Ofte stilte spørsmål
Hva er oppgavene til personvernombudet (PVO)?
Oppgaven til PVO inkluderer blant annet:
- å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
- å kontrollere etterlevelse av personvern;
- å gi råd om vurdering av personvernkonsekvenser (DPIA);
- å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
- å fungere som et kontaktpunkt for enkeltpersoner.
I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.
Mer informasjon:
Må virksomheten min etterleve GDPR?
Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.
Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.
Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.
Mer informasjon:
Er jeg pålagt å offentliggjøre protokoll over behandlingsaktiviteter?
Nei, det er ikke nødvendig å gjøre protokollen din offentlig. Du må imidlertid kunne gjøre den tilgjengelig for tilsynsmyndigheten på forespørsel.
Mer informasjon:
Kan jeg dele en liste over enkeltpersoners personopplysninger med mine forretningspartnere (tredjeparter)?
Ja, det kan du, men GDPR legger visse forpliktelser til bedrifter som deler personopplysninger. Virksomheten din må informere enkeltpersoner om at du vil utlevere personopplysningene deres med en tredjepart. Du må også informere dem om formål, sikkerhet, tilgang og oppbevaringsrutiner som vil gjelde.
Hva er sensitive personopplysninger?
Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:
- helse;
- seksuelle orientering;
- rasemessig eller etniske opprinnelse;
- politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
- biometriske og genetiske opplysninger.
Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.
Mer informasjon:
Trenger jeg samtykke for å kunne bruke informasjonskapsler på virksomhetens hjemmeside?
GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.
Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.
Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.
Mer informasjon:
Hva er cookies?
Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.
Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.
Hva er sanksjonene hvis organisasjonen min ikke etterlever GDPR eller hvis behandlingen bryter med GDPR?
Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.
Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer
Mer informasjon:
Er personvernombudet (PVO) ansvarlig for etterlevelse av GDPR?
PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.
Mer informasjon:
Kan jeg overføre personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS)?
I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.
Mer informasjon: