GDPR ordliste » Side 2

GDPR ordliste

Med "automatisert" menes all behandling av personopplysninger som skjer med elektroniske hjelpemidler.
«Behandling» er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. Se artikkel 4 punkt 2.
«Behandlingsansvarlig» er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett. Se artikkel 4 punkt 7.
«Berørt tilsynsmyndighet» en tilsynsmyndighet som er berørt av en behandling av personopplysninger, fordi a) den behandlingsansvarlige eller databehandleren er etablert på territoriet til nevnte tilsynsmyndighets medlemsstat, b) registrerte som er bosatt i nevnte tilsynsmyndighets medlemsstat, i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen, eller c) det er klaget til nevnte tilsynsmyndighet Se artikkel 4 punkt 22.
«Bindende virksomhetsregler» er retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats territorium, følger i forbindelse med en overføring eller en rekke overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i én eller flere tredjestater internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet. Se artikkel 4 punkt 20.
«Biometriske opplysninger» er personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger. Se artikkel 4 punkt 14.
«Brudd på personopplysningssikkerheten» er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Se artikkel 4 punkt 12.
«Databehandler» er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Se artikkel 4 punkt 8.
"EDPB" er kort for European Data Protection Board som er det europeiske personvernråd ("personvernrådet"), se mer GDPR artikkel 68.
"EUs personvernråd", også omtalt som "personvernrådet" eller "EDPB" (som står for European Data Protection Board, er det europeiske personvernråd, se mer GDPR artikkel 68.
«Foretak» er en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet. Se artikkel 4 punkt 7.
Med "forordningen" menes personvernforordningen (GDPR).
Med "fysisk person" menes et menneske (i motsetning til "juridisk person" som er selskap, organisasjon, foreningen mv.).
«Genetiske opplysninger» er personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen. Se artikkel 4 punkt 13.
«Grenseoverskridende behandling» er: a) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers virksomheter i mer enn én medlemsstat, dersom den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller b) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers eneste virksomhet i Unionen, men som i betydelig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat. Se artikkel 4 punkt 22.
«Helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand. Se artikkel 4 punkt 15.
«Hovedvirksomhet» er: a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten, b) når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning, Se artikkel 4 punkt 16.
«Informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/1535. Se artikkel 4 punkt 25.
«Internasjonal organisasjon» er en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater. Se artikkel 4 punkt 26.
Med "juridisk person" menes et selskap, organisasjon, forening mv. (i motsetning til "fysisk person" som er et menneske).
«Konsern» et foretak som utøver kontroll, og dets kontrollerte foretak. Se artikkel 4 punkt 19.
«Mottaker» er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen. Se artikkel 4 punkt 9.
"Pakten" er Den europeiske unions pakt om grunnleggende rettigheter (engelsk: European Social Charter) som fastslår sosiale og økonomiske rettigheter for borgere og beboere i Den europeiske union (EU).
"Pakten" er Den europeiske unions pakt om grunnleggende rettigheter (engelsk: European Social Charter) som fastslår sosiale og økonomiske rettigheter for borgere og beboere i Den europeiske union (EU).
«Personopplysninger» er enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Se artikkel 4 punkt 1.
«Profilering» er enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser. Se artikkel 4 punkt 4.
«Pseudonymisering» er behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person. Se artikkel 4 punkt 5.
«Register» er enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag. Se artikkel 4 punkt 5.
Med "registrert" menes den fysiske personen som personopplysningene vedrører.
«Relevant og begrunnet innsigelse» er en innsigelse mot et utkast til avgjørelse om hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen. Se artikkel 4 punkt 24.
«Representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning. Se artikkel 4 punkt 17.
Henvisningen til "rettigheter og friheter" i personvernforordningen er en henvisning til de registrertes (fysiske personers) rett til beskyttelse av personopplysninger og personvern, men også fundamentale menneskerettigheter som bl.a. ytringsfrihet, religionsfrihet mv.
Med "særlige kategorier personopplysninger" menes personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk personhelseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Se artikkel 9.
«Samtykke» fra den registrerte er enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende. Se artikkel 4 punkt 11.
I følge Artikkel 29-gruppen (nå Personvernrådet) skal følgende faktorer vektlegges når det tas stilling til om en behandling av personopplysninger skjer i «stor skala»:
    • antall registrerte involvert (i tall eller prosentandel av utvalget)
    • volumet av data (antall variabler, detaljeringsgrad)
    • lagringstid (kort, tidsavgrenset, permanent)
    • geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt)
"Systematisk behandling" er ikke definert i personvernforordningen, men er i følge Artikkel 29-gruppen (som nå er erstattet med Personvernrådet) behandling som :
    • skjer i henhold til et system
    • er forhåndsarrangert (planlagt) organisatorisk eller metodisk
    • skjer som følge av en plan om å samle inn personopplysninger
    • skjer som en del av en strategi
«Tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 51. Se artikkel 4 punkt 20. I Norge er dette Datatilsynet.
"Tredjeland" (omtalt som "tredjestater" i GDPR) er land utenfor EØS-området. Det er ikke definert i GDPR, men er et begrep som brukes mye i dokumenter fra EU.
«Tredjepart» er enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger. Se artikkel 4 punkt 10.
"Tredjestater" (også omtalt som "tredjeland") er land utenfor EØS-området. Det er ikke definert i GDPR, men er et begrep som brukes mye i dokumenter fra EU.