GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

ROLLER i GDPR

Registrerte personer i henhold til GDPR

I henhold til artikkel 4 i GDPR er den registrerte den fysiske personen hvis personopplysninger behandles. For eksempel kunder, ansatte, pasienter eller andre enkeltpersoner.

Definisjon av personopplysninger

Når det er mulig å knytte et stykke data, direkte eller indirekte, til en person som lever, er det personopplysninger under GDPR. For eksempel et navn, personnummer, hjemmeadresse, IP-adresse, telefonnummer eller lignende. Jo viktigere personopplysningene er, desto høyere er sikkerhetskravene. Det er fire grupper av personvernsensitive personopplysninger, hvorav den ene er sensitive personopplysninger. Personsensitive personopplysninger må behandles med større sikkerhet enn for eksempel ”vanlige personopplysninger, for eksempel navn. Vær oppmerksom på at GDPR ikke gjelder for personopplysninger om avdøde personer.

What breaches of the GDPR can lead to an administrative fine?

Datasubjekter har en rekke grunnleggende rettigheter under GDPR

Under GDPR har de registrerte en rekke rettigheter som bedrifter må kunne håndheve. Av denne grunn må selskapene blant annet etablere prosedyrer for å kunne gjøre det. Dersom en registrert ber om at en rettighet oppfylles, skal dette gjøres innen én måned. På den annen side kan selskapet i enkelte unntakstilfeller forlenge fristen med inntil to måneder. Nedenfor er et sammendrag av de viktigste rettighetene til registrerte under GDPR. 

Grunnleggende rettigheter

Sensitive personal data according to GDPR

Rett til informasjon (artikkel 12, 13 og 14 GDPR)

Når et selskap behandler personopplysninger, skal de registrerte informeres om behandlingen. Disse inkluderer formålet med behandlingen, varigheten av behandlingen, om personopplysninger overføres til et tredjeland, etc. I tillegg må de registrerte informeres i tilfelle visse typer brudd på personopplysninger om dem og deres personopplysninger.

What is the definition of anonymised data?

Rett til innsyn (artikkel 15 GDPR)

Et datasubjekt vil kanskje vite om et selskap behandler personopplysningene sine eller ikke. I slike tilfeller kan den registrerte be om tilgang til de behandlede personopplysningene som tilhører ham eller henne. I noen tilfeller har den registrerte imidlertid ikke rett til å motta de opprinnelige dokumentene. For eksempel, om det kan føre til en ulempe for en annen registrert.

Rett til korrigering (artikkel 16 GDPR)

Dersom et foretak behandler personopplysninger som er unøyaktige eller ufullstendige, skal de rettes eller suppleres. Dette gjelder både hvis en registrert ber om det eller hvis selskapet selv oppdager det. På den annen side kan en registrert i visse tilfeller ha feil når de anser at personopplysningene er unøyaktige. Derfor bør selskapet først sjekke om de faktisk er feil eller ikke. Vær oppmerksom på at selskapet skal informere mottakere av personopplysningene som er gjenstand for korrigeringen, med mindre dette er umulig eller for vanskelig (tung drift).

Subjektivt integritetskänsliga personuppgifter

Rett til sletting (artikkel 17 GDPR)

Bedrifter bør slette personopplysninger ved visse forskjellige typer anledninger. For eksempel, hvis personopplysningene ikke lenger er nødvendige for å behandle for det formålet de ble samlet inn for. Det samme gjelder hvis en registrert ber om sletting av hans eller hennes personopplysninger. På den annen side kan det hende at selskaper må behandle visse personopplysninger på grunn av for eksempel andre lover. Sletting av personopplysninger skal også skje når for eksempel en registrert trekker tilbake sitt samtykke til behandlingen.

Measures that companies need to take to comply with GDPR

Rett til begrensning av behandling (artikkel 18 GDPR)

Hvis en registrert ber om korrigering av unøyaktige personopplysninger, kan de også be selskapet om å begrense behandlingen under undersøkelsen til korrigeringen er fullført. Når begrensningen oppheves, skal de registrerte underrettes om dette av selskapet.

What is the definition of anonymised data?

Rett til dataportabilitet (artikkel 20 GDPR)

Hvis et selskap behandler den registrertes personopplysninger basert på samtykke eller kontrakt, har den registrerte rett til å motta dem i et strukturert, maskinlesbart format. I tillegg har den registrerte rett til å få dem overført til en annen kontroller, der det er teknisk mulig. Formålet med bestemmelsen er å gjøre det enkelt for enkeltpersoner å bytte mellom konkurrerende tjenesteytere.

Sensitive personal data according to GDPR

Rett til å fremme innsigelser (artikkel 21 GDPR)

Når et selskap behandler personopplysninger for å utføre en oppgave i allmennhetens interesse etter en interesseavveining eller ved utøvelse av offentlig myndighet, har de registrerte rett til å protestere mot behandlingen. For eksempel, hvis et selskap ønsker å sende ut e-post med reklame etter å ha veid opp interessene og konkludert med at de har en legitim interesse for behandlingen, kan de registrerte be selskapet om å stoppe. Med andre ord må selskaper stoppe direkte markedsføring til personer som har bedt om det.

Subjektivt integritetskänsliga personuppgifter

Automatiserte avgjørelser (artikkel 22 GDPR)

Den registrerte har rett til ikke å bli underlagt en beslutning basert utelukkende på automatisert behandling, inkludert profilering, der beslutningen i vesentlig grad påvirker den registrerte. Unntak gjelder hvis avgjørelsen er nødvendig for en kontrakt eller kreves av loven. I slike tilfeller har den registrerte rett til å be om menneskelig gjennomgang av avgjørelsen. I noen tilfeller har selskaper imidlertid lov til å ta beslutninger basert på automatisert beslutningstaking. For eksempel, hvis den registrerte gir uttrykkelig samtykke eller hvis det er nødvendig for utførelsen / inngåelsen av en kontrakt.

Forskjellige roller i GDPR

Registrert

Den fysiske personen hvis personopplysninger behandles.

Behandlingsansvarlig

Organisasjonen som bestemmer midlene og formålet med behandlingen av personopplysninger, er kontrolløren. For eksempel et aksjeselskap. Dermed er det ikke et bestemt individ i selskapet, med mindre det er en eneste næringsdrivende og det er kontrolleren.

Databehandler

Når et selskap behandler personopplysninger på vegne av en behandlingsansvarlig i samsvar med instruksene, skjer behandlingen i rollen som databehandler. For eksempel et regnskapsbyrå som behandler personopplysninger som tilhører sine kunder, når byrået utfører regnskapet for klientene.

Databeskyttelsesansvarlig

Noen selskaper må ha en databeskyttelsesansvarlig. Det er en person som er involvert i å kontrollere selskapets overholdelse av GDPR og hjelper med for eksempel råd ved gjennomføring av en konsekvensutredning. Datasubjekter og ansatte i selskapet har rett til å kontakte DPO for eventuelle spørsmål om behandling av deres personopplysninger. Selskaper som ikke trenger å ha et personvernombud, kan velge å oppnevne et personvernombud frivillig.

Identifikasjon av den registrerte

For å oppfylle den rettigheten som den registrerte ber om, må selskapet først identifisere den registrerte som kommer med forespørselen. Hvis selskapet ikke kan identifisere den registrerte, men likevel sletter personopplysninger på forespørsel, og sistnevnte viser seg å være feil person som ber om sletting, er det et brudd på personopplysningssikkerheten. Det er noe som bør forhindres av tekniske og organisatoriske sikkerhetsforanstaltninger. Vær imidlertid oppmerksom på at identifikasjonen og tilnærmingen må være forholdsmessig. For eksempel kan det være uforholdsmessig å be om passkopi hvis det finnes andre mindre personvernfølsomme måter å identifisere en person på. 

Frist for å svare på en forespørsel fra en registrert for å få en rettighet respektert

Når en registrert ber om oppfyllelse av en rettighet, skal selskapet etterkomme forespørselen innen 1 månedetter at forespørselen er mottatt. På den annen side er det i visse tilfeller mulig å forlenge fristen med ytterligere to måneder. Det er da viktig å informere den registrerte om utvidelsen og begrunnelsen for beslutningen. Et eksempel der det kan være tillatt å forlenge fristen, er når et selskap mottar et uvanlig stort antall komplekse forespørsler samtidig. 

Behandling av personopplysninger av hensyn til offentlig sikkerhet

GDPR gjelder ikke for behandling av personopplysninger av offentlige myndigheter med det formål å forebygge, etterforske, oppdage eller straffeforfølge straffbare handlinger. Det samme gjelder hvis en myndighet håndhever rettslige sanksjoner. For eksempel, hvis en person er dømt for en forbrytelse i retten og dømt til fengsel. I slike tilfeller må fengselet behandle den domfeltes personopplysninger. 

Selskapets registreringsnummer er vanligvis ikke personopplysninger for en person

I de fleste tilfeller er et organisasjonsnummer ikke personopplysninger. På den annen side kan det være tilfelle. Det er for eksempel personopplysninger dersom det er en enkeltpersonforetak der organisasjonsnummeret er det samme som eierens personnummer. I tillegg er info@företag.com ikke en personopplysningspost. 

Datasubjekter kan få kompensasjon for brudd på GDPR

Hvis en organisasjon bryter med GDPR, er det mulig for en registrert å få erstatning i visse tilfeller. På den annen side er dette ikke noe som en tilsynsmyndighet ber om når den utfører tilsyn eller i sine beslutninger. I stedet må den registrerte reise sivil sak mot selskapet i egne separate rettssaker. Hvis en tilsynsmyndighet utsteder en bot til et selskap som har overtrådt GDPR, er det et beløp som betales til staten, ikke til de berørte registrerte. Vær imidlertid oppmerksom på at det kan være fordelaktig i en sivil sak hvis organisasjonen har fått bøter for brudd på GDPR av en tilsynsmyndighet. 

Den registrerte kan ha rett til erstatning i tilfelle frykt for mulig misbruk av personopplysninger i fremtiden

Etter datasubjekter som hadde blitt rammet av et cyberangrep mot Skatteetaten i Bulgaria, valgte noen av dem å saksøke den bulgarske skatteadministrasjonen og kreve erstatning. De fryktet at personopplysningene kunne bli misbrukt i fremtiden. Med andre ord krevde de registrerte erstatning for den ikke-materielle skaden forårsaket av bruddet på personopplysningssikkerheten. Saken gikk hele veien til Høyesterett i Bulgaren, som ba domstolen om en foreløpig avgjørelse om ansvar. EU-domstolen uttalte at registrerte kan ha rett til kompensasjon dersom det er en velbegrunnet frykt for at personopplysningene kan bli misbrukt i fremtiden. 

Databehandlere kan også være ansvarlig for skader:

Hvis en prosessor behandler personopplysninger i strid med instruksjonene gitt av kontrolleren og krenker GDPR, kan prosessoren være ansvarlig overfor den registrerte for skader. Dette følger av artikkel 82 i GDPR. 

Mer informasjon om hjul

Reguleringsmyndigheter

Hvert land i EU har en nasjonal tilsynsmyndighet som håndterer GDPR-saken. Blant annet har de makt til å ilegge bøter på selskaper som krenker GDPR. I tillegg publiserer de publikasjoner og annen informasjon om GDPR som kan være nyttig å vite. En registrert som ønsker å klage på behandlingen av hans eller hennes personopplysninger, kan alltid sende den til den nasjonale tilsynsmyndigheten i sitt eget hjemland hvis den er i EU, selv om den ikke er tilsynsmyndigheten som er ansvarlig for selskapet. For eksempel, hvis det er et stort internasjonalt selskap. Dersom tilsynsmyndigheten mener at en annen nasjonal tilsynsmyndighet er mer hensiktsmessig eller ansvarlig, kan de henvise saken til dem. 

Lyst til å lære mer?

Les mer
Skroll til toppen