Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.

Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.

Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.

Mer informasjon:

• Grunnleggende personvern

PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.

Mer informasjon:

• Personvernombud

Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.

Mer informasjon:

• Grunnleggende personvern

Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.

Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.

• Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.

Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

GDPR pålegger alle organisasjoner som behandler personopplysninger forpliktelser, uavhengig av om de er behandlingsansvarlige eller databehandlere.

Spesielt bør du:

• Vurdere om formålet med innsamlingen av personopplysninger er berettiget, og bare samleinn personopplysninger som er nødvendige for de(n) bestemte formål;
• Holde personopplysninger nøyaktige og oppdaterte, og slette opplysningene når de ikke lenger er nødvendig for formålet;
• Respektere de registrertes rettigheter ved å informere dem om hvordan og hvorfor personopplysningenebehandles, og tilrettelegge for at de kan utøve sine rettigheter;
• Vurdere om du har et passende rettslig grunnlag for behandling av personopplysninger. Dersom du benytter samtykke som rettslig grunnlag, må dette innhentes før behandlingen starter;
• Sørge for at de registrertes personopplysninger håndteres på en sikker måte;
• Opprettholde en protokoll over behandlingsaktiviteter.

Databehandlere må overholde det ansvaret som er fastsatt i den databehandleravtalen, og de må ikke behandle dataene på en annen måte enn i henhold til den behandlingsansvarliges instruksjoner.

Mer informasjon:

• Etterlevelse
• Behandlingsansvarlig eller databehandler
• Grunnleggende e personvern

GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner  om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».

I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:

• den behandlingsansvarliges identitet og kontaktopplysninger;
• formålet med behandlingen;
• det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
• den behandlingsansvarliges kontaktopplysninger;
• kontaktinformasjonen til personvernombudet (dersom relevant);
• mottakerne eller kategoriene av mottakere av opplysningene;
• informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
• kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.

I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:

• lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
• retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
• retten til å sende inn en klage til en tilsynsmyndighet;
• hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
• når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
• kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
• hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.

Mer informasjon:

• Respekter enkeltindividers rettigheter

GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:

• gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
• besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.

Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Utnevnelsen av et PVO er obligatorisk i følgende tre tilfeller:

• virksomheten er en offentlig myndighet;
• virksomhetens kjernevirksomhet består av regelmessig og systematisk overvåking av enkeltpersoner i stor skala, for eksempel geolokasjon via en mobil applikasjon, eller overvåking av kjøpesentre og offentlige rom gjennom CCTV;
• virksomhetens kjernevirksomhet består av storskala behandling av sensitive opplysninger eller personopplysninger knyttet til straffedommer og lovbrudd.

Du kan alltid utnevne et PVOpå frivillig basis, selv om dette ikke er lovpålagt. Vær oppmerksom på at du i så fall må overholde alle bestemmelsene i GDPR om oppgavene og stillingen til personvernombudet.

Mer informasjon:

• Personvernombud

En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

• behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
• en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
• systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

Mer informasjon:

• Etterlevelse