I november i fjor ila ett av de tyske datatilsynene et eiendomsselskap en bot på nær 150 millioner kroner for manglende sletting av personopplysninger som ikke lenger var nødvendig å oppbevare (jeg omtalte saken her).
Fortsett å lese Bot på fire millioner kroner til Statens vegvesen for manglende sletting av passeringsopplysninger i bomringenStikkord: GDPR
Skolers utlevering av klasselister
Det har vært mye diskusjon om at skoler ikke deler klasselister både i media og for å ikke snakke om på de enkelte skoler. Selv har jeg vært på foreldremøter hvor det ble gitt beskjed om at klasselister ikke vil bli delt «pga. personvernregler og GDPR». Jeg mener å kunne litt om personvern og GDPR, og vet at dette ikke er riktig. Og man kan gi GDPR skylden for mye, men ikke dette.
Fortsett å lese Skolers utlevering av klasselisterPersonvettreglene
Personvettreglene er en liste over noen av de mest praktiske reglene for behandling av personopplysninger i det daglige. Personvernreglene kan lastes ned i en utskriftsvennlig versjon nedenfor, ellers kan også bildet nedenfor brukes på nettsider, intranett, skrives ut eller annet. Jeg håper dette kan være til nytte!
Fortsett å lese PersonvettregleneBehandlingsansvarlig eller databehandler?
Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn «fornorskede» versjoner av sjekklistene.
Fortsett å lese Behandlingsansvarlig eller databehandler?Mal for vurdering av personvernkonskvenser (DPIA)
Jeg har laget en mal for DPIA etter GDPR artikkel 35 som er tilgjengelig i Gyldendal Rettsdata fra i dag.
Fortsett å lese Mal for vurdering av personvernkonskvenser (DPIA)Ganske Dårlig Personvern Rådgivning
Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.
Ord man bør slutte å bruke i personvernsammenheng
Her er noen ord/uttrykk som skaper mer forvirring enn forklaring i GDPR/personvernssammenheng som man bør slutte å benytte.
Fortsett å lese Ord man bør slutte å bruke i personvernsammenheng
Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR
Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.
Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.
Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPRSett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger
Ustrukturerte personopplysninger (dvs. personopplysninger som ikke er organisert etter navn eller andre kriterier, som personopplysninger i epost, dokumenter på filområder mv.) er en utfordring for pliktene etter GDPR.
Veileder om behandlingsansvarlig og databehandler fra Datatilsynet
Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.
Fortsett å lese Veileder om behandlingsansvarlig og databehandler fra Datatilsynet