GDPR

Question 1

ART 5 Prinsipper for behandling av personopplysninger

Hvilke 6 punkter skal Personopplysninger behandles med?

Answer 1

Lovlighet, rettferdighet og åpenhet
Formålsbegrensning
Dataminimering
Riktighet
Lagringsbegrensning
Integritet og konfidensialitet

Question 2

Lovlighet, rettferdighet og åpenhet
Prinsipper for behandling:

Answer 2

Lovlighet - det må være et behandlingsgrunnlag (art 6). Behandlingen skal være i samsvar med de andre artiklene.
Rettferdighet: det som befolkningen i EU/EØS føles som rettferdig. Omhandler det som ikke blir fanget opp av de andre artiklene. (”Men det er jo ikke rettferdig - selv om det ikke er i mot en av artiklene”)
Åpenhet: vi skal kunne ha innsyn i det som er lagret om oss

Question 3

Formålsbegrensning
Prinsipper for behandling:

Answer 3

Virksomheten må spesifisere hva de skal bruke dataen til. Ikke lov å først samle inn og så finne på et nytt formål etterpå

Question 4

Dataminimering
Prinsipper for behandling:

Answer 4

Virksomheter skal bare samle inn det som trengs for en behandling. Og hvis vriksomheten har samlet inn en god del informasjon (som de har lov til) så har de en applikasjon som bare trenger noe av de dataene, da skal den applikasjonen kun hente inn det som trengs

Question 5

Riktighet
Prinsipp for behandling:

Answer 5

Dataen skal være korrekt. Og hvis noe med oss endres, skal dataen også endres

Question 6

Lagringsbegrensning
Prinsipp for behandling:

Answer 6

Skal kun lagres så lenge det trengs til det formålet. Eks. en stillingsutlysning, slette gamle søknader i en viss periode

Question 7

ART 6 Behandlingsgrunnlag

Behandlingen er bare lovlig når minst ett av følgende vilkår er oppfylt:
Hvilke 6 punkter ?

Answer 7

1. Samtykke
2. nødvendig for å oppfylle en avtale
3. nødvendig for å oppfylle behandlingsansvarliges rettslig forpliktelser
4. nødvendig for å verne den registrertes eller andre personers vitale interesser (helseinfo)
5. nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt (etat)
6. behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. (forsikringsselskap)

Question 8

For å sjekke punkt 6.f (altså at behandling kan være nødvendig for eks forsikringsselskap) så må man gjøre tre tester? Hvilke

Answer 8

1. formålstest
2. nødvendighetstest
3. balansetest

Question 9

ART 25 Innebygd personvern
2 pkt

Answer 9

1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering.
2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet

Question 10

ART 32 Sikkerhet ved behandlingen
Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet:

4 punkter

Answer 10

1. pseudonymisering og kryptering av personopplysninger
2. evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
3. evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser,
4. regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

Question 11

ART 35 DPIA
Når skal man utføre DPIA?

3 pkt

Answer 11

1. I tilfelle behandlingen vil medføre høy risiko for fysiske personers personvernrettigheter og friheter, skal den behandlingsansvarlig foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (foreta en DPIA).
2. Den behandlingsansvarlige skal rådføre seg med personvernombudet, dersom et personvernombud er oppnevnt, for gjennomføring av en DPIA.
3. DPIA er særlig nødvendig i følgende tilfeller:
   1. systematisk og omfattende behandling av persondata,
   2. behandling av særlige kategorier av opplysninger eller av personopplysninger om straffedommer og lovovertredelser,
   3. systematisk overvåking i stor skala av et offentlig område.

Question 12

ART 45 Overføringsgrunnlag basert på adekvans

Answer 12

1. Personopplysninger kan overføres til en tredjestat eller en internasjonal organisasjon når Kommisjonen har fastslått at tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller den aktuelle internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå. En slik overføring skal ikke kreve en særlig godkjenning.
2. Ved vurderingen av om beskyttelsesnivå er tilstrekkelig skal Kommisjonen særlig ta hensyn til det følgende:
   
   1. prinsippet om rettsstaten
   2. om det finnes en eller flere velfungerende, uavhengige tilsynsmyndigheter i tredjestaten
   3. de internasjonale forpliktelsene som den berørte tredjestaten har påtatt seg
3. Etter å ha vurdert om beskyttelsesnivået er tilstrekkelig, kan Kommisjonen beslutte at en tredjestat sikrer et tilstrekkelig beskyttelsesnivå i henhold til nr. 2 i denne artikkel (adekvansbeslutning).

Question 13

Schrems-II dommen
Hvorfor er ikke USA med i adekvans?

Answer 13

Max Schrems anklaget EU fordi han mente at adekvansbeslutning for USA var brudd på GDPR, fordi amerikanske myndigheter har lovlig innsyn i europeiske personopplysninger

Question 14

Schems II dommen
Hvilke 3 lover i USA?

Answer 14

• FISA Section 702 (Foreign Intelligence Surveillance Act) åpner for å innhente etterretning om ikke-amerikanske personer som ikke befinner seg i USA.
• Executive Order 12333 regulerer all amerikansk utenlandsk etterretningsvirksomhet, inkludert aktiviteter som faller utenfor FISA, f.eks. utført utenlands mot ikke-amerikanske personer. Etterretningsvirksomheten kan foregå hemmelig.
• Presidential Policy Directive 28 åpner for masseinnhenting av (person)data for overvåking uten at berørte personer er spesifikt mistenkt eller utpekt som interessante. Dog kan innhentede data kun benyttes for nasjonal sikkerhet, og ikke f.eks. til i industrispionasje.

Question 15

Hva må overføring til USA baseres på?

Answer 15

Art. 46 Overføringer som omfattes av nødvendige garantier, og den tilhørende

Art. 47 Bindende virksomhetsregler.

Question 16

ART 46 Overføringsgrunnlag basert på nødvendige garantier

Answer 16

overføre personopplysninger til en tredjestat eller en internasjonal organisasjon bare dersom behandlingsansvarlig eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler.

Question 17

Hvordan bruke artikkel 6

Answer 17

Er d samtykke?
Er det nødvendig?
Rettslig eller pga vitale interesser?
Allmennhetens interess?
Pga lov, som går foran personvern?