Ofte stilte spørsmål
Hva er oppgavene til personvernombudet (PVO)?
Oppgaven til PVO inkluderer blant annet:
- å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
- å kontrollere etterlevelse av personvern;
- å gi råd om vurdering av personvernkonsekvenser (DPIA);
- å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
- å fungere som et kontaktpunkt for enkeltpersoner.
I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.
Mer informasjon:
Må virksomheten min etterleve GDPR?
Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.
Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.
Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.
Mer informasjon:
Er jeg pålagt å offentliggjøre protokoll over behandlingsaktiviteter?
Nei, det er ikke nødvendig å gjøre protokollen din offentlig. Du må imidlertid kunne gjøre den tilgjengelig for tilsynsmyndigheten på forespørsel.
Mer informasjon:
Kan jeg dele en liste over enkeltpersoners personopplysninger med mine forretningspartnere (tredjeparter)?
Ja, det kan du, men GDPR legger visse forpliktelser til bedrifter som deler personopplysninger. Virksomheten din må informere enkeltpersoner om at du vil utlevere personopplysningene deres med en tredjepart. Du må også informere dem om formål, sikkerhet, tilgang og oppbevaringsrutiner som vil gjelde.
Hva er sensitive personopplysninger?
Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:
- helse;
- seksuelle orientering;
- rasemessig eller etniske opprinnelse;
- politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
- biometriske og genetiske opplysninger.
Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.
Mer informasjon:
Trenger jeg samtykke for å kunne bruke informasjonskapsler på virksomhetens hjemmeside?
GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.
Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.
Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.
Mer informasjon:
Hva er cookies?
Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.
Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.
Hva er sanksjonene hvis organisasjonen min ikke etterlever GDPR eller hvis behandlingen bryter med GDPR?
Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.
Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer
Mer informasjon:
Hvilken informasjon skal jeg kommunisere med/dele med enkeltpersoner?
GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».
I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:
- den behandlingsansvarliges identitet og kontaktopplysninger;
- formålet med behandlingen;
- det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
- den behandlingsansvarliges kontaktopplysninger;
- kontaktinformasjonen til personvernombudet (dersom relevant);
- mottakerne eller kategoriene av mottakere av opplysningene;
- informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
- kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.
I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:
- lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
- retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
- retten til å sende inn en klage til en tilsynsmyndighet;
- hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
- når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
- kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
- hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.
Mer informasjon:
Er personvernombudet (PVO) ansvarlig for etterlevelse av GDPR?
PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.
Mer informasjon: