Artikkel 29-gruppen, som er EUs rådgivende arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, har kommet med en ny veiledning for bøter ved brudd på personvernforordningen. Selv om dette er en veiledning direkte for datatilsynene, får veiledningen betydning for behandlingsansvarlige og databehandlere som kan risikere å bryte forordningen.
Å være GDPR-compliant innen 25. mai 2018 er et krav som alle selskaper må forholde seg til. Å være «compliant» vil si at man overholder lover og regler, og å være «GDPR-compliant» innebærer da at reglene i personvernforordningen overholdes. Men siden personvernforordningen er et meget omfattende og komplisert sett med regler som er langt fra … Fortsett å lese Når er man GDPR-compliant?
Et spørsmål som kommer opp ofte knyttet til GDPR er innsyn i og sletting av personopplysninger som er lagret i eposter og andre ustrukturerte personopplysninger. Å gi innsyn eller slette ustrukturerte personopplysninger kan både være en omfattende eller komplisert oppgave. Men det å slette eller gi innsyn kan medføre ytterligere behandling av personopplysninger, som i … Fortsett å lese Hvordan forholde seg til krav om innsyn og sletting av ustrukturerte personopplysninger i eposter og dokumenter etter GDPR?
I et innlegg på Personvernbloggen går Datatilsynets direktør Bjørn Erik Thon gjennom de viktigste personvernhendelsene det siste året og erfaringer fra Datatilsynet. I innlegget kommer det også frem noen viktige «takeaways».
Cookies (også kalt «informasjonskapsler») har vært mye diskutert de siste årene, og skaper spørsmål og utfordringer både innenfor markedsføring, teknologi, design og brukeropplevelser for nettsider mv., personvern og annet. Her møtes jussen og teknologien, og det skaper friksjon (og følelser). Dette er et forsøk på å gi en oversikt over hva cookies er, bruken av … Fortsett å lese Cookies – oversikt og alternative samtykker
Kan berettiget interesse brukes som behandlingsgrunnlag for personopplysninger, og hvordan vurderer man om det er lovlig å bruke? Berettiget interesse etter GDPR artikkel 6 (1) bokstav f brukes veldig ofte som grunnlag for behandling av personopplysninger. Dette grunnlaget fungerer som en slags «sekkepost», som man ofte ender opp med hvis ikke noen av de andre … Fortsett å lese Bruk av berettiget interesse som behandlingsgrunnlag under GDPR
«Hovedvirksomhet» er: a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal … Fortsett å lese hovedvirksomhet
Med «særlige kategorier personopplysninger» menes personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Se artikkel 9.
Sammendrag: Personopplysninger om straffedommer og lovovertredelser, herunder register over straffedommer, kan kun behandles under offentlig myndighets kontroll og etter lovhjemmel som sikrer personvernet til den enkelte. Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er … Fortsett å lese Artikkel 10. Behandling av personopplysninger om straffedommer og lovovertredelser
Sammendrag: Tilsynsmyndighet (Datatilsynet) skal utarbeide årlig rapport om virksomheten med meldte overtredelser og tiltak som er truffet. Rapporten skal sendes til Stortinget, regjeringen og andre myndigheter, gjøres tilgjengelig for allmennheten, Kommisjonen og Personvernrådet (EDPB). Hver tilsynsmyndighet skal utarbeide en årlig rapport om sin virksomhet som kan inneholde en liste over hvilke typer overtredelser som er … Fortsett å lese Artikkel 59. Årsrapporter
