Sammendrag: Den behandlingsansvarlige skal sørge for tilstrekkelige tekniske og organisatoriske sikringstiltak, herunder egnede retningslinjer, for behandlingen. Tiltakene er avhengig av hvilken behandling som gjøres, samt omfang, formål og kontekst, og risikoen som behandlingen medfører for personvernet. 1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende … Fortsett å lese Artikkel 24. Den behandlingsansvarliges ansvar
Sammendrag: Er det to behandlingsansvarlige som begge bestemmer formålet med og hvordan behandlingen av personopplysninger skal skje, så er de felles behandlingsansvarlige. De skal da bli enige om hvordan de skal overholde pliktene etter GDPR. Den registrerte kan velge hvem av de behandlingsansvarlige den skal forholde seg til bl.a. for å håndheve sine rettigheter. 1. … Fortsett å lese Artikkel 26. Felles behandlingsansvarlige
Sammendrag: Registrert kan gi et ideelt organ/organisasjon opprettet etter lov som har vedtektsfestet formål i allmennhetens interesse og som har virksomhet om vern av registrertes personernrettigheter fullmakt til å klage, utøve rettigheter og til å motta erstatning på vedkommendes vegne om det er fastsatt i nasjonal lov. Det kan fastsettes i lov at nevnte organer/organisasjoner … Fortsett å lese Artikkel 80. Representasjon av registrerte
Sammendrag: Kommisjonen har myndighet til å vedta delegerte rettsakter, som kan for enkelte forhold tilbakekalles av Europaparlamentet eller Rådet. Har Kommisjonen vedtatt en delegert rettsakt, skal dette meldes til Europaparlamentet og Rådet, som kan gjøre innsigelser innen tre måneder (eventuelt forlenget med ytterligere tre måneder). 1. Myndigheten til å vedta delegerte rettsakter gis Kommisjonen med … Fortsett å lese Artikkel 92. Utøvelse av delegert myndighet
Sammendrag: Behandling av personopplysningene kan kreves begrenset, som at opplysningene gjøres mindre tilgjengelig, dersom det menes at opplysningene ikke er riktig, blir ulovlig behandlet, ikke lenger er nødvendig for den behandlingsansvarlige men er likevel nødvendig for den opplysningene gjelder eller at den som behandlingen gjelder har protestert mot behandlingen. Behandling kan da kun fortsette etter … Fortsett å lese Artikkel 18. Rett til begrensning av behandling
Som sikkert de fleste har fått med seg så har det østeriske datatilsynet, det franske datatilsynet (CNIL) og datatilsynet for EU-institusjoner (EDPS) – sistnevnte overfor EU-parlamentet (!) – funnet at Google Analytics (GA) medfører overføring av personopplysninger til USA og kan derfor være i strid med Schrems II-dommen fra EU-domstolen. Vårt Datatilsyn har uttalt at … Fortsett å lese Google Analytics og overføring til USA
Sammendrag: Personvernforordningens (GDPR) gjelder behandling med datamaskiner (automatisert behandling) av personopplysninger samt manuell (ikke-automatisert) behandling som skal inngå i et register, dvs. personopplysninger i en strukturert form. Forordningen gjelder ikke i visse tilfelle, som for rent personlige aktiviteter, og for myndighetenes straffeforfølging mv. 1. Denne forordning får anvendelse på helt eller delvis automatisert behandling av … Fortsett å lese Artikkel 2. Saklig virkeområde
Sammendrag: Den som personopplysningene gjelder (den registrerte) skal, om denne er i en særlig situasjon, ha rett til å nekte behandling av personopplysninger som behandles på grunnlag av artikkel 6 (1) bokstav e (utføre en oppgave i allmennhetens interesse eller utføre offentlig myndighet) eller bokstav f (berettiget interesse) , samt profilering. Den behandlingsansvarlige kan kun … Fortsett å lese Artikkel 21. Rett til å protestere
Sammendrag: Behandlingsansvarlige og databehandlere som ikke er etablert innenfor EØS skal utnevne representanter i det EØS-land hvor behandlingen skjer. Dette gjelder ikke om behandling skjer til tider, omfatter ikke særlige kategorier personopplysninger eller om straffedommer/lovovertredelser, og som sannsynligvis ikke vil medføre risiko for personvernet til de opplysningene gjelder hensyntatt behandlingen, eller behandling av offentlig myndighet/organ. … Fortsett å lese Artikkel 27. Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i Unionen
Sammendrag: Det europeiske personvernrådet (Personvernrådet, eller «EDPB») er opprettet som selvstendig juridisk EU-organ. Rådet representeres av lederen, og består av lederen for tilsynsmyndigheter i hvert av EU-landende. Det utnevnes én felles representant i land med flere tilsynsmyndigheter. Kommisjonen skal kunne delta i Personvernrådets aktiviteter og møter, men uten stemmerett, og skal underrettes om Personvernrådets aktiviteter. … Fortsett å lese Artikkel 68. Det europeiske personvernråd («EDPB»)