Data protection guide for small business logo
Close menu
Back to EDPB

Spørsmål og svar

Filter on
Filter on topic

Hvordan kan jeg innhente gyldig samtykke?

For at samtykke skal anses som gyldig, må det være:

  • frivillig;
  • spesifikt;
  • informert; og
  • utvetydig.

Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.

I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).

I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.

Mer informasjon:

Når skal du dele denne informasjonen?

Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.

Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:

  • hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
  • hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.

Mer informasjon:

Må virksomheten min etterleve GDPR?

Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.

Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.

Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.

Mer informasjon:

Hva er oppgavene til personvernombudet (PVO)?

Oppgaven til PVO inkluderer blant annet:

  • å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
  • å kontrollere etterlevelse av personvern;
  • å gi råd om vurdering av personvernkonsekvenser (DPIA);
  • å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
  • å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

Mer informasjon:

Hva er mitt ansvar i henhold til GDPR?

GDPR pålegger alle organisasjoner som behandler personopplysninger forpliktelser, uavhengig av om de er behandlingsansvarlige eller databehandlere.

Spesielt bør du:

  • Vurdere om formålet med innsamlingen av personopplysninger er berettiget, og bare samleinn personopplysninger som er nødvendige for de(n) bestemte formål;
  • Holde personopplysninger nøyaktige og oppdaterte, og slette opplysningene når de ikke lenger er nødvendig for formålet;
  • Respektere de registrertes rettigheter ved å informere dem om hvordan og hvorfor personopplysningenebehandles, og tilrettelegge for at de kan utøve sine rettigheter;
  • Vurdere om du har et passende rettslig grunnlag for behandling av personopplysninger. Dersom du benytter samtykke som rettslig grunnlag, må dette innhentes før behandlingen starter;
  • Sørge for at de registrertes personopplysninger håndteres på en sikker måte;
  • Opprettholde en protokoll over behandlingsaktiviteter.

Databehandlere må overholde det ansvaret som er fastsatt i den databehandleravtalen, og de må ikke behandle dataene på en annen måte enn i henhold til den behandlingsansvarliges instruksjoner.

Mer informasjon:

Hva er de grunnleggende prinsippene etter GDPR?

  • Enhver behandling av personopplysninger må være lovlig, rettferdig og åpen.
  • Personopplysninger kan bare samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Behandlingen av personopplysninger må være strengt begrenset til formålene som opprinnelig ble etablert, og kan derfor ikke behandles for andre formål som er uforenlige med de opprinnelige formålene.
  • Man kan bare behandle personopplysninger som er nødvendige og forholdsmessige i lys av de fastsatte formålene.
  • Personopplysninger som behandles må være korrekte og holdes oppdaterte. Unøyaktige personopplysninger må rettes eller slettes.
  • Lagringen av personopplysninger må begrenses i tid, i lys av formålet som disse ble samlet inn og behandlet for. Som sådan må personopplysninger slettes eller anonymiseres når disse dataene ikke lenger er nødvendige.
  • Personopplysninger må behandles på en sikker måte. Det må iverksettes robuste tiltak for cybersikkerhet, for å sikre at personopplysninger er tilstrekkelig beskyttet.

Avslutningsvis er det den behandlingsansvarlige virksomhet som er ansvarlig. Dette innebærer ansvar for å overholde og påvise etterlevelse av prinsippene ovenfor.

Mer informasjon:

Hvor lenge kan jeg lagre personopplysninger?

Du kan ikke lagre personopplysninger for alltid.

Personopplysninger kan som hovedregel bare lagres så lenge det er nødvendig for formålene som personopplysningene behandles for.

I noen tilfeller kan lagringsperioden bestemmes av spesifikke lover.

Virksomheter bør innføre retningslinjer for lagring av personopplysninger for å sikre at personopplysninger ikke lagres lenger enn nødvendig. Personopplysninger må slettes eller anonymiseres når disse ikke lenger er nødvendige for det formålet som de ble behandlet for.

Mer informasjon:

Trenger jeg en protokoll over behandlingsaktiviteter?

Generelt sett bør hver organisasjon holde oversikt over sine behandlingsaktiviteter. Dette er en oversikt over alle behandlingsaktiviteter og kan hjelpe deg med å gjøre riktige vurderinger av ditt ansvar etter GDPR og av mulige risikoer.

Hver av disse behandlingsaktivitetene skal beskrives i journalen med følgende opplysninger:

  • formålet med behandlingen (f.eks. kundelojalitet);
  • kategoriene av opplysninger som behandles (f.eks. for lønn: navn, fornavn, fødselsdato, lønn osv.);
  • hvem som har tilgang til opplysningene (mottakerne — f.eks.: avdelingen med ansvar for rekruttering, IT-tjeneste, ledelse, tjenesteleverandører, partnere...);
  • der det er relevant, opplysninger knyttet til overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområde (EØS);
  • der det er mulig, lagringsperioden (perioden som opplysningene er nyttige fra et operativt synspunkt, og fra et arkiveringsperspektiv).
  • der det er mulig, en generell beskrivelse av sikkerhetstiltakene.

Registreringen av behandlingsaktiviteter er underlagt ansvaret til virksomhetens leder.

Denne protokollen må være tilgjengelig på forespørsel fra tilsynsmyndigheten i EØS-landet der du opererer.

Det er ikke nødvendig for virksomheter som har færre enn 250 ansatte å nevne rent sporadiske aktiviteter i sin journal (f.eks. opplysninger behandlet for engangsarrangementer som åpning av en butikk).

 

Mer informasjon:

Hva er en interessekonflikt for et personvernombud (PVO)?

PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.

PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:

  • ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
  • ikke kan straffe eller avvise PVO for å utføre sine oppgaver.

Mer informasjon:

Hva skal jeg gjøre i tilfelle brudd på personopplysningssikkerheten?

Et brudd på personopplysninger er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger.

  • Hvis bruddet utgjør en risiko for de berørte personene, må du rapportere det til den relevante tilsynsmyndigheten innen 72 timer.
  • Hvis bruddet sannsynligvis vil føre til en høy risiko for berørte personer, må du også kommunisere bruddet til de berørte personene uten ugrunnet opphold.

I alle tilfeller, for alle brudd — selv de som ikke er varslet til en DPA — må du dokumentere i det minste de grunnleggende detaljene om bruddet, vurderingen av bruddet, virkninger av bruddet og trinnene som er tatt som respons.

Mer informasjon:

Hvordan kan jeg respektere enkeltpersoners personvernrettigheter?

GDPR gir enkeltpersoner en del rettigheter som må respekteres. Du kan gjøre dette ved å:

  • gi informasjon til de registrerte om dine behandlingsaktiviteter og formål ved innsamling av personopplysninger, for eksempel gjennom en personvernerklæring på virksomhetens hjemmeside;
  • besvare forespørsler fra registrerte om å utøve sine rettigheter, for eksempel forespørsler om innsyn, retting, sletting eller dataportabilititet.

Virksomheter som viser åpenhet rundtbruk av personopplysninger og som respekterer rettighetene til enkeltpersoner, blir mindre utsatt for klager.

Mer informasjon:

Hvordan kan jeg holde meg oppdatert på EDPBs arbeid?

EDPB publiserer jevnlig pressemeldinger, nyhetsartikler, blogginnlegg og annet innhold på EDPBs nettside og sosiale medier. (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) for å holde personvernmiljøet og allmennheten oppdatert med sitt arbeid.

EDPBs nettside har også to RSS-feeder, som du kan abonnere på for automatiske oppdateringer på EDPB- nyheter og EDPBs nyeste publikasjoner.

Hva er GDPR?

GDPR eller General Data Protection Regulation oppretter et harmonisert sett med regler som gjelder for all behandling av personopplysninger av virksomheter (offentlig eller privat, uavhengig av størrelse) etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller rettet mot enkeltpersoner i EU. Hovedformålet med GDPR er å sikre at personopplysninger har samme høye beskyttelsesstandard overalt i EØS, økt rettssikkerhet for både enkeltpersoner og virksomheter som behandler personopplysninger, og tilbyr en høy grad av beskyttelse for enkeltpersoner.

Forordningen trådte i kraft 24. mai 2016 og gjelder fra 25. mai 2018.

Gjelder GDPR også for papirjournaler?

Ja, GDPR gjelder hvis personopplysningene inngår eller skal inngå i et register. Dette betyr at GDPR også gjelder papirregistre, og ikke utelukkende automatisert behandling av personopplysninger.

Mer informasjon:

Hva er en felles behandlingsansvarlig?

Når det er to eller flere behandlingsansvarlige som i fellesskap bestemmer formålet og midlene for behandlingen, anses de som felles behandlingsansvarlige. De bestemmer seg sammen for å behandle personopplysninger for et felles formål. Felles behandlingsansvar kan ta mange former, og deltakelsen av de ulike ansvarlige kan være ulik. Felles behandlingsansvarlige må derfor bestemme sitt ansvar for etterlevelse av GDPR.

Det er viktig å merke seg at felles behandlingsansvar innebærer felles ansvar for en behandlingsaktivitet.

  • Eksempel på felles behandlingsansvar: Bedrifter A og B har lansert en felles merkevare og ønsker å organisere et arrangement for å markedsføre produktet. For dette formålet bestemmer de seg for å dele data fra sine respektive klient- og potensielle klientdatabaser, og lager en invitasjonsliste til arrangementet på dette grunnlaget. De er også enige om metoden for å sende invitasjonene til arrangementet, hvordan de samler inn tilbakemeldinger under arrangementet og etterfølgende markedsføring. Selskapene A og B kan anses som felles behandlingsansvarlige for behandling av personopplysninger knyttet til organiseringen av arrangementet, ettersom de sammen bestemmer seg for det felles definerte formålet og midlene for databehandlingen i denne sammenheng.

Mer informasjon:

Jeg organiserer et arrangement som en del av mine forretningsaktiviteter, kan jeg ta bilder og videoer av arrangementet og deltakerne?

Ja, men  først må du vurdere det rettslige grunnlaget for behandling av denne typen personopplysninger. Behandlingen kan for eksempel betraktes som en berettiget interesse for virksomheten din. Ved behandling av personopplysninger på grunnlag av berettiget interesse, er det alltid nødvendig å gjennomføre en balansetest for å avgjøre om dine  interesser veier tyngre enn den enkeltes rettigheter, særlig hvis barn er involvert.

Et annet mulig rettslig grunnlag for slik behandling kan være samtykke. I alle fall bør enkeltpersoner alltid informeres på forhånd om at arrangementet blir fotografert eller filmet.

Mer informasjon:

Hvis jeg ønsker å lagre kandidaters CVer til fremtidige rekrutteringsprosesser, må jeg be om kandidatenes samtykke?

Samtykke kan være et gyldig rettslig grunnlag for lagring av jobbsøkeres CVer. Et annet mulig rettslig grunnlag kan være berettiget interesse. I så fall må du gjennomføre en balansetest for å bevise at virksomhetens berettigede interesser veier tyngre enn søkernes personvern.

Du må uansett informere kandidatene om at du planlegger å lagre personopplysningene og for hvilke formål.

Mer informasjon:

Kan jeg bare behandle personopplysninger når jeg har samtykke fra den enkelte?

Behandling av personopplysninger er tillatt dersom det foreligger et rettslig grunnlag for det. I tillegg til et frivillig, spesifikt, informert og utvetydig samtykke, kan andre rettslige grunnlag for behandling også brukes.

Med andre ord, samtykke er nødvendig når ingen av de andre rettslige grunnlagene gjelder.

 

Mer informasjon:

Må jeg være sertifisert for å bli personvernombud (PVO)?

Nei, du trenger ikke å være sertifisert for å bli en PVO.

PVO må imidlertid være i stand til å demonstrere at de har de faglige kvalifikasjonene som kreves av GDPR, slik som dybdekunnskap om personvernlovgivning og praksis på området.

Mer informasjon:

Hva er en vurdering av personvernkonsekvenser, og når er dette obligatorisk?

En vurdering av personvernkonsekvenser eller DPIA er en skriftlig vurdering som virksomheten din bør gjøre for å evaluere virkningen av en planlagt behandlingsaktivitet. Det hjelper deg med å identifisere de riktige tiltakene for å håndtere risikoene, og for å demonstrere etterlevelse.

Selv om det alltid er å foretrekke å forutse virkningen av planlagte behandlingsaktiviteter i virksomheten ved å gjøre DPIA, er det bare obligatorisk å utføre en DPIA når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter.

Spesielt er dette tilfellet når den planlagte behandlingen innebærer:

  • behandling — i stor skala — av sensitive personopplysninger eller data knyttet til straffedommer;  
  • en systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning eller i betydelig grad påvirker den registrerte;
  • systematisk overvåking i stor skala av et offentlig tilgjengelig område.

EDPB har utarbeidet retningslinjer som viser hvilke kriterier du må ta hensyn til når du skal vurdere om en DPIA er obligatorisk eller ikke. Tilsynsmyndighetene (DPA) har også publisert lister over behandlingsaktiviteter som er underlagt krav om en DPIA. I tillegg har flere DPA-er utviklet veiledere, programvare eller egenvurderingsverktøy for å hjelpe deg med vurderingen din.

Mer informasjon: