Personopplysninger betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar person er alle som kan identifiseres, enten direkte eller indirekte. Ulike opplysninger som til sammen kan føre til identifisering av en bestemt person, utgjør også personopplysninger.

Eksempler på personopplysninger er:

• navn og etternavn;
• hjemmeadresse;
• e-postadresse;
• et ID-kortnummer;
• stedsdata;
• IP-adresse (Internet Protocol)
• en informasjonskapsel-ID;
• bankkonto;
• skatterapporter;
• biometriske data (som fingeravtrykk);
• personnummer;
• passnummer;
• testresultater,
• karakterer fra skolen;
• internettlogg;
• bilder av enkeltindivider;
• kjøretøyets registreringsnummer mv.

Mer informasjon:

• Grunnleggende personvern

GDPR skiller mellom to hovedroller: de som er behandlingsansvarlige og databehandlere. Dette skillet er avgjørende ettersom den behandlingsansvarlige har mer ansvar og må oppfylle flere forpliktelser enn databehandleren.

Behandlingsansvarlige og databehandlere kan være fysiske eller juridiske personer, for eksempel: en SMB, en offentlig myndighet, et selskap, en organisasjon, et statlig organ, en forening etc.

En behandlingsansvarlig bestemmer formålene og midlene for en behandlingsaktivitet. Med andre ord, den behandlingsansvarlige bestemmer alle «hvordan» og «hvorfor» til behandlingsaktiviteter. Databehandlere behandler personopplysninger på vegne av den behandlingsansvarlige. Behandlingen som utføres av databehandlere må reguleres av en avtale med den behandlingsansvarlige eller annen juridisk bindende kontrakt.

Eksempler på behandlingsansvarlige:

• selskaper som behandler personopplysningene til sine kunder for å gjennomføre salg;
• finansinstitusjoner som behandler personopplysninger om sine kunder;
• foreninger som behandler personopplysninger om sine medlemmer;
• skoler eller universiteter som behandler personopplysninger om elever og lærere;
• sykehus som behandler personopplysninger om sine pasienter;
• offentlige etater som behandler personopplysninger om innbyggere.

Eksempler på databehandlere:

• en SMB ansetter en regnskapsførertjeneste for å oppbevare registre, SMBen er behandlingsansvarlig og regnskapsførertjenesten er en databehandler,
• et lønningsselskap behandler personopplysninger for en SMB. Lønnsselskapet vil fungere som databehandler dersom det utelukkende behandler personopplysningene på vegne av SMBen. SMBen bestemmer formålene og midlene for databehandlingen, og er derfor behandlingsansvarlig.
• en SMB beordrer et markedsføringsselskap til å samle inn e-postadresser via tredjeparts nettsteder.  Markedsføringsselskapet gjør dette i henhold til de uttrykkelige instruksjonene fra SMBen og for SMBens spesifikke formål. Markedsføringsselskapet fungerer som databehandler for denne innsamlingen.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Nei, det er ikke nødvendig å gjøre protokollen din offentlig. Du må imidlertid kunne gjøre den tilgjengelig for tilsynsmyndigheten på forespørsel.

Mer informasjon:

• Etterlevelse

GDPR eller General Data Protection Regulation oppretter et harmonisert sett med regler som gjelder for all behandling av personopplysninger av virksomheter (offentlig eller privat, uavhengig av størrelse) etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller rettet mot enkeltpersoner i EU. Hovedformålet med GDPR er å sikre at personopplysninger har samme høye beskyttelsesstandard overalt i EØS, økt rettssikkerhet for både enkeltpersoner og virksomheter som behandler personopplysninger, og tilbyr en høy grad av beskyttelse for enkeltpersoner.

Forordningen trådte i kraft 24. mai 2016 og gjelder fra 25. mai 2018.

EDPB publiserer jevnlig pressemeldinger, nyhetsartikler, blogginnlegg og annet innhold på EDPBs nettside og sosiale medier. (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) for å holde personvernmiljøet og allmennheten oppdatert med sitt arbeid.

EDPBs nettside har også to RSS-feeder, som du kan abonnere på for automatiske oppdateringer på EDPB- nyheter og EDPBs nyeste publikasjoner.

