Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.

Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.

Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.

Mer informasjon:

• Grunnleggende personvern

Oppgaven til PVO inkluderer blant annet:

• å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
• å kontrollere etterlevelse av personvern;
• å gi råd om vurdering av personvernkonsekvenser (DPIA);
• å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
• å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

Mer informasjon:

• Personvernombud

Ja, det kan du, men GDPR legger visse forpliktelser til bedrifter som deler personopplysninger. Virksomheten din må informere enkeltpersoner om at du vil utlevere personopplysningene deres med en tredjepart. Du må også informere dem om formål, sikkerhet, tilgang og oppbevaringsrutiner som vil gjelde.

Utnevnelsen av et PVO er obligatorisk i følgende tre tilfeller:

• virksomheten er en offentlig myndighet;
• virksomhetens kjernevirksomhet består av regelmessig og systematisk overvåking av enkeltpersoner i stor skala, for eksempel geolokasjon via en mobil applikasjon, eller overvåking av kjøpesentre og offentlige rom gjennom CCTV;
• virksomhetens kjernevirksomhet består av storskala behandling av sensitive opplysninger eller personopplysninger knyttet til straffedommer og lovbrudd.

Du kan alltid utnevne et PVOpå frivillig basis, selv om dette ikke er lovpålagt. Vær oppmerksom på at du i så fall må overholde alle bestemmelsene i GDPR om oppgavene og stillingen til personvernombudet.

Mer informasjon:

• Personvernombud

GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.

Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.

Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.

Mer informasjon:

• Lovlig behandling av personopplysninger

Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.

Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.

Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

• behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
• sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
• sørger for sikkerheten til behandlingen;
• ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
• bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
• bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
• etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
• gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
• muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.

Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.

 

Mer informasjon:

• Behandle personopplysninger lovlig

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.

Mer informasjon:

• Internasjonale overføringer

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

• med samtykke fra berørte personer;
• der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
• for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
• når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
• for å beskytte en enkeltpersons vitale interesser;
• for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

• Behandle personopplysninger lovlig