Sjekkliste for ny behandling av personopplysninger

Skal det startes opp ny behandling av personopplysninger, er det som regel enkelte vurderinger som må gjøres og dokumentasjon som må på plass. Det kan ofte være lett å glemme en del av det som må gjøres, så nedenfor følger en sjekkliste jeg selv bruker og som kanskje kan være nyttig for flere.

Fortsett å lese Sjekkliste for ny behandling av personopplysninger

Standard kontraktsbestemmelser for databehandleravtale

Skal en databehandler behandle personopplysninger på vegne av en behandlingsansvarlig, må det inngås en databehandleravtale som dekker kravene i GDPR artikkel 28. Mange har brukt mye ressurser på utarbeidelse og inngåelse av databehandleravtaler, til tross for at dette bør være en ganske rett frem oppgave. Nå er det kommet standard kontraktsbestemmelser for databehandleravtaler fra Personvernrådet i EU (EDPB) som kan gjøre jobben noe enklere. Nedenfor kan standardbestemmelsene lastes ned i word-format og i norsk oversettelse. I tillegg har EDPB gjort avtalene tilgjengelig på flere språk her.

Fortsett å lese Standard kontraktsbestemmelser for databehandleravtale

Skolers utlevering av klasselister

Det har vært mye diskusjon om at skoler ikke deler klasselister både i media og for å ikke snakke om på de enkelte skoler. Selv har jeg vært på foreldremøter hvor det ble gitt beskjed om at klasselister ikke vil bli delt «pga. personvernregler og GDPR». Jeg mener å kunne litt om personvern og GDPR, og vet at dette ikke er riktig. Og man kan gi GDPR skylden for mye, men ikke dette.

Fortsett å lese Skolers utlevering av klasselister

Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?

Den 17. desember varslet Datatilsynet om det første overtredelsesgebyret under de nye reglene etter personvernforordningen (GDPR). Det var Bergen kommune som hadde eksponert personopplysninger til 35.000 brukere, og de er varslet et gebyr på kr 1,6 millioner for brudd på personopplysningssikkerheten, og da spesielt artikkel 32 i GDPR.

Fortsett å lese Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?

Behandlingsansvarlig eller databehandler?

Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn «fornorskede» versjoner av sjekklistene.

Fortsett å lese Behandlingsansvarlig eller databehandler?

Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernnemnda

Saken i personvernnemnda gjaldt en arbeidstaker som hadde fått to tilrettevisning (advarsel) fra arbeidsgiver som ble lagret i personalmappen (arbeidsgiver var offentlig virksomhet så arbeidsgiverforholdet ble regulert av tjenestemannsloven). Tilrettevisningene hadde vært lagret i personalmappen i hhv 7 år og 3 år og 9 mndr. Datatilsynet hadde avslått mannens begjæring om å få slettet tilrettevisningene. Personvernnemnda ga mannen rett til å få opplysningene slettet.

Fortsett å lese Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernnemnda