Jeg har laget en mal for DPIA etter GDPR artikkel 35 som er tilgjengelig i Gyldendal Rettsdata fra i dag.
Fortsett å lese Mal for vurdering av personvernkonskvenser (DPIA)Forfatter: Jan Sandtrø
Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernnemnda
Saken i personvernnemnda gjaldt en arbeidstaker som hadde fått to tilrettevisning (advarsel) fra arbeidsgiver som ble lagret i personalmappen (arbeidsgiver var offentlig virksomhet så arbeidsgiverforholdet ble regulert av tjenestemannsloven). Tilrettevisningene hadde vært lagret i personalmappen i hhv 7 år og 3 år og 9 mndr. Datatilsynet hadde avslått mannens begjæring om å få slettet tilrettevisningene. Personvernnemnda ga mannen rett til å få opplysningene slettet.
Fortsett å lese Klargjøring av pliktene til å slette personopplysninger i personalmapper fra PersonvernnemndaGanske Dårlig Personvern Rådgivning
Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.
Ord man bør slutte å bruke i personvernsammenheng
Her er noen ord/uttrykk som skaper mer forvirring enn forklaring i GDPR/personvernssammenheng som man bør slutte å benytte.
Fortsett å lese Ord man bør slutte å bruke i personvernsammenheng
Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR
Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.
Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.
Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPRSett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger
Ustrukturerte personopplysninger (dvs. personopplysninger som ikke er organisert etter navn eller andre kriterier, som personopplysninger i epost, dokumenter på filområder mv.) er en utfordring for pliktene etter GDPR.
Veileder om behandlingsansvarlig og databehandler fra Datatilsynet
Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.
Fortsett å lese Veileder om behandlingsansvarlig og databehandler fra DatatilsynetFørste generelle rapport etter tilsyn under GDPR klar i Sverige med mange brudd
Den svenske Datainspektionen har hatt tilsyn i 412 selskaper og offentlige myndigheter for å undersøke om det er utnevnt og registrert personvernombud etter reglene i GDPR.
Fortsett å lese Første generelle rapport etter tilsyn under GDPR klar i Sverige med mange bruddKrever GDPR at databehandler gir en garanti til behandlingsansvarlig?
Etter GDPR artikkel 28 skal behandlingsansvarlig kun bruke «databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».
Fortsett å lese Krever GDPR at databehandler gir en garanti til behandlingsansvarlig?Personverninformasjon på Facebook-sider
I sommer avsa EU-domstolen en dom om behandlingsansvar for Facebook-sider, som fastslo at den som oppretter en Facebook-side har et felles behandlingsansvar med Facebook (se artikkel om dommen her).
Fortsett å lese Personverninformasjon på Facebook-sider