Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

• behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
• sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
• sørger for sikkerheten til behandlingen;
• ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
• bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
• bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
• etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
• gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
• muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.

Mer informasjon:

• Internasjonale overføringer

Det første trinnet for å installere CCTV er å identifisere formålet eller formålene med å gjøre det. Formålet med installasjon av CCTV kan variere, for eksempel sikre lokalenes sikkerhet, hjelpe til med å forebygge og avdekke tyveri og andre straffbare handlinger, eller beskyttelse av ansattes liv og helse som følge av arbeidets art.

Som med enhver behandling av personopplysninger, må registreringen av enkeltpersoner ha et rettslig grunnlag i henhold til GDPR. Samtykke kan gi et rettslig grunnlag for slik behandling. Dette er imidlertid lite aktuelt for bruk av CCTV i de fleste tilfeller, da det vil være vanskelig å få frivillig samtykke fra alle som sannsynligvis vil bli fanget opp. Det vanligste rettslige grunnlaget for denne typen behandling av personopplysninger er berettiget interesse. Når behandlingen er basert på en legitim interesse, må du utføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.

Du må informere enkeltpersoner om at de blir registrert. Dette kan gjøres ved å plassere lettleste skilt på synlige steder. I tillegg bør et skilt som angir formålet med CCTV-systemet og identiteten og kontaktopplysningene til den behandlingsansvarlige, plasseres ved alle innganger.

Personer som blir filmet av et CCTV-system, bør gis følgende informasjon:

• identiteten og kontaktopplysningene til den behandlingsansvarlige;
• formålet med behandlingen;
• det rettslige grunnlaget for behandlingen (hvis berettiget interesse, informasjon om hvilke berettigede interesser som forfølges);
• kontaktinformasjonen til personvernombudet, PVO (hvis det er et PVO);
• mottakerne eller kategoriene av mottakere av opplysningene;
• sikkerhetsordningene for overvåkingsopptakene fra;
• oppbevaringsperioden for overvåkingsopptakene;
• rettighetene til de registrerte i henhold til GDPR og retten til å sende inn en klage til den nasjonale tilsynsmyndigheten.

Mer informasjon:

• Behandle personopplysninger lovlig
• Respekter enkeltindividers rettigheter

Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.

Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

• med samtykke fra berørte personer;
• der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
• for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
• når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
• for å beskytte en enkeltpersons vitale interesser;
• for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

• Behandle personopplysninger lovlig

En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

• behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
• en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
• systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

Mer informasjon:

• Etterlevelse

Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.

Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.

 

Mer informasjon:

• Behandle personopplysninger lovlig

Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

• Personvernombud

Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.

Mer informasjon:

• Grunnleggende personvern

Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.

Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.

• Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.

Mer informasjon:

• Behandlingsansvarlig eller databehandler