GDPR Flashcards
1
Q
Hva står GDPR for?
A
General Data Protection Regulation
2
Q
Hva er Personvernforodrningen?
A
Personvernforordningen er det samme som GDPR og har som formål å sørge for at vern av fysiske personer i forbindelse med behandling av personopplysninger og samtidig sørge for trygg og fri utveklsning av personopplysninger i EU/EØS,
3
Q
Hvilke norsk lov gjennomfører Personvernforordningen i Norge?
A
Personopplysningsloven fra 2018 - loven tredde i kraft i 20.juli 2018
4
Q
Hva står EMK for?
A
Den europeiske menneskerettkonvensjonen- Er en norsk lov som følger menneskerettsloven og den går forran annen norsk lovgivning ved motstrid.
5
Q
Hva er personopplysningsvern
A
Et vesentlig element av personvernet som innebærer rett til å få vite hvilke personopplysninger andre kjenner til om en selv og hva opplysningene brukes til.-
6
Q
Hva menes med Nedkjølingseffekten
A
Atferdsendring - du endrer atfered fordi du tror noen overvåker deg.
7
Q
Hva er kjennetegnene til Menneskerettighetene?
A
Universelle, Ukrenkelige, Udelelige og Umistelige
8
Q
Har GDPR en egen artikkel om barns rett til bildedeling?
A
Nei
9
Q
Hva kjennetegner de fleste bestemmelsene i Personvernforordningen?
A
De er generelle og forutsetter ikke en bestemt type behandling.
10
Q
Hva menes med “Behandling” ?
A
Dekker ALT man kan gjøre med personoplysninger, inkludert; innsamling, strukturering, prøving av vilkår, beregning, videresending, lagring og all annen bruk.
11
Q
Def: Datatilsynet
A
Datatilsynet er et uavhengig forvaltningsorgan administrativt underlagt Kommunal- og moderniseringsdepartementet. I personvernsaker er Datatilsynet både tilsyn og ombud**. Med dette menes at etaten både skal føre kontroll med at personopplysninger blir behandlet i samsvar med regelverket og sørge for at mangler og feil blir rettet
Datatilsynet skal også blant annet gi råd til privatpersoner og næringsdrivende om behandling og sikring av personopplysninger, og være høringsinstans i saker om personvern. Listen over alle Datatilsynets oppgaver står i personopplysningsloven § 42.
12
Q
Hva er de 4 sentrale drivkreftene bak dagens informasjonsalder?
A
1) Sporingsteknologier og sensorer som tilrettelegger for økt innsmaling av data.
2) Ny innfrastruktur: for tilkobling (f.eks 5G) som tilrettelegger for mer effktiv transport og overføring av data.
3) Lagringsteknologi (f.eks skytjeneste) som muliggjør lagring av store mengder data.
4) Kraftig prosesseringskraft: Muliggjør automatisk analyse av enorme datasett, blant annet gjennom maskinlæringssystemer.
13
Q
Hva er GDPRs hovedformål?
A
Å sikre “vern av fysiske personer i forbindelse med behandling av personopplysninger”.
14
Q
Hva er avidentifisering?
A
Avidentifisering - innebærer at alle personidentifiserende tegn er fjernet, men avidntifiserte opplysninger er fortsatt personopplysninger.
15
Q
Hva er anonymisering og er dette å regne som personopplysning?
A
16
Q
Hva er husstandsunntaket?
A
Gjelder bare for behandling som utføres av fysiske personer. Myndigheter, bedrifter og andre virksomheterm kan derfor ikke vise til dette unntaket.
“Rent personlige eller familiemessige aktiviteter” kan ikke ha et kommersielt formål. De skal ikke kunne knyttes til yrkes- eller forretningsvirksomheter.
Fortalen til GDPR viser til følgende eksempler: «Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på internett i forbindelse med slike aktiviteter.»
En viktig aktivitet husstantsunntaket kan gjelde for er kameraovervåking. Som gjentatt av EU-domstolen, skal unntaket tolkes strengt. Det betyr at unntaket gjelder så lenge kameraet bare fanger opp eiendommen til den fysiske personen og ikke en offentlig sfære eller andres eiendom. Man kal derfor være forsiktig når man setter opp kamera for overvåke eget hjem, egen leilighet eller hage.
