.

Mer informasjon:

Are you writing about a non-EU country recognised as providing an adequate level of data protection (adequacy decisions)?

The European Commission can decide whether a country outside Europe (or an international organisation) offers an ‘adequate’ level of data protection, which facilitates the data flows between Europe and this country. 

The EDPB is in charge of issuing opinions on the draft adequacy decisions, before the decision of the European Commission. The opinions are not binding on the European Commission but are usually useful for the other organisations which are consulted in this framework, such as the EU Member States.

Further, the European Commission is the one competent to monitor developments in non-European countries that could affect adequacy decisions. Some adequacy decisions provide for a specific regularity for the review of the decision and may refer to the possibility for EDPB representatives to take part in the review process organised by the European Commission.

Please also note that European Data Protection Authorities may protect individuals with respect with data transfers made within the context of adequacy decision (please find a list of them on our website: Our members).

If you believe that an existing adequacy decision is not in line with your fundamental rights of the individual to privacy and data protection, you may initiate a complaint to your DPA which may bring those objections before a national court which may be required to make a reference for a preliminary ruling to the Court of Justice (See Article 58(5) GDPR and ECJ Schrems judgment (Case C-362/14)).

For additional information, please see: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Kan jeg bare behandle personopplysninger når jeg har samtykke fra den enkelte?

Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.

Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.

 

Mer informasjon:

Må jeg være sertifisert for å bli personvernombud (PVO)?

Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

Hva er en vurdering av personvernkonsekvenser, og når er dette obligatorisk?

En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

  • behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
  • en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
  • systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

Mer informasjon:

Hva er de rettslige grunnlagene for behandling etter GDPR?

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

  • med samtykke fra berørte personer;
  • der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
  • for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
  • når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
  • for å beskytte en enkeltpersons vitale interesser;
  • for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

Må databehandlere også følge GDPR?

Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.

Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.

Mer informasjon:

Hva bør en databehandleravtale inneholde?

Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

  • behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
  • sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
  • sørger for sikkerheten til behandlingen;
  • ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
  • bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
  • bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
  • etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
  • gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
  • muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

Kan jeg overføre personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS)?

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.

Mer informasjon:

Er personvernombudet (PVO) ansvarlig for etterlevelse av GDPR?

PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.

Mer informasjon: