Data protection guide for small business logo
Close menu
Back to EDPB

Spørsmål og svar

Filter on
Filter on topic

Hva er de rettslige grunnlagene for behandling etter GDPR?

Behandlingsansvarlig kan bare behandle personopplysninger under en av følgende omstendigheter:

  • med samtykke fra berørte personer;
  • der behandling er nødvendig for å oppfylle en avtale (en kontrakt mellom virksomheten og en person);
  • for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal rett;
  • når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse i henhold til EU eller nasjonal lovgivning;
  • for å beskytte en enkeltpersons vitale interesser;
  • for virksomhetens berettigede interesser — med mindre enkeltpersoners rettigheter og friheter veier tyngre.

I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.

Mer informasjon:

Må databehandlere også følge GDPR?

Ja, databehandlere (dvs. enkeltpersoner eller organer som behandler personopplysninger på vegne av en behandlingsansvarlig), har forpliktelser i henhold til GDPR. Det er imidlertid noen forskjeller mellom ansvaret for behandlingsansvarlige og databehandlere.

Databehandlere må overholde det ansvaret som er fastsatt i databehandleravtalen, som beskriver behandlingsaktivitetene og midlene til å behandle personopplysninger. For eksempel må databehandleren utføre behandlingsaktivitetene med egnede tekniske og organisatoriske tiltak som instruert av den behandlingsansvarlige. Ved å gjøre dette hjelper databehandleren den behandlingsansvarlige med å sikre etterlevelse av GDPR.

Mer informasjon:

Hva bør en databehandleravtale inneholde?

Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

  • behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
  • sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
  • sørger for sikkerheten til behandlingen;
  • ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
  • bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
  • bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
  • etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
  • gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
  • muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

Kan jeg overføre personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS)?

I henhold til GDPR er det i prinsippet to hovedmåter for overføring av personopplysninger til et land utenfor EØS eller en internasjonal organisasjon. Overføringer kan skje på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå, eller, i mangel av en slik beslutning, på grunnlag av nødvendige garantier, herunder håndhevbare rettigheter og effektive rettsmidler.

Mer informasjon:

Er personvernombudet (PVO) ansvarlig for etterlevelse av GDPR?

PVO kan ikke holdes ansvarlig for manglende etterlevelse av GDPR. Ansvaret for etterlevelse av GDPR ligger hos virksomheten som utnevnte PVO.

Mer informasjon:

Kan jeg sette opp en lukket CCTV i virksomhetens lokaler for å beskytte eiendommen min?

Det første trinnet for å installere CCTV er å identifisere formålet eller formålene med å gjøre det. Formålet med installasjon av CCTV kan variere, for eksempel sikre lokalenes sikkerhet, hjelpe til med å forebygge og avdekke tyveri og andre straffbare handlinger, eller beskyttelse av ansattes liv og helse som følge av arbeidets art.

Som med enhver behandling av personopplysninger, må registreringen av enkeltpersoner ha et rettslig grunnlag i henhold til GDPR. Samtykke kan gi et rettslig grunnlag for slik behandling. Dette er imidlertid lite aktuelt for bruk av CCTV i de fleste tilfeller, da det vil være vanskelig å få frivillig samtykke fra alle som sannsynligvis vil bli fanget opp. Det vanligste rettslige grunnlaget for denne typen behandling av personopplysninger er berettiget interesse. Når behandlingen er basert på en legitim interesse, må du utføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.

Du må informere enkeltpersoner om at de blir registrert. Dette kan gjøres ved å plassere lettleste skilt på synlige steder. I tillegg bør et skilt som angir formålet med CCTV-systemet og identiteten og kontaktopplysningene til den behandlingsansvarlige, plasseres ved alle innganger.

Personer som blir filmet av et CCTV-system, bør gis følgende informasjon:

  • identiteten og kontaktopplysningene til den behandlingsansvarlige;
  • formålet med behandlingen;
  • det rettslige grunnlaget for behandlingen (hvis berettiget interesse, informasjon om hvilke berettigede interesser som forfølges);
  • kontaktinformasjonen til personvernombudet, PVO (hvis det er et PVO);
  • mottakerne eller kategoriene av mottakere av opplysningene;
  • sikkerhetsordningene for overvåkingsopptakene fra;
  • oppbevaringsperioden for overvåkingsopptakene;
  • rettighetene til de registrerte i henhold til GDPR og retten til å sende inn en klage til den nasjonale tilsynsmyndigheten.

Mer informasjon:

Hvilken informasjon skal jeg kommunisere med/dele med enkeltpersoner?

GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner  om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».

I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:

  • den behandlingsansvarliges identitet og kontaktopplysninger;
  • formålet med behandlingen;
  • det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
  • den behandlingsansvarliges kontaktopplysninger;
  • kontaktinformasjonen til personvernombudet (dersom relevant);
  • mottakerne eller kategoriene av mottakere av opplysningene;
  • informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
  • kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.

I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:

  • lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
  • retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
  • retten til å sende inn en klage til en tilsynsmyndighet;
  • hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
  • når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
  • kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
  • hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.

Mer informasjon:

Hva er cookies?

Informasjonskapsler er små filer som lagres på en enhet, for eksempel en datamaskin, en mobil enhet eller en hvilken som helst annen enhet som kan lagre informasjon. Informasjonskapsler tjener en rekke viktige funksjoner, inkludert å huske brukere og deres tidligere interaksjoner med et nettsted. De kan brukes til å holde oversikt over elementer i en online handlekurv eller for å holde styr på informasjon når detaljer er satt inn i et elektronisk søknadsskjema.

Autentiseringsinformasjonskapsler er også viktige for å identifisere brukere når de logger seg på banktjenester og andre elektroniske tjenester. Informasjonen som lagres i informasjonskapsler kan inneholde personopplysninger, for eksempel en IP-adresse, et brukernavn, en unik identifikator eller en e-postadresse.

Hva er sanksjonene hvis organisasjonen min ikke etterlever GDPR eller hvis behandlingen bryter med GDPR?

Overholdelse av GDPR overvåkes av de nasjonale tilsynsmyndighetene (DPA). En DPA kan gjennomføre undersøkelser og sanksjonere der det er nødvendig. DPA har en rekke verktøy til rådighet, inkludert bøter opp til 20 millioner euro eller 4 % av den gglobale årsomsetningen, avhengig av hvilket beløp som er høyest, i tillegg til irettesettelser og midlertidige eller permanente forbud mot behandling.

Kontaktinformasjon for alle DPA-er i EØS finner du på EDPBs nettside: Medlemmer

Mer informasjon: