Datatilsynet har nå kommet med norsk versjon av databehandleravtalen utarbeidet av det danske datatilsynet og godkjent som standardavtale av personvernrådet i EU (EDPB). Da blir det forhåpentligvis slutt på «databehandleravtalekrigen» som har rast siden GDPR ble innført.
Fortsett å lese Standard databehandleravtale fra DatatilsynetStikkord: Datatilsynet
Bot på fire millioner kroner til Statens vegvesen for manglende sletting av passeringsopplysninger i bomringen
I november i fjor ila ett av de tyske datatilsynene et eiendomsselskap en bot på nær 150 millioner kroner for manglende sletting av personopplysninger som ikke lenger var nødvendig å oppbevare (jeg omtalte saken her).
Fortsett å lese Bot på fire millioner kroner til Statens vegvesen for manglende sletting av passeringsopplysninger i bomringenDet første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?
Den 17. desember varslet Datatilsynet om det første overtredelsesgebyret under de nye reglene etter personvernforordningen (GDPR). Det var Bergen kommune som hadde eksponert personopplysninger til 35.000 brukere, og de er varslet et gebyr på kr 1,6 millioner for brudd på personopplysningssikkerheten, og da spesielt artikkel 32 i GDPR.
Fortsett å lese Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernnemnda
Saken i personvernnemnda gjaldt en arbeidstaker som hadde fått to tilrettevisning (advarsel) fra arbeidsgiver som ble lagret i personalmappen (arbeidsgiver var offentlig virksomhet så arbeidsgiverforholdet ble regulert av tjenestemannsloven). Tilrettevisningene hadde vært lagret i personalmappen i hhv 7 år og 3 år og 9 mndr. Datatilsynet hadde avslått mannens begjæring om å få slettet tilrettevisningene. Personvernnemnda ga mannen rett til å få opplysningene slettet.
Fortsett å lese Klargjøring av pliktene til å slette personopplysninger i personalmapper fra PersonvernnemndaDokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR
Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.
Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.
Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPRVeileder om behandlingsansvarlig og databehandler fra Datatilsynet
Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.
Fortsett å lese Veileder om behandlingsansvarlig og databehandler fra DatatilsynetHvor går Datatilsynet videre?
I et innlegg på Personvernbloggen går Datatilsynets direktør Bjørn Erik Thon gjennom de viktigste personvernhendelsene det siste året og erfaringer fra Datatilsynet. I innlegget kommer det også frem noen viktige «takeaways».
Fortsett å lese Hvor går Datatilsynet videre?