Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn «fornorskede» versjoner av sjekklistene.
Fortsett å lese Behandlingsansvarlig eller databehandler?Stikkord: GDPR
Mal for vurdering av personvernkonskvenser (DPIA)
Jeg har laget en mal for DPIA etter GDPR artikkel 35 som er tilgjengelig i Gyldendal Rettsdata fra i dag.
Fortsett å lese Mal for vurdering av personvernkonskvenser (DPIA)Ganske Dårlig Personvern Rådgivning
Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.
Ord man bør slutte å bruke i personvernsammenheng
Her er noen ord/uttrykk som skaper mer forvirring enn forklaring i GDPR/personvernssammenheng som man bør slutte å benytte.
Fortsett å lese Ord man bør slutte å bruke i personvernsammenheng
Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR
Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.
Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.
Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPRSett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger
Ustrukturerte personopplysninger (dvs. personopplysninger som ikke er organisert etter navn eller andre kriterier, som personopplysninger i epost, dokumenter på filområder mv.) er en utfordring for pliktene etter GDPR.
Veileder om behandlingsansvarlig og databehandler fra Datatilsynet
Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.
Fortsett å lese Veileder om behandlingsansvarlig og databehandler fra DatatilsynetFørste generelle rapport etter tilsyn under GDPR klar i Sverige med mange brudd
Den svenske Datainspektionen har hatt tilsyn i 412 selskaper og offentlige myndigheter for å undersøke om det er utnevnt og registrert personvernombud etter reglene i GDPR.
Fortsett å lese Første generelle rapport etter tilsyn under GDPR klar i Sverige med mange bruddHvor går Datatilsynet videre?
I et innlegg på Personvernbloggen går Datatilsynets direktør Bjørn Erik Thon gjennom de viktigste personvernhendelsene det siste året og erfaringer fra Datatilsynet. I innlegget kommer det også frem noen viktige «takeaways».
Fortsett å lese Hvor går Datatilsynet videre?
Nyhetsbrev, e-postmarkedsføring, samtykker (og GDPR)
I forbindelse med at personvernforordningen (GDPR) kommer, innhentes det mange samtykker i disse dager. Men krever egentlig GDPR samtykke for nyhetsbrev og direkte markedsføring ved e-post?
Fortsett å lese Nyhetsbrev, e-postmarkedsføring, samtykker (og GDPR)