GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Sikkerhetstiltak

Forhåndskonsultasjon

I noen tilfeller må selskaper be om forhåndskonsultasjon med DPA etter å ha gjennomført en konsekvensutredning. Dette følger av artikkel 36 i GDPR (EUs generelle databeskyttelsesforordning).

Forespørsel om forhåndskonsultasjon av DPA

Forutgående konsultasjon innebærer at selskapet og DPA vurderer den foreslåtte behandlingen sammen og i samråd. Hvis DPA anser at den tiltenkte behandlingen vil være i strid med GDPR, kan den gi tilbakemelding med skriftlig råd.

Videre har DPA rett til å treffe de tiltak som faller inn under dens myndighet i henhold til artikkel 58 iGDPR. 

What breaches of the GDPR can lead to an administrative fine?

Å be om forhåndskonsultasjon av DPA etter en konsekvensanalyse

Dersom det foreligger en høy risiko for de registrertes rettigheter og friheter ved behandling av personopplysninger, skal selskapet foreta en konsekvensanalyse. 

Det finnes flere typer konsekvensutredninger

Measures that companies need to take to comply with GDPR

Vurdering av personvernkonsekvenser (DPIA)

Formålet med denne typen konsekvensanalyse er å beskytte de registrertes friheter og rettigheter og forhindre risiko ved behandling av personopplysninger. Det er en pågående dokumentert prosess som gjør at selskapet kan overholde GDPR. Følgelig er det ikke en aktivitet som bare utføres en gang med en klar konklusjon. Prosessen gir støtte for å se om risikoen ved behandlingen er proporsjonal med formålet med behandlingen.

What is the definition of anonymised data?

Konsekvensutredning av dataoverføringer (TIA)

Denne typen konsekvensutredning skal gjennomføres før personopplysninger overføres til et tredjeland utenfor EU/EØS som ikke har en tilstrekkelig beslutning. Bare EU-kommisjonen kan avgjøre om et tredjeland sikrer et tilstrekkelig beskyttelsesnivå. Formålet med vurderingen av dataoverføringskonsekvenser er å vurdere de potensielle risikoene og konsekvensene for de registrerte ved en overføring av deres personopplysninger til nevnte tredjestat. Risikoen for at de registrertes rettigheter for eksempel ikke oppfylles. I tillegg er det viktig å identifisere hensiktsmessige tiltak for å minimere risikoene.

Dersom risikoen fortsatt er høy for de registrerte, skal selskapet be om en forhåndskonsultasjon med den nasjonale personvernmyndigheten før behandlingen utføres. Vær oppmerksom på at selskapene må gjennomføre en konsekvensutredning før de ber om forhåndskonsultasjon. 

Hva å gjøre før du ber om en forhåndskonsultasjon

  1. Utføre en konsekvensanalyse i samsvar med artikkel 35 i GDPR.
  2. Ta passende tiltak for å redusere risikoen ved behandlingen. 
  3. Dersom risikoen vedvarer, skal selskapet anmode om forhåndskonsultasjon med den nasjonale personvernmyndigheten.

Opplysninger som skal gis til DPA

Ansvarsområder

Forespørselen om forhåndskonsultasjon må gi informasjon om ansvarsfordelingen. Spesielt hvis det er en gruppe av selskaper. For eksempel, hvem er prosessoren, om to eller flere er felles kontrollere, etc.

Formål

Det er viktig at formålet med behandlingen er klart. Med andre ord, formålet med behandlingen (hvorfor behandlingen må utføres).

Handlinger

De tekniske og organisatoriske sikkerhetstiltakene som foretaket har truffet for å beskytte de registrertes rettigheter og friheter.

Databeskyttelsesansvarlig

Noen selskaper må ha en databeskyttelsesansvarlig. På den annen side trenger ikke andre selskaper å ha det, men velger frivillig å ha det som et personvernforbedrende tiltak. Uavhengig av årsaken til at selskapet har en databeskyttelsesansvarlig, skal kontaktinformasjonen til databeskyttelsesansvarlig gis til databeskyttelsesmyndigheten.

Konsekvensutredningen

Foretaket skal framlegge sin dokumenterte konsekvensanalyse.

Informasjon på forespørsel

Etter at selskapet har sendt inn sin forespørsel om forhåndskonsultasjon med DPA, kan DPA be om mer informasjon for å kunne gjøre sin vurdering. I slike tilfeller skal foretaket framlegge ytterligere opplysninger som det er anmodet om.

Svar fra DPA på forhåndskonsultasjonen

Den DPA som mottar forhåndskonsultasjonsforespørselen har åtte (8) uker til å svare. De kan imidlertid forlenge fristen i visse tilfeller. For eksempel, hvis forhåndskonsultasjonen gjelder en svært kompleks behandling av personopplysninger. DPA kan videre forlenge fristen for maksimalt seks (6) uker, men må informere DPA innen en måned etter mottak av forespørselen. 

Dersom behandlingen ikke er i samsvar med GDPR

Hvis DPA konkluderer med at behandlingen ikke er i samsvar med GDPR, kan den forby behandlingen. Alternativt kan de gi råd om hvordan selskapet skal fortsette å overholde GDPR ved behandling. DPA kan også ta de tiltakene som er angitt i artikkel 58 i GDPR, som beskriver fullmaktene til en DPA.

I noen tilfeller kan selskapet ikke få svar innen åtte (8) uker, som den generelle regelen gir under GDPR. Det kan for eksempel være fordi det har oppstått en feil. Det betyr med andre ord ikke at behandlingen er autorisert i henhold til DPA bare fordi de ikke har vært knyttet til deres svar på saken.

GDPR - EU

Informasjonssikkerhet

Bedrifter har en forpliktelse til å beskytte personopplysningene som behandles. Dette betyr at selskapet må få på plass tilstrekkelige tekniske og organisatoriske sikkerhetstiltak. Jo viktigere personopplysningene er, desto høyere er sikkerhetskravene. Eksempler på tekniske og organisatoriske sikkerhetstiltak inkluderer opplæring for personell, skriftlige instruksjoner og prosedyrer, autorisasjonskontroll, oppbevaring av sikkerhetskopifiler og antivirusprogramvare, flertrinns autentisering ved pålogginger, etc. 

Lyst til å lære mer?

Les mer
Skroll til toppen