Ofte stilte spørsmål
Hvor lenge kan jeg lagre personopplysninger?
Du kan ikke lagre personopplysninger for alltid.
Personopplysninger kan som hovedregel bare lagres så lenge det er nødvendig for formålene som personopplysningene behandles for.
I noen tilfeller kan lagringsperioden bestemmes av spesifikke lover.
Virksomheter bør innføre retningslinjer for lagring av personopplysninger for å sikre at personopplysninger ikke lagres lenger enn nødvendig. Personopplysninger må slettes eller anonymiseres når disse ikke lenger er nødvendige for det formålet som de ble behandlet for.
Mer informasjon:
Hvordan kan jeg respektere enkeltpersoners personvernrettigheter?
GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:
- gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
- besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.
Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.
Mer informasjon:
Hvordan kan jeg vite hvilke sikkerhetstiltak jeg må innføre?
De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:
- sikker tilgang til lokalene;
- bruke regelmessig oppdatert antivirusprogramvare;
- velg passordene dine nøye;
- få brukerne til å autentisere seg selv før de bruker datamaskiner;
- ha rutiner for backup og gjenopprettelse av data.
I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.
Mer informasjon:
Hvordan svarer jeg på en forespørsel om sletting?
Enkeltpersoner har rett til å be om sletting av personopplysninger om dem, og i så fall har den behandlingsansvarlige plikt til å slette personopplysningene. Du bør svare uten ugrunnet opphold og senest innen én måned. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er kompleks, forutsatt at den registrerte blir informert om forsinkelsen senest én måned etter mottak av forespørselen.
Det er viktig å merke seg at retten til sletting ikke er absolutt. Retten til sletting gjelder ikke dersom behandlingen er nødvendig:
- for å utøve retten til ytrings- og informasjonsfrihet (f.eks. for journalistiske formål);
- for å oppfylle en rettslig forpliktelse som krever behandling av personopplysninger (f.eks. behandling av opplysninger om ansattes arbeidstid);
- av årsaker til offentlig interesse på folkehelseområdet;
- for arkiveringsformål i allmennhetens interesse eller vitenskapelige eller historiske forskningsformål eller statistiske formål; og
- for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Når personopplysningene som skal slettes tidligere har blitt utlevert eller overført til andre virksomheter, må du informere mottakerne om at den registrerte har bedt om sletting, med mindre dette er umulig eller vil kreve en uforholdsmessig innsats.
Mer informasjon:
Kan jeg bare behandle personopplysninger når jeg har samtykke fra den enkelte?
Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.
Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.
Mer informasjon:
Kan jeg publisere navnene på vinnerne av en konkurranse på virksomhetens hjemmeside?
Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.
En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.
I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.
Mer informasjon:
Kan jeg ta opp telefonsamtaler med kunder for å forbedre kvaliteten på tjenesten, og trenger jeg samtykke til dette?
Ja, kundene dine må informeres idet telefonsamtalen starter om formålet med opptaket, eventuelle mottakere av opptaket, om retten til å protestere og retten til innsyn.
Mer informasjon:
Når skal du dele denne informasjonen?
Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.
Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:
- hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
- hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.
Mer informasjon:
Som behandlingsansvarlig har jeg samlet inn personopplysninger fra en tredjepart, hva må jeg gjøre for å sikre etterlevelse?
- Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
- I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.
Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.
Mer informasjon: