Ofte stilte spørsmål
Hvis jeg ønsker å lagre kandidaters CVer til fremtidige rekrutteringsprosesser, må jeg be om kandidatenes samtykke?
Samtykke kan være et gyldig rettslig grunnlag for lagring av jobbsøkeres CVer. Et annet mulig rettslig grunnlag kan være berettiget interesse. I så fall må du gjennomføre en balansetest for å bevise at virksomhetens berettigede interesser veier tyngre enn søkernes personvern.
Du må uansett informere kandidatene om at du planlegger å lagre personopplysningene og for hvilke formål.
Mer informasjon:
Jeg organiserer et arrangement som en del av mine forretningsaktiviteter, kan jeg ta bilder og videoer av arrangementet og deltakerne?
Ja, men først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.
Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.
Mer informasjon:
Hva er en interessekonflikt for et personvernombud (PVO)?
PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.
PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:
- ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
- ikke kan straffe eller avvise PVO for å utføre sine oppgaver.
Mer informasjon:
Hva skal jeg gjøre i tilfelle brudd på personopplysningssikkerheten?
Et brudd på personopplysninger er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.
- Hvis bruddet utgjør en risiko for de berørte personene, må du rapportere det til den relevante tilsynsmyndigheten innen 72 timer.
- Hvis bruddet sannsynligvis vil føre til en høy risiko for berørte personer, må du også kommunisere bruddet til de berørte personene uten ugrunnet opphold.
I alle tilfeller, for alle brudd — selv de som ikke er varslet til en DPA — må du dokumentere i det minste de grunnleggende detaljene om bruddet, vurderingen av bruddet, virkninger av bruddet og trinnene som er tatt som respons.
Mer informasjon:
Hvordan kan jeg respektere enkeltpersoners personvernrettigheter?
GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:
- gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
- besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.
Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.
Mer informasjon:
Hvor lenge kan jeg lagre personopplysninger?
Du kan ikke lagre personopplysninger for alltid.
Personopplysninger kan som hovedregel bare lagres så lenge det er nødvendig for formålene som personopplysningene behandles for.
I noen tilfeller kan lagringsperioden bestemmes av spesifikke lover.
Virksomheter bør innføre retningslinjer for lagring av personopplysninger for å sikre at personopplysninger ikke lagres lenger enn nødvendig. Personopplysninger må slettes eller anonymiseres når disse ikke lenger er nødvendige for det formålet som de ble behandlet for.
Mer informasjon:
Hvordan kan jeg innhente gyldig samtykke?
For at samtykke skal anses som gyldig, må det være:
- frivillig;
- spesifikt;
- informert; og
- utvetydig.
Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.
I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).
I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.
Mer informasjon:
Når skal du dele denne informasjonen?
Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.
Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:
- hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
- hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.
Mer informasjon:
Hvordan kan jeg vite hvilke sikkerhetstiltak jeg må innføre?
De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:
- sikker tilgang til lokalene;
- bruke regelmessig oppdatert antivirusprogramvare;
- velg passordene dine nøye;
- få brukerne til å autentisere seg selv før de bruker datamaskiner;
- ha rutiner for backup og gjenopprettelse av data.
I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.
Mer informasjon:
Kan jeg publisere navnene på vinnerne av en konkurranse på virksomhetens hjemmeside?
Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.
En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.
I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.
Mer informasjon: