Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

• Personvernombud

Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.

Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.

Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.

Mer informasjon:

• Grunnleggende personvern

PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.

Mer informasjon:

• Personvernombud

Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.

Mer informasjon:

• Grunnleggende personvern

Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.

Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.

Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.

Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.

• Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

GDPR pålegger alle organisasjoner som behandler personopplysninger forpliktelser, uavhengig av om de er behandlingsansvarlige eller databehandlere.

Spesielt bør du:

• Vurdere om formålet med innsamlingen av personopplysninger er berettiget, og bare samleinn personopplysninger som er nødvendige for de(n) bestemte formål;
• Holde personopplysninger nøyaktige og oppdaterte, og slette opplysningene når de ikke lenger er nødvendig for formålet;
• Respektere de registrertes rettigheter ved å informere dem om hvordan og hvorfor personopplysningenebehandles, og tilrettelegge for at de kan utøve sine rettigheter;
• Vurdere om du har et passende rettslig grunnlag for behandling av personopplysninger. Dersom du benytter samtykke som rettslig grunnlag, må dette innhentes før behandlingen starter;
• Sørge for at de registrertes personopplysninger håndteres på en sikker måte;
• Opprettholde en protokoll over behandlingsaktiviteter.

Databehandlere må overholde det ansvaret som er fastsatt i den databehandleravtalen, og de må ikke behandle dataene på en annen måte enn i henhold til den behandlingsansvarliges instruksjoner.

Mer informasjon:

• Etterlevelse
• Behandlingsansvarlig eller databehandler
• Grunnleggende e personvern

En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

PVO kan være en eksisterende ansatt med tilstrekkelig kunnskap om GDPR (hvis de faglige oppgavene til den ansatte er forenlige med rollen som PVO og dette ikke fører til interessekonflikter) eller en ekstern person. PVO bør kunne utføre oppgaver selvstendig og bør kunne rapportere direkte til den øverste ledelsen.

Mer informasjon:

• Personvernombud

GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:

• gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
• besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.

Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.

Mer informasjon:

• Respekter enkeltindividers rettigheter