Ofte stilte spørsmål
Kan jeg publisere navnene på vinnerne av en konkurranse på virksomhetens hjemmeside?
Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.
En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.
I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.
Mer informasjon:
Som behandlingsansvarlig har jeg samlet inn personopplysninger fra en tredjepart, hva må jeg gjøre for å sikre etterlevelse?
- Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
- I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.
Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.
Mer informasjon:
Hva betyr behandling av personopplysninger?
Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.
Hvordan kan jeg innhente gyldig samtykke?
For at samtykke skal anses som gyldig, må det være:
- frivillig;
- spesifikt;
- informert; og
- utvetydig.
Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.
I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).
I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.
Mer informasjon:
Kan jeg bare behandle personopplysninger når jeg har samtykke fra den enkelte?
Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.
Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.
Mer informasjon:
Hva er en personvernerklæring?
Virksomheter skal, når det gjelder direkte innsamling av personopplysninger fra berørte personer, gi informasjon om behandlingsaktivitetene på en kortfattet og åpen måte, ved hjelp av forståelig, lett tilgjengelig måte og med et klart og enkelt språk. Dette kan gjøres skriftlig (f.eks. på baksiden av et tilbud) eller elektronisk (f.eks. på et nettsted). Hvis vedkommende ber om det, kan du også gi denne informasjonen muntlig, men du må kunne dokumentere dette.
Selv når opplysningene blir innsamlet indirekte, dvs. hvis du ikke direkte samler inn personopplysninger fra en person selv, men for eksempel via en tredjepart, må du gi den samme detaljerte informasjonen til de berørte.
Hva skal jeg gjøre når noen spør hvordan jeg behandler personopplysningene deres?
Enkeltpersoner kan spørre deg om du behandler personopplysningene deres, og hvor dette er tilfellet har de rett til å få innsyn i disse personopplysningene. Så når dette skjer, og hvis du behandler personopplysningene deres, bør du for eksempel gi en kopi av personopplysningene, gratis, sammen med nødvendig tilleggsinformasjon. Når en forespørsel gjøres elektronisk, bør virksomheten gi de nødvendige opplysningene i et vanlig elektronisk format, med mindre den enkelte ber om noe annet.
Mer informasjon:
Hvordan svarer jeg på en forespørsel om sletting?
Enkeltpersoner har rett til å be om sletting av personopplysninger om dem, og i så fall har den behandlingsansvarlige plikt til å slette personopplysningene. Du bør svare uten ugrunnet opphold og senest innen én måned. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er kompleks, forutsatt at den registrerte blir informert om forsinkelsen senest én måned etter mottak av forespørselen.
Det er viktig å merke seg at retten til sletting ikke er absolutt. Retten til sletting gjelder ikke dersom behandlingen er nødvendig:
- for å utøve retten til ytrings- og informasjonsfrihet (f.eks. for journalistiske formål);
- for å oppfylle en rettslig forpliktelse som krever behandling av personopplysninger (f.eks. behandling av opplysninger om ansattes arbeidstid);
- av årsaker til offentlig interesse på folkehelseområdet;
- for arkiveringsformål i allmennhetens interesse eller vitenskapelige eller historiske forskningsformål eller statistiske formål; og
- for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Når personopplysningene som skal slettes tidligere har blitt utlevert eller overført til andre virksomheter, må du informere mottakerne om at den registrerte har bedt om sletting, med mindre dette er umulig eller vil kreve en uforholdsmessig innsats.
Mer informasjon:
Kan jeg ta opp telefonsamtaler med kunder for å forbedre kvaliteten på tjenesten, og trenger jeg samtykke til dette?
Ja, kundene dine må informeres idet telefonsamtalen starter om formålet med opptaket, eventuelle mottakere av opptaket, om retten til å protestere og retten til innsyn.
Mer informasjon: