Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?

Den 17. desember varslet Datatilsynet om det første overtredelsesgebyret under de nye reglene etter personvernforordningen (GDPR). Det var Bergen kommune som hadde eksponert personopplysninger til 35.000 brukere, og de er varslet et gebyr på kr 1,6 millioner for brudd på personopplysningssikkerheten, og da spesielt artikkel 32 i GDPR.

Fortsett å lese Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?

Behandlingsansvarlig eller databehandler?

Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn «fornorskede» versjoner av sjekklistene.

Fortsett å lese Behandlingsansvarlig eller databehandler?

Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernnemnda

Saken i personvernnemnda gjaldt en arbeidstaker som hadde fått to tilrettevisning (advarsel) fra arbeidsgiver som ble lagret i personalmappen (arbeidsgiver var offentlig virksomhet så arbeidsgiverforholdet ble regulert av tjenestemannsloven). Tilrettevisningene hadde vært lagret i personalmappen i hhv 7 år og 3 år og 9 mndr. Datatilsynet hadde avslått mannens begjæring om å få slettet tilrettevisningene. Personvernnemnda ga mannen rett til å få opplysningene slettet.

Fortsett å lese Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernnemnda

Ganske Dårlig Personvern Rådgivning

Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.

Fortsett å lese Ganske Dårlig Personvern Rådgivning

Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.

Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.

Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Sett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger

Ustrukturerte personopplysninger (dvs. personopplysninger som ikke er organisert etter navn eller andre kriterier, som personopplysninger i epost, dokumenter på filområder mv.) er en utfordring for pliktene etter GDPR.

Fortsett å lese Sett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger