Data protection guide for small business logo
Close menu
Back to EDPB

Spørsmål og svar

Filter on
Filter on topic

Hva er en personvernerklæring?

Virksomheter skal, når det gjelder direkte innsamling av personopplysninger fra berørte personer, gi informasjon om behandlingsaktivitetene på en kortfattet og åpen måte, ved hjelp av forståelig, lett tilgjengelig måte og med et klart og enkelt språk. Dette kan gjøres skriftlig (f.eks. på baksiden av et tilbud) eller elektronisk (f.eks. på et nettsted). Hvis vedkommende ber om det, kan du også gi denne informasjonen muntlig, men du må kunne dokumentere dette.

Selv når opplysningene blir innsamlet indirekte, dvs. hvis du ikke direkte samler inn personopplysninger fra en person selv, men for eksempel via en tredjepart, må du gi den samme detaljerte informasjonen til de berørte.

Hvordan svarer jeg på en forespørsel om sletting?

Enkeltpersoner har rett til å be om sletting av personopplysninger om dem, og i så fall har den behandlingsansvarlige plikt til å slette personopplysningene. Du bør svare uten ugrunnet opphold og senest innen én måned. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er kompleks, forutsatt at den registrerte blir informert om forsinkelsen senest én måned etter mottak av forespørselen.

Det er viktig å merke seg at retten til sletting ikke er absolutt. Retten til sletting gjelder ikke dersom behandlingen er nødvendig:

  • for å utøve retten til ytrings-  og informasjonsfrihet (f.eks. for journalistiske formål);
  • for å oppfylle en rettslig forpliktelse som krever behandling av personopplysninger (f.eks. behandling av opplysninger om ansattes arbeidstid);
  • av årsaker til offentlig interesse på folkehelseområdet;
  • for arkiveringsformål i allmennhetens interesse eller vitenskapelige eller historiske forskningsformål eller statistiske formål; og
  • for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Når personopplysningene som skal slettes tidligere har blitt utlevert eller overført til andre virksomheter, må du informere mottakerne om at den registrerte har bedt om sletting, med mindre dette er umulig eller vil kreve en uforholdsmessig innsats.

Mer informasjon:

Kan jeg ta opp telefonsamtaler med kunder for å forbedre kvaliteten på tjenesten, og trenger jeg samtykke til dette?

Ja, kundene dine må informeres idet telefonsamtalen starter om formålet med opptaket, eventuelle mottakere av opptaket, om retten til å protestere og retten til innsyn.

Mer informasjon:

Hva betyr behandling av personopplysninger?

Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.

Er det mulig å behandle sensitive personopplysninger?

Nei, behandling av sensitive personopplysninger er i utgangspunktet forbudt.Det finnes noen unntak for svært spesifikke omstendigheter:

  • Den enkelte har gitt sitt uttrykkelige samtykke til at sensitive opplysninger kan behandles.
  • Behandlingen av sensitive opplysninger er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser, spesielt i forbindelse med arbeidsrett, trygderett og sosialrett. For eksempel kan den behandlingsansvarlige måtte behandle sensitive opplysninger for å avgjøre om en ansatt har rett til trygdeytelser eller ansettelsesstipend.
  • Behandling av sensitive opplysninger er nødvendig for å verne den registrertes vitale interesser dersom vedkommende  fysisk eller juridisk ikke er i stand til å samtykke. For eksempel, hvis en person blir etterlatt bevisstløs som følge av en ulykke og krever umiddelbar medisinsk behandling, kan deres helseopplysninger behandles for å sikre at det gis riktig medisinsk behandling.
  • Behandlingen av sensitive opplysninger utføres i forbindelse med berettigede aktiviteter av en stiftelse, sammenslutning eller annet ideelt organ med et formål av politisk, filosofisk, religiøst eller fagforeningsmessig art, og bare for behandling av personopplysninger om organets medlemmer, tidligere medlemmer eller personer som har regelmessig kontakt med det.
  • De sensitive opplysningene ble åpenbart offentliggjort av den registrerte selv.
  • Behandling av sensitive opplysninger er nødvendig i forbindelse med rettssaker.
  • Behandling av sensitive opplysninger er nødvendig for saker av viktige allmenne interesser.
  • Behandling av sensitive opplysninger er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin. For eksempel kan det være nødvendig å vurdere en persons sensitive opplysninger, slik som helserelaterte opplysninger, for å vurdere vedkommendes arbeidskapasitet som ansatt.
  • Behandling av sensitive opplysninger er nødvendig av allmenne folkehelsehensyn på grunnlag av EU- eller nasjonal lovgivning. For eksempel kan behandling av enkeltpersoners sensitive opplysninger være nødvendig for å sikre høy kvalitet på helsevesenet og en høy kvalitet på medisinske produkter, eller for å bekjempe alvorlige helsetrusler, for eksempel virus.
  • Behandling av sensitive opplysninger er nødvendig for arkiveringsformål i allmennhetens interesse, eller for vitenskapelige eller historiske forskningsformål, eller statistiske formål. For eksempel kan behandling av sensitive opplysninger være nødvendig for å gi nøyaktig statistikk om situasjonen i et land innenfor et bestemt felt.

Mer informasjon:

Hva kan jeg gjøre hvis databehandleren ikke ønsker å signere en databehandleravtale?

En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

Mer informasjon:

Hva skal jeg gjøre når noen spør hvordan jeg behandler personopplysningene deres?

Enkeltpersoner kan spørre deg om du behandler personopplysningene deres, og hvor dette er tilfellet har de rett til å få innsyn i disse personopplysningene. Så når dette skjer, og hvis du behandler personopplysningene deres, bør du for eksempel gi en kopi av personopplysningene, gratis, sammen med nødvendig tilleggsinformasjon. Når en forespørsel gjøres elektronisk, bør virksomheten gi de nødvendige opplysningene i et vanlig elektronisk format, med mindre den enkelte ber om noe annet.

Mer informasjon:

Hvor lang tid har jeg på å besvare en forespørsel om innsyn?

Du må svare uten ugrunnet opphold og senest innen en måned etter mottak av forespørselen. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er  komplisert og mer tid er nødvendig for å besvare den, forutsatt at den enkelte er informert om dette innen en måned etter mottak av forespørselen.

Du må gjøre dette gratis.

Mer informasjon:

Trenger jeg samtykke for å kunne bruke informasjonskapsler på virksomhetens hjemmeside?

GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.

Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.

Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.

Mer informasjon:

Hva er forskjellen mellom pseudonymiserte data og anonymiserte data?

Pseudonymisering består i å transformere personopplysninger slik at de ikke lenger kan tilskrives en bestemt person uten noe tilleggsinformasjon, forutsatt at slik tilleggsinformasjon holdes adskilt og er underlagt tekniske og organisatoriske tiltak for å sikre at personopplysningene ikke kan tilskrives enkeltpersoner. I praksis kan det bety å erstatte personopplysninger (navn, fornavn, personnummer, telefonnummer osv.) i et datasett med indirekte identifiserende data (alias, sekvensnummer, etc.). Pseudonymiserte data er fortsatt personopplysninger og er underlagt GDPR.

Anonymiserte data er personopplysninger som har blitt anonymisert på en slik måte at den enkelte ikke er identifiserbar eller ikke lenger kan identifiseres på noen måte som medrimelig sannsynlighet kan bli brukt. Når anonymiseringen er implementert på riktig måte, gjelder GDPR ikke lenger for de anonymiserte dataene.

Mer informasjon:

Hvem er behandlingsansvarlig og hvem er databehandler?

GDPR skiller mellom to hovedroller: de som er behandlingsansvarlige og databehandlere. Dette skillet er avgjørende ettersom den behandlingsansvarlige har mer ansvar og må oppfylle flere forpliktelser enn databehandleren.

Behandlingsansvarlige og databehandlere kan være fysiske eller juridiske personer, for eksempel: en SMB, en offentlig myndighet, et selskap, en organisasjon, et statlig organ, en forening etc.

En behandlingsansvarlig bestemmer formålene og midlene for en behandlingsaktivitet. Med andre ord, den behandlingsansvarlige bestemmer alle «hvordan» og «hvorfor» til behandlingsaktiviteter. Databehandlere behandler personopplysninger på vegne av den behandlingsansvarlige. Behandlingen som utføres av databehandlere må reguleres av en avtale med den behandlingsansvarlige eller annen juridisk bindende kontrakt.

Eksempler på behandlingsansvarlige:

  • selskaper som behandler personopplysningene til sine kunder for å gjennomføre salg;
  • finansinstitusjoner som behandler personopplysninger om sine kunder;
  • foreninger som behandler personopplysninger om sine medlemmer;
  • skoler eller universiteter som behandler personopplysninger om elever og lærere;
  • sykehus som behandler personopplysninger om sine pasienter;
  • offentlige etater som behandler personopplysninger om innbyggere.

Eksempler på databehandlere:

  • en SMB ansetter en regnskapsførertjeneste for å oppbevare registre, SMBen er behandlingsansvarlig og regnskapsførertjenesten er en databehandler,
  • et lønningsselskap behandler personopplysninger for en SMB. Lønnsselskapet vil fungere som databehandler dersom det utelukkende behandler personopplysningene på vegne av SMBen. SMBen bestemmer formålene og midlene for databehandlingen, og er derfor behandlingsansvarlig.
  • en SMB beordrer et markedsføringsselskap til å samle inn e-postadresser via tredjeparts nettsteder.  Markedsføringsselskapet gjør dette i henhold til de uttrykkelige instruksjonene fra SMBen og for SMBens spesifikke formål. Markedsføringsselskapet fungerer som databehandler for denne innsamlingen.

Mer informasjon:

Hva er sensitive personopplysninger?

Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:

  • helse;
  • seksuelle orientering;
  • rasemessig eller etniske opprinnelse;
  • politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
  • biometriske og genetiske opplysninger.

Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.

Mer informasjon:

Hvem kan utføre rollen som personvernombud (PVO)?

PVO kan være en eksisterende ansatt med tilstrekkelig kunnskap om GDPR (hvis de faglige oppgavene til den ansatte er forenlige med rollen som PVO og dette ikke fører til interessekonflikter) eller en ekstern person. PVO bør kunne utføre oppgaver selvstendig og bør kunne rapportere direkte til den øverste ledelsen.

Mer informasjon:

Hva er personopplysninger?

Personopplysninger betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar person er alle som kan identifiseres, enten direkte eller indirekte. Ulike opplysninger som til sammen kan føre til identifisering av en bestemt person, utgjør også personopplysninger.

Eksempler på personopplysninger er:

  • navn og etternavn;
  • hjemmeadresse;
  • e-postadresse;
  • et ID-kortnummer;
  • stedsdata;
  • IP-adresse (Internet Protocol)
  • en informasjonskapsel-ID;
  • bankkonto;
  • skatterapporter;
  • biometriske data (som fingeravtrykk);
  • personnummer;
  • passnummer;
  • testresultater,
  • karakterer fra skolen;
  • internettlogg;
  • bilder av enkeltindivider;
  • kjøretøyets registreringsnummer mv.

Mer informasjon:

Som behandlingsansvarlig har jeg samlet inn personopplysninger fra en tredjepart, hva må jeg gjøre for å sikre etterlevelse?

  1. Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
  2. I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.

Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.

Mer informasjon:

Hvordan kan jeg vite hvilke sikkerhetstiltak jeg må innføre?

De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:

  • sikker tilgang til lokalene;
  • bruke regelmessig oppdatert antivirusprogramvare;
  • velg passordene dine nøye;
  • få brukerne til å autentisere seg selv før de bruker datamaskiner;
  • ha rutiner for backup og gjenopprettelse av data.

I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.

Mer informasjon:

Kan jeg publisere navnene på vinnerne av en konkurranse på virksomhetens hjemmeside?

Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.

En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.

I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.

Mer informasjon:

Kan jeg dele en liste over enkeltpersoners personopplysninger med mine forretningspartnere (tredjeparter)?

Ja, det kan du, men GDPR legger visse forpliktelser til bedrifter som deler personopplysninger. Virksomheten din må informere enkeltpersoner om at du vil utlevere personopplysningene deres med en tredjepart. Du må også informere dem om formål, sikkerhet, tilgang og oppbevaringsrutiner som vil gjelde.

Bør jeg utnevne et personvernombud (PVO)?

Utnevnelsen av et PVO er obligatorisk i følgende tre tilfeller:

  • virksomheten er en offentlig myndighet;
  • virksomhetens kjernevirksomhet består av regelmessig og systematisk overvåking av enkeltpersoner i stor skala, for eksempel geolokasjon via en mobil applikasjon, eller overvåking av kjøpesentre og offentlige rom gjennom CCTV;
  • virksomhetens kjernevirksomhet består av storskala behandling av sensitive opplysninger eller personopplysninger knyttet til straffedommer og lovbrudd.

Du kan alltid utnevne et PVOpå frivillig basis, selv om dette ikke er lovpålagt. Vær oppmerksom på at du i så fall må overholde alle bestemmelsene i GDPR om oppgavene og stillingen til personvernombudet.

Mer informasjon:

Er jeg pålagt å offentliggjøre protokoll over behandlingsaktiviteter?

Nei, det er ikke nødvendig å gjøre protokollen din offentlig. Du må imidlertid kunne gjøre den tilgjengelig for tilsynsmyndigheten på forespørsel.

Mer informasjon: