Ofte stilte spørsmål
Hvilken informasjon skal jeg kommunisere med/dele med enkeltpersoner?
GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».
I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:
- den behandlingsansvarliges identitet og kontaktopplysninger;
- formålet med behandlingen;
- det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
- den behandlingsansvarliges kontaktopplysninger;
- kontaktinformasjonen til personvernombudet (dersom relevant);
- mottakerne eller kategoriene av mottakere av opplysningene;
- informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
- kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.
I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:
- lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
- retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
- retten til å sende inn en klage til en tilsynsmyndighet;
- hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
- når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
- kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
- hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.
Mer informasjon:
Er personvernombudet (PVO) ansvarlig for etterlevelse av GDPR?
PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.
Mer informasjon:
Hva er sanksjonene hvis organisasjonen min ikke etterlever GDPR eller hvis behandlingen bryter med GDPR?
Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.
Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer
Mer informasjon:
Kan jeg sette opp en lukket CCTV i virksomhetens lokaler for å beskytte eiendommen min?
Det første trinnet for å installere CCTV er å identifisere formålet eller formålene med å gjøre det. Formålet med installasjon av CCTV kan variere, for eksempel sikre lokalenes sikkerhet, hjelpe til med å forebygge og avdekke tyveri og andre straffbare handlinger, eller beskyttelse av ansattes liv og helse som følge av arbeidets art.
Som med enhver behandling av personopplysninger, må registreringen av enkeltpersoner ha et rettslig grunnlag i henhold til GDPR. Samtykke kan gi et rettslig grunnlag for slik behandling. Dette er imidlertid lite aktuelt for bruk av CCTV i de fleste tilfeller, da det vil være vanskelig å få frivillig samtykke fra alle som sannsynligvis vil bli fanget opp. Det vanligste rettslige grunnlaget for denne typen behandling av personopplysninger er berettiget interesse. Når behandlingen er basert på en legitim interesse, må du utføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.
Du må informere enkeltpersoner om at de blir registrert. Dette kan gjøres ved å plassere lettleste skilt på synlige steder. I tillegg bør et skilt som angir formålet med CCTV-systemet og identiteten og kontaktopplysningene til den behandlingsansvarlige, plasseres ved alle innganger.
Personer som blir filmet av et CCTV-system, bør gis følgende informasjon:
- identiteten og kontaktopplysningene til den behandlingsansvarlige;
- formålet med behandlingen;
- det rettslige grunnlaget for behandlingen (hvis berettiget interesse, informasjon om hvilke berettigede interesser som forfølges);
- kontaktinformasjonen til personvernombudet, PVO (hvis det er et PVO);
- mottakerne eller kategoriene av mottakere av opplysningene;
- sikkerhetsordningene for overvåkingsopptakene fra;
- oppbevaringsperioden for overvåkingsopptakene;
- rettighetene til de registrerte i henhold til GDPR og retten til å sende inn en klage til den nasjonale tilsynsmyndigheten.
Mer informasjon:
Gjelder GDPR også for papirjournaler?
Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.
Mer informasjon:
Hva er en felles behandlingsansvarlig?
Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.
Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.
- Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.
Mer informasjon:
Hva er sensitive personopplysninger?
Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:
- helse;
- seksuelle orientering;
- rasemessig eller etniske opprinnelse;
- politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
- biometriske og genetiske opplysninger.
Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.
Mer informasjon:
Hvis jeg ønsker å lagre kandidaters CVer til fremtidige rekrutteringsprosesser, må jeg be om kandidatenes samtykke?
Samtykke kan være et gyldig rettslig grunnlag for lagring av jobbsøkeres CVer. Et annet mulig rettslig grunnlag kan være berettiget interesse. I så fall må du gjennomføre en balansetest for å bevise at virksomhetens berettigede interesser veier tyngre enn søkernes personvern.
Du må uansett informere kandidatene om at du planlegger å lagre personopplysningene og for hvilke formål.
Mer informasjon:
Jeg organiserer et arrangement som en del av mine forretningsaktiviteter, kan jeg ta bilder og videoer av arrangementet og deltakerne?
Ja, men først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.
Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.
Mer informasjon:
Må databehandlere også følge GDPR?
Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.
Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.
Mer informasjon: