Ofte stilte spørsmål
Hva er de rettslige grunnlagene for behandling etter GDPR?
Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:
- med samtykke fra berørte personer;
- der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
- for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
- når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
- for å beskytte en enkeltpersons vitale interesser;
- for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.
I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.
Mer informasjon:
Kan jeg overføre personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS)?
I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.
Mer informasjon:
Hva er en vurdering av personvernkonsekvenser, og når er dette obligatorisk?
En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.
Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.
Spesielt er dette tilfellet når den planlagte behandlingen innebærer:
- behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;
- en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
- systematisk overvåking i stor skala av et offentlig tilgjengelig område.
EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.
Mer informasjon:
Hva er sanksjonene hvis organisasjonen min ikke etterlever GDPR eller hvis behandlingen bryter med GDPR?
Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.
Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer
Mer informasjon:
Hva er sensitive personopplysninger?
Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:
- helse;
- seksuelle orientering;
- rasemessig eller etniske opprinnelse;
- politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
- biometriske og genetiske opplysninger.
Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.
Mer informasjon:
Kan jeg bare behandle personopplysninger når jeg har samtykke fra den enkelte?
Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.
Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.
Mer informasjon:
Må jeg være sertifisert for å bli personvernombud (PVO)?
Nei, du trenger ikke å være sertifisert for å bli en PVO.
PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.
Mer informasjon:
Gjelder GDPR også for papirjournaler?
Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.
Mer informasjon:
Hva er en felles behandlingsansvarlig?
Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.
Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.
- Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.
Mer informasjon:
Hvis jeg ønsker å lagre kandidaters CVer til fremtidige rekrutteringsprosesser, må jeg be om kandidatenes samtykke?
Samtykke kan være et gyldig rettslig grunnlag for lagring av jobbsøkeres CVer. Et annet mulig rettslig grunnlag kan være berettiget interesse. I så fall må du gjennomføre en balansetest for å bevise at virksomhetens berettigede interesser veier tyngre enn søkernes personvern.
Du må uansett informere kandidatene om at du planlegger å lagre personopplysningene og for hvilke formål.
Mer informasjon: