Kan berettiget interesse brukes som behandlingsgrunnlag for personopplysninger, og hvordan vurderer man om det er lovlig å bruke? Berettiget interesse etter GDPR artikkel 6 (1) bokstav f brukes veldig ofte som grunnlag for behandling av personopplysninger. Dette grunnlaget fungerer som en slags «sekkepost», som man ofte ender opp med hvis ikke noen av de andre grunnlagene kan brukes.
Fortsett å lese Bruk av berettiget interesse som behandlingsgrunnlag under GDPRStikkord: behandlingsansvarlig
Behandlingsansvarlig eller databehandler?
Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn «fornorskede» versjoner av sjekklistene.
Fortsett å lese Behandlingsansvarlig eller databehandler?Veileder om behandlingsansvarlig og databehandler fra Datatilsynet
Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.
Fortsett å lese Veileder om behandlingsansvarlig og databehandler fra DatatilsynetKrever GDPR at databehandler gir en garanti til behandlingsansvarlig?
Etter GDPR artikkel 28 skal behandlingsansvarlig kun bruke «databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».
Fortsett å lese Krever GDPR at databehandler gir en garanti til behandlingsansvarlig?Behandlingsansvarlig eller databehandler eller begge deler?
Å avgjøre om hvem som er behandlingsansvarlig («controller») og hvem som er databehandler («processor») er i mange tilfelle ikke enkelt, og oppleves som en vanskelig vurdering av mange med god grunn. Spesielt når det skal inngås databehandleravtaler, og avgjøre hvem skal inngå databehandleravtale med hvem, og hvem skal ha hvilke roller i avtalene. Da er det viktig å ha det klart for seg hva som har betydning og hva som ikke har betydning i vurderingen av hvem som er behandlingsansvarlig og hvem som er databehandler. Men det foreligger databehandlerforhold i mindre grad enn mange tror, og det inngås i dag alt for mange databehandleravtaler eller databehandleravtaler som dekker mer enn de skal.
Fortsett å lese Behandlingsansvarlig eller databehandler eller begge deler?Ansvar for personopplysninger på Facebook-sider – ny dom
I en nylig avsagt dom fra EU-domstolen, ble det fastslått at den som oppretter en Facebook-side, vil være ansvarlig – sammen med Facebook – som behandlingsansvarlig for siden. Dette betyr at den som oppretter Facebook-sider kan være ansvarlig for at personvernlovgivningen, herunder GDPR, overholdes ved bruk av Facebook-siden.
Fortsett å lese Ansvar for personopplysninger på Facebook-sider – ny domVeiledning for når det skal ilegges bøter og størrelsen på bøtene ved brudd på personvernforordningen (GDPR)
Artikkel 29-gruppen, som er EUs rådgivende arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, har kommet med en ny veiledning for bøter ved brudd på personvernforordningen. Selv om dette er en veiledning direkte for datatilsynene, får veiledningen betydning for behandlingsansvarlige og databehandlere som kan risikere å bryte forordningen.
Fortsett å lese Veiledning for når det skal ilegges bøter og størrelsen på bøtene ved brudd på personvernforordningen (GDPR)