Å avgjøre om hvem som er behandlingsansvarlig («controller») og hvem som er databehandler («processor») er i mange tilfelle ikke enkelt, og oppleves som en vanskelig vurdering av mange med god grunn. Spesielt når det skal inngås databehandleravtaler, og avgjøre hvem skal inngå databehandleravtale med hvem, og hvem skal ha hvilke roller i avtalene. Da er … Fortsett å lese Behandlingsansvarlig eller databehandler eller begge deler?
Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene. Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.
Den 17. desember varslet Datatilsynet om det første overtredelsesgebyret under de nye reglene etter personvernforordningen (GDPR). Det var Bergen kommune som hadde eksponert personopplysninger til 35.000 brukere, og de er varslet et gebyr på kr 1,6 millioner for brudd på personopplysningssikkerheten, og da spesielt artikkel 32 i GDPR.
EU-domstolen underkjenner EU-US Privacy Shield siden USA anses ikke å ha tilstrekkelig personvern (den såkalte Schrems II saken). Det legges også føringer på bruk av Standard Contract Clauses (SCC) i dommen.
EU-kommisjonen besluttet standard kontraktsbestemmelser (SCC) om bruk av databehandler (databehandleravtale) og nye standard kontraktsbestemmelser for overføring av personopplysninger til land utenfor EØS (tredjeland),.
Et bredt sammensatt utvalg har levert en omfattende utredning som tar for seg mange problemstillinger knyttet til personvern.
Etter personvernforordningen (GDPR) artikkel 30 skal behandlingsansvarlige og databehandlere lage «protokoll over behandlingsaktiviteter». Dette er en oversikt over hvilke personopplysninger man behandler og hvordan det behandles. Mange opplever det som krevende og vanskelig å lage og oppdatere en slik protokoll, og det er ofte en oppgave man helst «skyver på».
Det er mange personvernerklæringer der ute som har mangler mye informasjon, som ikke er oppdaterte og noen ganger er rett og slett feil. Men er det så nøye det da? Det er jo ingen som leser disse? Jo, det er viktig for erklæringene skal informere om hvordan personopplysninger behandles og oppfylle kravene etter personvernregelverket (som … Fortsett å lese Sjekkliste personvernerklæring og informasjon etter GDPR
Sammendrag: Det kan kun behandles personopplysninger ved internettjenester om barn over 13 år (følger av personopplysningsloven § 5) etter samtykke som er gitt/godkjent av foresatte. Behandlingsansvarlig skal, innenfor visse grenser, kontrollere om samtykke er gitt/godkjent av foresatte. 1. Dersom artikkel 6 nr. 1 bokstav a) får anvendelse i forbindelse med tilbud om informasjonssamfunnstjenester direkte til … Fortsett å lese Artikkel 8. Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester
Sammendrag: Er det skjedd en utlevering av personopplysninger til en annen behandlingsansvarlig, skal den behandlingsansvarlige informere mottaker om enhver retting eller sletting av personopplysninger, eller begrensning av behandlingen, som den personopplysningene gjelder krever. Dette gjelder ikke om det viser seg å være umulig eller innebærer en uforholdsmessig stor innsats å informere. Den registrerte skal få … Fortsett å lese Artikkel 19. Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
