En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Du må svare uten ugrunnet opphold og senest innen en måned etter mottak av forespørselen. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er  komplisert og mer tid er nødvendig for å besvare den, forutsatt at den enkelte er informert om dette innen en måned etter mottak av forespørselen.

Du må gjøre dette gratis.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.

Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:

• hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
• hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.

Mer informasjon:

• Respekter enkeltpersoners rettigheter

Oppgaven til PVO inkluderer blant annet:

• å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
• å kontrollere etterlevelse av personvern;
• å gi råd om vurdering av personvernkonsekvenser (DPIA);
• å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
• å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

Mer informasjon:

• Personvernombud

PVO kan være en eksisterende ansatt med tilstrekkelig kunnskap om GDPR (hvis de faglige oppgavene til den ansatte er forenlige med rollen som PVO og dette ikke fører til interessekonflikter) eller en ekstern person. PVO bør kunne utføre oppgaver selvstendig og bør kunne rapportere direkte til den øverste ledelsen.

Mer informasjon:

• Personvernombud

De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:

• sikker tilgang til lokalene;
• bruke regelmessig oppdatert antivirusprogramvare;
• velg passordene dine nøye;
• få brukerne til å autentisere seg selv før de bruker datamaskiner;
• ha rutiner for backup og gjenopprettelse av data.

I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.

Mer informasjon:

• Sikre personopplysninger

Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.

En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.

I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.

Mer informasjon:

• Behandle personopplysninger lovlig

1. Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
2. I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.

Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Nei, behandling av sensitive personopplysninger er i utgangspunktet forbudt.Det finnes noen unntak for svært spesifikke omstendigheter:

• Den enkelte har gitt sitt uttrykkelige samtykke til at sensitive opplysninger kan behandles.
• Behandlingen av sensitive opplysninger er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser, spesielt i forbindelse med arbeidsrett, trygderett og sosialrett. For eksempel kan den behandlingsansvarlige måtte behandle sensitive opplysninger for å avgjøre om en ansatt har rett til trygdeytelser eller ansettelsesstipend.
• Behandling av sensitive opplysninger er nødvendig for å verne den registrertes vitale interesser dersom vedkommende  fysisk eller juridisk ikke er i stand til å samtykke. For eksempel, hvis en person blir etterlatt bevisstløs som følge av en ulykke og krever umiddelbar medisinsk behandling, kan deres helseopplysninger behandles for å sikre at det gis riktig medisinsk behandling.
• Behandlingen av sensitive opplysninger utføres i forbindelse med berettigede aktiviteter av en stiftelse, sammenslutning eller annet ideelt organ med et formål av politisk, filosofisk, religiøst eller fagforeningsmessig art, og bare for behandling av personopplysninger om organets medlemmer, tidligere medlemmer eller personer som har regelmessig kontakt med det.
• De sensitive opplysningene ble åpenbart offentliggjort av den registrerte selv.
• Behandling av sensitive opplysninger er nødvendig i forbindelse med rettssaker.
• Behandling av sensitive opplysninger er nødvendig for saker av viktige allmenne interesser.
• Behandling av sensitive opplysninger er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin. For eksempel kan det være nødvendig å vurdere en persons sensitive opplysninger, slik som helserelaterte opplysninger, for å vurdere vedkommendes arbeidskapasitet som ansatt.
• Behandling av sensitive opplysninger er nødvendig av allmenne folkehelsehensyn på grunnlag av EU- eller nasjonal lovgivning. For eksempel kan behandling av enkeltpersoners sensitive opplysninger være nødvendig for å sikre høy kvalitet på helsevesenet og en høy kvalitet på medisinske produkter, eller for å bekjempe alvorlige helsetrusler, for eksempel virus.
• Behandling av sensitive opplysninger er nødvendig for arkiveringsformål i allmennhetens interesse, eller for vitenskapelige eller historiske forskningsformål, eller statistiske formål. For eksempel kan behandling av sensitive opplysninger være nødvendig for å gi nøyaktig statistikk om situasjonen i et land innenfor et bestemt felt.

Mer informasjon:

• Behandle personopplysninger lovlig

PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.

PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:

• ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
• ikke kan straffe eller avvise PVO for å utføre sine oppgaver.

Mer informasjon:

• Personvernombud