Ofte stilte spørsmål
Kan jeg publisere navnene på vinnerne av en konkurranse på virksomhetens hjemmeside?
Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.
En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.
I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.
Mer informasjon:
Hva skal jeg gjøre når noen spør hvordan jeg behandler personopplysningene deres?
Enkeltpersoner kan spørre deg om du behandler personopplysningene deres, og hvor dette er tilfellet har de rett til å få innsyn i disse personopplysningene. Så når dette skjer, og hvis du behandler personopplysningene deres, bør du for eksempel gi en kopi av personopplysningene, gratis, sammen med nødvendig tilleggsinformasjon. Når en forespørsel gjøres elektronisk, bør virksomheten gi de nødvendige opplysningene i et vanlig elektronisk format, med mindre den enkelte ber om noe annet.
Mer informasjon:
Er det mulig å behandle sensitive personopplysninger?
Nei, behandling av sensitive personopplysninger er i utgangspunktet forbudt.Det finnes noen unntak for svært spesifikke omstendigheter:
- Den enkelte har gitt sitt uttrykkelige samtykke til at sensitive opplysninger kan behandles.
- Behandlingen av sensitive opplysninger er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser, spesielt i forbindelse med arbeidsrett, trygderett og sosialrett. For eksempel kan den behandlingsansvarlige måtte behandle sensitive opplysninger for å avgjøre om en ansatt har rett til trygdeytelser eller ansettelsesstipend.
- Behandling av sensitive opplysninger er nødvendig for å verne den registrertes vitale interesser dersom vedkommende fysisk eller juridisk ikke er i stand til å samtykke. For eksempel, hvis en person blir etterlatt bevisstløs som følge av en ulykke og krever umiddelbar medisinsk behandling, kan deres helseopplysninger behandles for å sikre at det gis riktig medisinsk behandling.
- Behandlingen av sensitive opplysninger utføres i forbindelse med berettigede aktiviteter av en stiftelse, sammenslutning eller annet ideelt organ med et formål av politisk, filosofisk, religiøst eller fagforeningsmessig art, og bare for behandling av personopplysninger om organets medlemmer, tidligere medlemmer eller personer som har regelmessig kontakt med det.
- De sensitive opplysningene ble åpenbart offentliggjort av den registrerte selv.
- Behandling av sensitive opplysninger er nødvendig i forbindelse med rettssaker.
- Behandling av sensitive opplysninger er nødvendig for saker av viktige allmenne interesser.
- Behandling av sensitive opplysninger er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin. For eksempel kan det være nødvendig å vurdere en persons sensitive opplysninger, slik som helserelaterte opplysninger, for å vurdere vedkommendes arbeidskapasitet som ansatt.
- Behandling av sensitive opplysninger er nødvendig av allmenne folkehelsehensyn på grunnlag av EU- eller nasjonal lovgivning. For eksempel kan behandling av enkeltpersoners sensitive opplysninger være nødvendig for å sikre høy kvalitet på helsevesenet og en høy kvalitet på medisinske produkter, eller for å bekjempe alvorlige helsetrusler, for eksempel virus.
- Behandling av sensitive opplysninger er nødvendig for arkiveringsformål i allmennhetens interesse, eller for vitenskapelige eller historiske forskningsformål, eller statistiske formål. For eksempel kan behandling av sensitive opplysninger være nødvendig for å gi nøyaktig statistikk om situasjonen i et land innenfor et bestemt felt.
Mer informasjon:
Hva betyr behandling av personopplysninger?
Behandling av personopplysninger betyr enhver type operasjon (behandlingsaktivitet) som gjøres med personopplysninger. Dette inkluderer innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller på annen måte tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring av personopplysninger.
Hvor lang tid har jeg på å besvare en forespørsel om innsyn?
Du må svare uten ugrunnet opphold og senest innen en måned etter mottak av forespørselen. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er komplisert og mer tid er nødvendig for å besvare den, forutsatt at den enkelte er informert om dette innen en måned etter mottak av forespørselen.
Du må gjøre dette gratis.
Mer informasjon:
Hvordan kan jeg vite hvilke sikkerhetstiltak jeg må innføre?
De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:
- sikker tilgang til lokalene;
- bruke regelmessig oppdatert antivirusprogramvare;
- velg passordene dine nøye;
- få brukerne til å autentisere seg selv før de bruker datamaskiner;
- ha rutiner for backup og gjenopprettelse av data.
I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.
Mer informasjon:
Hvordan svarer jeg på en forespørsel om sletting?
Enkeltpersoner har rett til å be om sletting av personopplysninger om dem, og i så fall har den behandlingsansvarlige plikt til å slette personopplysningene. Du bør svare uten ugrunnet opphold og senest innen én måned. Denne fristen kan forlenges med ytterligere to måneder hvis forespørselen er kompleks, forutsatt at den registrerte blir informert om forsinkelsen senest én måned etter mottak av forespørselen.
Det er viktig å merke seg at retten til sletting ikke er absolutt. Retten til sletting gjelder ikke dersom behandlingen er nødvendig:
- for å utøve retten til ytrings- og informasjonsfrihet (f.eks. for journalistiske formål);
- for å oppfylle en rettslig forpliktelse som krever behandling av personopplysninger (f.eks. behandling av opplysninger om ansattes arbeidstid);
- av årsaker til offentlig interesse på folkehelseområdet;
- for arkiveringsformål i allmennhetens interesse eller vitenskapelige eller historiske forskningsformål eller statistiske formål; og
- for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Når personopplysningene som skal slettes tidligere har blitt utlevert eller overført til andre virksomheter, må du informere mottakerne om at den registrerte har bedt om sletting, med mindre dette er umulig eller vil kreve en uforholdsmessig innsats.
Mer informasjon:
Kan jeg ta opp telefonsamtaler med kunder for å forbedre kvaliteten på tjenesten, og trenger jeg samtykke til dette?
Ja, kundene dine må informeres idet telefonsamtalen starter om formålet med opptaket, eventuelle mottakere av opptaket, om retten til å protestere og retten til innsyn.
Mer informasjon:
Som behandlingsansvarlig har jeg samlet inn personopplysninger fra en tredjepart, hva må jeg gjøre for å sikre etterlevelse?
- Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
- I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.
Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.
Mer informasjon: