Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.

Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

• behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
• sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
• sørger for sikkerheten til behandlingen;
• ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
• bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
• bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
• etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
• gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
• muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

• behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
• en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
• systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

Mer informasjon:

• Etterlevelse

Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.

Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer

Mer informasjon:

• Tilsynsmyndigheten og deg

GDPR gjelder for bruk av informasjonskapsler når disse brukes til å behandle personopplysninger, men det er også mer spesifikke regler for informasjonskapsler, herunder ePrivacy- direktivet.

Lagring av en informasjonskapsel eller tilgang til en informasjonskapsel som allerede er lagret, i terminalutstyret til en bruker, er bare tillatt under forutsetning av at abonnenten eller brukeren har blitt tilstrekkelig informert (spesielt om formålene med behandlingen) og har gitt sitt samtykke.

Det eneste unntaket er teknisk nødvendige informasjonskapsler. Virksomheter trenger ikke å be om samtykke når de bruker teknisk nødvendige informasjonskapsler på sine nettsider.

Mer informasjon:

• Lovlig behandling av personopplysninger

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.

Mer informasjon:

• Internasjonale overføringer

Det første trinnet for å installere CCTV er å identifisere formålet eller formålene med å gjøre det. Formålet med installasjon av CCTV kan variere, for eksempel sikre lokalenes sikkerhet, hjelpe til med å forebygge og avdekke tyveri og andre straffbare handlinger, eller beskyttelse av ansattes liv og helse som følge av arbeidets art.

Som med enhver behandling av personopplysninger, må registreringen av enkeltpersoner ha et rettslig grunnlag i henhold til GDPR. Samtykke kan gi et rettslig grunnlag for slik behandling. Dette er imidlertid lite aktuelt for bruk av CCTV i de fleste tilfeller, da det vil være vanskelig å få frivillig samtykke fra alle som sannsynligvis vil bli fanget opp. Det vanligste rettslige grunnlaget for denne typen behandling av personopplysninger er berettiget interesse. Når behandlingen er basert på en legitim interesse, må du utføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.

Du må informere enkeltpersoner om at de blir registrert. Dette kan gjøres ved å plassere lettleste skilt på synlige steder. I tillegg bør et skilt som angir formålet med CCTV-systemet og identiteten og kontaktopplysningene til den behandlingsansvarlige, plasseres ved alle innganger.

Personer som blir filmet av et CCTV-system, bør gis følgende informasjon:

• identiteten og kontaktopplysningene til den behandlingsansvarlige;
• formålet med behandlingen;
• det rettslige grunnlaget for behandlingen (hvis berettiget interesse, informasjon om hvilke berettigede interesser som forfølges);
• kontaktinformasjonen til personvernombudet, PVO (hvis det er et PVO);
• mottakerne eller kategoriene av mottakere av opplysningene;
• sikkerhetsordningene for overvåkingsopptakene fra;
• oppbevaringsperioden for overvåkingsopptakene;
• rettighetene til de registrerte i henhold til GDPR og retten til å sende inn en klage til den nasjonale tilsynsmyndigheten.

Mer informasjon:

• Behandle personopplysninger lovlig
• Respekter enkeltindividers rettigheter

Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.

Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

• med samtykke fra berørte personer;
• der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
• for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
• når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
• for å beskytte en enkeltpersons vitale interesser;
• for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

• Behandle personopplysninger lovlig

Oppgaven til PVO inkluderer blant annet:

• å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
• å kontrollere etterlevelse av personvern;
• å gi råd om vurdering av personvernkonsekvenser (DPIA);
• å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
• å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

Mer informasjon:

• Personvernombud