Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.

Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

• med samtykke fra berørte personer;
• der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
• for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
• når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
• for å beskytte en enkeltpersons vitale interesser;
• for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

• Behandle personopplysninger lovlig

Oppgaven til PVO inkluderer blant annet:

• å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
• å kontrollere etterlevelse av personvern;
• å gi råd om vurdering av personvernkonsekvenser (DPIA);
• å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
• å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

Mer informasjon:

• Personvernombud

En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner  om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».

I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:

• den behandlingsansvarliges identitet og kontaktopplysninger;
• formålet med behandlingen;
• det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
• den behandlingsansvarliges kontaktopplysninger;
• kontaktinformasjonen til personvernombudet (dersom relevant);
• mottakerne eller kategoriene av mottakere av opplysningene;
• informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
• kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.

I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:

• lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
• retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
• retten til å sende inn en klage til en tilsynsmyndighet;
• hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
• når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
• kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
• hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Du må svare uten ugrunnet opphold og senest innen en måned etter mottak av forespørselen. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er  komplisert og mer tid er nødvendig for å besvare den, forutsatt at den enkelte er informert om dette innen en måned etter mottak av forespørselen.

Du må gjøre dette gratis.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Ja, men  først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine  interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.

Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.

Mer informasjon:

• Behandle personopplysninger lovlig

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.

Mer informasjon:

• Internasjonale overføringer

Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.

Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

• Personvernombud