I en nylig avsagt dom fra EU-domstolen, ble det fastslått at den som oppretter en Facebook-side, vil være ansvarlig – sammen med Facebook – som behandlingsansvarlig for siden. Dette betyr at den som oppretter Facebook-sider kan være ansvarlig for at personvernlovgivningen, herunder GDPR, overholdes ved bruk av Facebook-siden.
Sammendrag: Det skal ikke innføres ytterligere forpliktelser for behandling av personopplysninger knyttet til levering av offentlig tilgjengelige kommunikasjonstjenester i offentlig kommunikasjonsnett som er underlagt e-komdirektivet. Ved denne forordning skal det ikke innføres ytterligere forpliktelser for fysiske eller juridiske personer når det gjelder behandling i forbindelse med levering av offentlig tilgjengelige elektroniske kommunikasjonstjenester i offentlige kommunikasjonsnett … Fortsett å lese Artikkel 95. Forhold til direktiv 2002/58/EF
Artikkel 29-gruppen, som er EUs rådgivende arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, har kommet med en ny veiledning for bøter ved brudd på personvernforordningen. Selv om dette er en veiledning direkte for datatilsynene, får veiledningen betydning for behandlingsansvarlige og databehandlere som kan risikere å bryte forordningen.
Det er en streng plikt til å slette personopplysninger etter de nye personvernreglene (GDPR), bl.a. dersom den registrerte krever sletting eller dersom formålet med behandling av personopplysninger ikke lenger foreligger. Men er det tatt sikkerhetskopi av personopplysningene, kan det være en vanskelig, om ikke uoverkommelig, oppgave å slette de konkrete personopplysninger på sikkerhetskopier (backup). Gjelder … Fortsett å lese Plikt til å slette personopplysninger også på sikkerhetskopier?
Skal en databehandler behandle personopplysninger på vegne av en behandlingsansvarlig, må det inngås en databehandleravtale som dekker kravene i GDPR artikkel 28. Mange har brukt mye ressurser på utarbeidelse og inngåelse av databehandleravtaler, til tross for at dette bør være en ganske rett frem oppgave. Nå er det kommet standard kontraktsbestemmelser for databehandleravtaler fra Personvernrådet … Fortsett å lese Standard kontraktsbestemmelser for databehandleravtale
Det danske datatilsynet har kommet med en veileder for behandling av personopplysninger på nettsider (som flere andre datatilsyn har gjort).
I november i fjor ila ett av de tyske datatilsynene et eiendomsselskap en bot på nær 150 millioner kroner for manglende sletting av personopplysninger som ikke lenger var nødvendig å oppbevare (jeg omtalte saken her).
I juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Dommen fastslo at Privacy Shield var ugyldig som overføringsgrunnlag til land utenfor EØS (såkalte tredjeland). I tillegg ble det stilt krav til bruk av EUs standard kontraktsbestemmelser (EC Standard Contract Clauses eller SCC) som overføringsgrunnlag til tredjeland. For Privacy Shield var det enkelt; her … Fortsett å lese Overføring av personopplysninger utenfor EØS-området – hva gjør vi etter Schrems II?
Etter en lenger pause av ulike grunner kommer det her en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.
Sammendrag: Behandling av personopplysningene kan kreves begrenset, som at opplysningene gjøres mindre tilgjengelig, dersom det menes at opplysningene ikke er riktig, blir ulovlig behandlet, ikke lenger er nødvendig for den behandlingsansvarlige men er likevel nødvendig for den opplysningene gjelder eller at den som behandlingen gjelder har protestert mot behandlingen. Behandling kan da kun fortsette etter … Fortsett å lese Artikkel 18. Rett til begrensning av behandling
