Ofte stilte spørsmål
Jeg organiserer et arrangement som en del av mine forretningsaktiviteter, kan jeg ta bilder og videoer av arrangementet og deltakerne?
Ja, men først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.
Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.
Mer informasjon:
Må databehandlere også følge GDPR?
Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.
Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.
Mer informasjon:
Hva er en interessekonflikt for et personvernombud (PVO)?
PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.
PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:
- ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
- ikke kan straffe eller avvise PVO for å utføre sine oppgaver.
Mer informasjon:
Som behandlingsansvarlig har jeg samlet inn personopplysninger fra en tredjepart, hva må jeg gjøre for å sikre etterlevelse?
- Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
- I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.
Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.
Mer informasjon:
Hva betyr behandling av personopplysninger?
Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.
Hva skal jeg gjøre i tilfelle brudd på personopplysningssikkerheten?
Et brudd på personopplysninger er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.
- Hvis bruddet utgjør en risiko for de berørte personene, må du rapportere det til den relevante tilsynsmyndigheten innen 72 timer.
- Hvis bruddet sannsynligvis vil føre til en høy risiko for berørte personer, må du også kommunisere bruddet til de berørte personene uten ugrunnet opphold.
I alle tilfeller, for alle brudd — selv de som ikke er varslet til en DPA — må du dokumentere i det minste de grunnleggende detaljene om bruddet, vurderingen av bruddet, virkninger av bruddet og trinnene som er tatt som respons.
Mer informasjon:
Hvordan kan jeg innhente gyldig samtykke?
For at samtykke skal anses som gyldig, må det være:
- frivillig;
- spesifikt;
- informert; og
- utvetydig.
Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.
I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).
I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.
Mer informasjon:
Hvordan kan jeg respektere enkeltpersoners personvernrettigheter?
GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:
- gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
- besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.
Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.
Mer informasjon:
Når skal du dele denne informasjonen?
Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.
Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:
- hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
- hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.
Mer informasjon:
Hva er en personvernerklæring?
Virksomheter skal, når det gjelder direkte innsamling av personopplysninger fra berørte personer, gi informasjon om behandlingsaktivitetene på en kortfattet og åpen måte, ved hjelp av forståelig, lett tilgjengelig måte og med et klart og enkelt språk. Dette kan gjøres skriftlig (f.eks. på baksiden av et tilbud) eller elektronisk (f.eks. på et nettsted). Hvis vedkommende ber om det, kan du også gi denne informasjonen muntlig, men du må kunne dokumentere dette.
Selv når opplysningene blir innsamlet indirekte, dvs. hvis du ikke direkte samler inn personopplysninger fra en person selv, men for eksempel via en tredjepart, må du gi den samme detaljerte informasjonen til de berørte.