Sammendrag: Akkreditert organ kan føre tilsyn med overholdelse av adferdsnormer som er godkjent til bruk. Det stilles krav til organets komeptanse, virksomhet og utøvelse av tilsyn, herunder tiltak som følge av manglende overholdelse av adferdsnormene. 1. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet i henhold til artikkel 57 og 58, kan tilsynet med … Fortsett å lese Artikkel 41. Kontroll av godkjente atferdsnormer
Sammendrag: Behandlingsansvarlig skal føre protokoll («behandlingsloversikt») over behandlingen av personopplysninger. Databehandler skal føre protokoll over dennes behandling av personopplysninger. Protokollene skal inneholde informasjon som angitt i bestemmelsen, skal være skriftlig, elektronisk og gjøres tilgjengelig for tilsynsmyndighet ved anmodning. Plikten gjelder ikke virksomheter med færre enn 250 ansatte, om ikke behandlingen vil bl.a. medføre en risiko … Fortsett å lese Artikkel 30. Protokoller over behandlingsaktiviteter («behandlingsprotokoll»)
Tidligere denne måneden kom Artikkel 29-gruppen med en veiledning for vurderinger av personvernkonsekvenser eller såkalte DPIA (Data Protection Impact Assessments), dvs. risikovurderinger for databehandling. Veiledningen er nyttig, siden den gir ytterligere veiledning for når det skal gjennomføres DPIA.
Skytjenester, dvs. tjenester levert over internett, har nådd et modningsnivå som gjør tjenestene stadig mer aktuelle for flere virksomheter. Men kontraktsvilkårene for skytjenester er ikke like fleksible som tjenestene de regulerer. Vilkårene er som regel komplekse, omfattende og kundenes behov er i liten grad hensyntatt. Kundene kan også i liten grad endre vilkårene, siden de … Fortsett å lese Hva må være med i kontrakter for skytjenester?
Sammendrag: Internasjonale avtaler om overføring av personopplysninger til tredjestater mv. inngått før 24. mai 2016 skal gjelde fortsatt frem til de endres, erstattes eller oppheves. Internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, som medlemsstatene har inngått før 24. mai 2016, og som er i samsvar med unionsretten som gjaldt før … Fortsett å lese Artikkel 96. Forhold til tidligere inngåtte avtaler
Sammendrag: Det skal være personvernombud i offentlig myndighet/organ, eller privat virksomhet med kjernevirksomhet hvor behandlingen pga. art, omfang og/eller formål krever regelmessig og systematisk monitorering av personer i stor skala eller behandling består i stor skala av særlige kategorier personopplysninger eller om straffedommer og lovovertredelser. Det kan være ett personvernombud for flere selskap i konsern … Fortsett å lese Artikkel 37. Utpeking av et personvernombud
Sammendrag: Foreligger et ikke beslutning fra Kommisjonen eller nødvendige garantier om overføring av personopplysninger til tredjeland, kan overføring kun skje dersom det foreligger uttrykkelig samtykke for overføringen etter den personopplysningene gjelder (den registrerte) er informert om risikoen ved overføringen, er nødvendig for å oppfylle avtale som er eller skal inngås mellom den registrerte, eller i … Fortsett å lese Artikkel 49. Unntak for særlige situasjoner
Artikkel 42. Sertifisering
USA og EU har blitt enige om en etterfølger til Privacy Shield, «Trans-Atlantic Data Privacy Framework», for overføring av personopplysninger etter GDPR. Privacy Shield ble funnet ulovlig i den såkalte Schrems II-dommen. Den endelige teksten til det nye grunnlaget er ikke klar, men EU-kommisjonens leder, Ursula von der Leyen og President Joe Biden har gitt … Fortsett å lese Nytt grunnlag etter GDPR for overføring av personopplysninger mellom EU og USA
Har du nettside som bruker cookies eller tilsvarende som Meta Pixel og som da deler data med aktørere som Meta og Google? Bruk julen til å rydde opp! Etter avsløringene om bruk av Meta Pixel som overfører detaljer om kunder og brukere av nettsider til Facebook og andre selskap hos Meta, varsler Datatilsynet at de … Fortsett å lese Nettside med Meta Pixel eller lignende? Følg med!
