En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

• behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
• en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
• systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

Mer informasjon:

• Etterlevelse

PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.

PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:

• ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
• ikke kan straffe eller avvise PVO for å utføre sine oppgaver.

Mer informasjon:

• Personvernombud

En gyldig avtale mellom behandlingsansvarlig og databehandler er obligatorisk i henhold til GDPR. En overtredelse kan være underlagt en administrativ bot opp til 10 millioner euro eller opptil 2 % av den globale årsomsetningen av virksomheten, avhengig av hvilket beløp som er høyest.

For å hjelpe deg når du oppretter en databehandleravtale, har de danske og slovenske tilsynsmyndighetene, samt EU-kommisjonen, utviklet maler for slike avtaler.

Mer informasjon:

• Behandlingsansvarlig eller databehandler

Et brudd på personopplysninger er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.

• Hvis bruddet utgjør en risiko for de berørte personene, må du rapportere det til den relevante tilsynsmyndigheten innen 72 timer.
• Hvis bruddet sannsynligvis vil føre til en høy risiko for berørte personer, må du også kommunisere bruddet til de berørte personene uten ugrunnet opphold.

I alle tilfeller, for alle brudd — selv de som ikke er varslet til en DPA — må du dokumentere i det minste de grunnleggende detaljene om bruddet, vurderingen av bruddet, virkninger av bruddet og trinnene som er tatt som respons.

Mer informasjon:

• Brudd på personopplysningssikkerheten

Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

• Personvernombud

GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:

• gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
• besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.

Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.

Mer informasjon:

• Respekter enkeltindividers rettigheter

Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.

Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:

• hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
• hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.

Mer informasjon:

• Respekter enkeltpersoners rettigheter

Virksomheter skal, når det gjelder direkte innsamling av personopplysninger fra berørte personer, gi informasjon om behandlingsaktivitetene på en kortfattet og åpen måte, ved hjelp av forståelig, lett tilgjengelig måte og med et klart og enkelt språk. Dette kan gjøres skriftlig (f.eks. på baksiden av et tilbud) eller elektronisk (f.eks. på et nettsted). Hvis vedkommende ber om det, kan du også gi denne informasjonen muntlig, men du må kunne dokumentere dette.

Selv når opplysningene blir innsamlet indirekte, dvs. hvis du ikke direkte samler inn personopplysninger fra en person selv, men for eksempel via en tredjepart, må du gi den samme detaljerte informasjonen til de berørte.

Du kan ikke lagre personopplysninger for alltid.

Personopplysninger kan som hovedregel bare lagres så lenge det er nødvendig for formålene som personopplysningene behandles for.

I noen tilfeller kan lagringsperioden bestemmes av spesifikke lover.

Virksomheter bør innføre retningslinjer for lagring av personopplysninger for å sikre at personopplysninger ikke lagres lenger enn nødvendig. Personopplysninger må slettes eller anonymiseres når disse ikke lenger er nødvendige for det formålet som de ble behandlet for.

Mer informasjon:

• Grunnleggende personvern

For at samtykke skal anses som gyldig, må det være:

• frivillig;
• spesifikt;
• informert; og
• utvetydig.

Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.

I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).

I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.

Mer informasjon:

• Lovlig behandling av personopplysninger