Pseudonymisering består i å transformere personopplysninger slik at de ikke lenger kan tilskrives en bestemt person uten noe tilleggsinformasjon, forutsatt at slik tilleggsinformasjon holdes adskilt og er underlagt tekniske og organisatoriske tiltak for å sikre at personopplysningene ikke kan tilskrives enkeltpersoner. I praksis kan det bety å erstatte personopplysninger (navn, fornavn, personnummer, telefonnummer osv.) i et datasett med indirekte identifiserende data (alias, sekvensnummer, etc.). Pseudonymiserte data er fortsatt personopplysninger og er underlagt GDPR.

Anonymiserte data er personopplysninger som har blitt anonymisert på en slik måte at den enkelte ikke er identifiserbar eller ikke lenger kan identifiseres på noen måte som medrimelig sannsynlighet kan bli brukt. Når anonymiseringen er implementert på riktig måte, gjelder GDPR ikke lenger for de anonymiserte dataene.

Mer informasjon:

• Sikre personopplysninger

Ja, det kan du, men GDPR legger visse forpliktelser til bedrifter som deler personopplysninger. Virksomheten din må informere enkeltpersoner om at du vil utlevere personopplysningene deres med en tredjepart. Du må også informere dem om formål, sikkerhet, tilgang og oppbevaringsrutiner som vil gjelde.

Generelt sett bør hver organisasjon holde oversikt over sine behandlingsaktiviteter. Dette er en oversikt over alle behandlingsaktiviteter og kan hjelpe deg med å gjøre riktige vurderinger av ditt ansvar etter GDPR og av mulige risikoer.

Hver av disse behandlingsaktivitetene skal beskrives i journalen med følgende opplysninger:

• formålet med behandlingen (f.eks. kundelojalitet);
• kategoriene av opplysninger som behandles (f.eks. for lønn: navn, fornavn, fødselsdato, lønn osv.);
• hvem som har tilgang til opplysningene (mottakerne — f.eks.: avdelingen med ansvar for rekruttering, IT-tjeneste, ledelse, tjenesteleverandører, partnere...);
• der det er relevant, opplysninger knyttet til overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområde (EØS);
• der det er mulig, lagringsperioden (perioden som opplysningene er nyttige fra et operativt synspunkt, og fra et arkiveringsperspektiv).
• der det er mulig, en generell beskrivelse av sikkerhetstiltakene.

Registreringen av behandlingsaktiviteter er underlagt ansvaret til virksomhetens leder.

Denne protokollen må være tilgjengelig på forespørsel fra tilsynsmyndigheten i EØS-landet der du opererer.

Det er ikke nødvendig for virksomheter som har færre enn 250 ansatte å nevne rent sporadiske aktiviteter i sin journal (f.eks. opplysninger behandlet for engangsarrangementer som åpning av en butikk).

 

Mer informasjon:

• Etterlevelse

• Enhver behandling av personopplysninger må være lovlig, rettferdig og åpen.
• Personopplysninger kan bare samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Behandlingen av personopplysninger må være strengt begrenset til formålene som opprinnelig ble etablert, og kan derfor ikke behandles for andre formål som er uforenlige med de opprinnelige formålene.
• Man kan bare behandle personopplysninger som er nødvendige og forholdsmessige i lys av de fastsatte formålene.
• Personopplysninger som behandles må være korrekte og holdes oppdaterte. Unøyaktige personopplysninger må rettes eller slettes.
• Lagringen av personopplysninger må begrenses i tid, i lys av formålet som disse ble samlet inn og behandlet for. Som sådan må personopplysninger slettes eller anonymiseres når disse dataene ikke lenger er nødvendige.
• Personopplysninger må behandles på en sikker måte. Det må iverksettes robuste tiltak for cybersikkerhet, for å sikre at personopplysninger er tilstrekkelig beskyttet.

Avslutningsvis er det den behandlingsansvarlige virksomhet som er ansvarlig. Dette innebærer ansvar for å overholde og påvise etterlevelse av prinsippene ovenfor.

Mer informasjon:

• Grunnleggende personvern

Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:

• helse;
• seksuelle orientering;
• rasemessig eller etniske opprinnelse;
• politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
• biometriske og genetiske opplysninger.

Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.

Mer informasjon:

• Grunnleggende personvern