Behandling av personopplysninger på grunnlag av berettiget interesse? Når er det lovlig?

Å behandle personopplysninger på grunnlag av den behandlingsansvarliges berettiget interesse er praktisk og et langt bedre grunnlag å håndtere enn f.eks. samtykke. Derfor er dette et «populært» grunnlag, men det er et komplisert grunnlag og ikke alltid så enkelt å vurdere om man kan bruke dette grunnlaget. Her er en oversikt over hvordan en vurdering av om «berettiget interesse» kan benyttes som grunnlag for behandling av personopplysninger.

Les mer og last ned

Bot på fire millioner kroner til Statens vegvesen for manglende sletting av passeringsopplysninger i bomringen

I november i fjor ila ett av de tyske datatilsynene et eiendomsselskap en bot på nær 150 millioner kroner for manglende sletting av personopplysninger som ikke lenger var nødvendig å oppbevare (jeg omtalte saken her).

Fortsett å lese Bot på fire millioner kroner til Statens vegvesen for manglende sletting av passeringsopplysninger i bomringen

Praktisk bok om personvern (GDPR) og taushetsplikt for finansforetak

Det er veldig nyttig med bøker innenfor mer spesialiserte områder (selv om det er nyttig med generelle bøker også). Slike bøker er ofte skrevet av personer med omfattende erfaring innenfor konkrete områder, og gir god innsikt i hva som er praktisk og hvordan det (kan) gjøres.

Fortsett å lese Praktisk bok om personvern (GDPR) og taushetsplikt for finansforetak

Skolers utlevering av klasselister

Det har vært mye diskusjon om at skoler ikke deler klasselister både i media og for å ikke snakke om på de enkelte skoler. Selv har jeg vært på foreldremøter hvor det ble gitt beskjed om at klasselister ikke vil bli delt “pga. personvernregler og GDPR”. Jeg mener å kunne litt om personvern og GDPR, og vet at dette ikke er riktig. Og man kan gi GDPR skylden for mye, men ikke dette.

Fortsett å lese Skolers utlevering av klasselister

Personvettreglene

Personvettreglene er en liste over noen av de mest praktiske reglene for behandling av personopplysninger i det daglige. Personvernreglene kan lastes ned i en utskriftsvennlig versjon nedenfor, ellers kan også bildet nedenfor brukes på nettsider, intranett, skrives ut eller annet. Jeg håper dette kan være til nytte!

Fortsett å lese Personvettreglene

Behandlingsansvarlig eller databehandler?

Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn “fornorskede” versjoner av sjekklistene.

Fortsett å lese Behandlingsansvarlig eller databehandler?

Ganske Dårlig Personvern Rådgivning

Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.

Fortsett å lese Ganske Dårlig Personvern Rådgivning

Varsel til Datatilsynet om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp. Nedenfor gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er imidlertid vanskelig å arbeide med varselet i Altinn, og du finner derfor et arbeidsdokument for varsel til slutt i artikkelen.

Fortsett å lese Varsel til Datatilsynet om personvernbrudd