GDPR – virksomhet
Mer om personopplysninger i næringslivet
Behandlingen av personopplysninger i næringslivet er utbredt. I tillegg har data, ofte personopplysninger, blitt stadig viktigere for bedrifter å behandle. For eksempel skjer behandlingen av personopplysninger i bransjen for å videreutvikle produkter eller tilpasse markedsføringen.
Behandling av personopplysninger i skolen
Skolene behandler personopplysninger i forbindelse med sine aktiviteter, enten de er offentlige eller private. I tillegg har mange skoler elever som er barn, noe som betyr at strengere regler under GDPR som barn er en ekstra gruppe verdig beskyttelse. Noen personopplysninger som behandles i forbindelse med skoleaktiviteter, er også av subjektiv karakter, som ofte er mer sensitive enn de som er objektive. Et eksempel på subjektive personopplysninger er studentenes karakterer.
Lærere er ikke ansvarlige for riktig behandling av personopplysninger
Det er skolen selv, dvs. kontrolløren, som er ansvarlig for at behandlingen av personopplysninger utføres i samsvar med GDPR og andre gjeldende lover og regler. På den annen side behandler lærere personopplysninger i løpet av sitt arbeid. Derfor er det viktig at skolen gir relevant informasjon og opplæring, slik at de utfører behandlingene i samsvar med GDPR. Hvis en lærer krenker GDPR ved behandling av personopplysninger, er det skolen som kan holdes ansvarlig for manglende overholdelse og eventuelle konsekvenser av dette.
Foreninger som behandler personopplysninger
Foreninger underlagt GDPR som behandler personopplysninger, for eksempel å føre et register over medlemmer som inneholder medlemsopplysninger, må overholde reglene fastsatt i forordningen. Dette gjelder uavhengig av om det er en mindre eller større forbindelse.
Fagforeningsmedlemskap er sensitive personopplysninger
Det er viktig å huske på at informasjon om en persons medlemskap i en fagforening utgjør sensitive personopplysninger i henhold til artikkel 9 i GDPR. Derfor er det viktig å huske å følge de strengere reglene hvis foreningen er en fagforening. Den generelle regelen i artikkel 9 i GDPR forbyr til og med behandling av sensitive personopplysninger i det hele tatt, men det er noen unntak.
Medlemsstatens unntak
Selv om behandling av sensitive personopplysninger, som opplysninger om en persons religiøse tro, politiske meninger eller fagforeningsmedlemskap, som hovedregel er forbudt, kan det være tillatt. Hvis medlemskap i en politisk forening, religiøs forening eller fagforening avslører sensitive personopplysninger, er det tillatt forutsatt at foreningen overholder de andre reglene og betingelsene.
Behandle personopplysninger for forskningsformål
Det er ikke uvanlig å behandle personopplysninger for forskningsformål, og det er spesifikke regler i GDPR for slik behandling. Spesielt må aktøren som behandler personopplysninger for forskningsformål implementere hensiktsmessige tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene. For eksempel gjennom pseudonymisering av personopplysningene. I tillegg er det en forskjell mellom behandling av personopplysninger for vitenskapelige forskningsformål og historiske forskningsformål.
Felles med felles kontroll
Forskningsinstitusjoner har en tendens til å samarbeide med andre institusjoner. I tillegg utfører de vanligvis forskningsprosjekter sammen i noen tilfeller. Det er derfor viktig i slike tilfeller å avklare forholdet mellom partene og ansvaret for databehandlingsoperasjonene. Det er blant annet nyttig å avklare følgende problemstillinger:
- Er begge institusjonene felles behandlingsansvarlige, eller er hver institusjon autonome behandlingsansvarlige?
- Kan det være et prosessorforhold mellom institusjonene som samarbeider i den aktuelle forskningen?
Behandling av personopplysninger for statistiske formål
Bedrifter kan ha behov for å behandle personopplysninger for statistiske formål. Slik behandling skjer ofte i et aggregert format.Aggregerte personopplysninger betyr at de ikke lenger kan knyttes til en enkeltperson, og derfor er slike data ikke lenger klassifisert som personopplysninger.
Definisjon av statistiske formål i GDPR
For statistiske formål, i henhold til GDPR, behandler et selskap personopplysninger som er nødvendige for å produsere statistiske resultater. Det samme gjelder for statistiske undersøkelser. I henhold til betraktning 162 i GDPR betyr et statistisk formål at resultatet av behandlingen ikke består av personopplysninger, men av aggregerte personopplysninger, og at resultatet ikke vil bli brukt til å støtte beslutninger eller handlinger som gjelder en bestemt person.
Forskrift om vern av personopplysninger
Ulike roller som selskaper kan ha under GDPR
Et selskap som behandler personopplysninger er enten en behandlingsansvarlig eller en databehandler. Kontrolleren bestemmer midlene og formålene med behandlingen. En databehandler behandler personopplysningene på vegne av og etter instruks fra den behandlingsansvarlige. For eksempel, hvis et selskap (controller) engasjerer et regnskapsbyrå (prosessor) for å administrere lønn. I tillegg kan det hende at enkelte selskaper må utnevne en databeskyttelsesansvarlig.