17
Q
Hva inngår som særlige kategorier av personopplysninger etter GDPR art. 9(1)?
A
1) Pers.opplys. om filosofisk ovebevisning
2) Pers.Opplys. om fagforening
3) genetiske opplysninger
18
Q
Hva er en invidivuell automatisert avgjørelse?
A
Er en avgjørelse som er utelukkende basert på automatisert behandling og har enten rettsvirkning for den registrerte eller på tilsvarende måte i betydelig grad påvirke den registrerte. Den kan også inkludere profilering, men dette er ikke nødvendig.
19
Q
Er datatilsynet en hovedaktør ved behandling av personopplysninger?
A
Nei, de skal rådgi og overvåke.
20
Q
Hvor mange behandlingsgrunnlag finnes det for allminnelige personopplysninger i GDPR art 6?
A
6 stykker -
21
Q
Listen med behandlingsgrunnlag for behandling av allminnelige personopplysninger uttømmende?
A
Ja, det stemmer!
22
Q
Er samtykket det foretrukne behandlingsagrunnlaget for behandling av alminnelige personopplysninger?
A
Nei.
23
Q
Hva handler art 6 om ?
A
Omhandler personopplysninger til registrerte uavhengig av alder.
24
Q
Hva er reglene i Norge for samtykke hos barn?
A
For å kunne gi et samtykke, finnes det imidlertid egne regler for barn under 18 år. I Norge gjelder en aldersgrense på 13 år for å avgi samtykke. Hvis barnet er yngre, er det nødvendig med et samtykke fra foresatte.
25
Hva er en cookie wall
Et middel nettsider benytter seg av for å hindre brukere tilgang dersom man ikke aksepterer Cookies.
26
Hvilke Cookies er nødvnedig for at en nettside skal fungere?
ingen !!
27
Hvilke former for cookies har vi?
Marketing cookie
Statistics cookie (performance)
Functionality cookie (preference)
28
Hva menes med "Avtale" som behandlingsgrunnlag?
Den behandlingsansvarlige kan vise til en avtale som behandlingsgrunnlag for å behandle personopplysninger til den registrerte i 2 tilfeller:
1) Det er nødvendig å behandle personopplysninger for å oppfylle en avtale den registrerte er part i.
2) Det er nødvendig å behandle personopplysninger for å gjennomføre tiltak den registrerte etterspurte for å inngå en avtale.
GDPR stiller ikke noe formkrav til en avtale som behandlingsgrunnlag, men nasjonal lovgivning kan gjøre det. F.eks en arbeidsavtale som strider mot AML, vil ikke være et gyldig behandlingsgrunnlag.
Hvilke opplysninger som kan behandles med avtale om behandlingsgrunnlag vil være avhengig av situasjonen, men slike personopplysninger må være nødvendige for å enten oppfylle avtalen eller gjennomføre tiltak for å inngå den.
29
HVa menes med allmennhetens interesse?
Dette er ikke definert i GDPR. Det kreves ikke at interessen gjelder en majoritet av befolkningen, men det må være en ubestemt gruppe, ikke konkret person (f.eks: Historisk forksning, undervisningsformål, akrivformål, forksning på kollektiv trafikk.
30
En medlemsstat kan aldri tvinge et selskap til å mått behandle personopplysninger?
Nei!
31
Kan en offentlig myndighet (f.eks mattilsynet) vise til berettiget interesse når de utøver offentlig myndighet?
Nei. Berettiget interesse er ikke et ønskelig behandlingsgrunnlag. Ofte benyttes det som en slags "siste utvei" når andre behandlungsgrunnlag ikke passer.
32
Hva er vilkårene for dataoverføring?
1) Den som behandler er underlagt GDPR
2) Behandleren/dataeksportøren tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarig.
33
Hva er personvern?
Det er din rett til vern om personlig integritet. Et vesentlig element i personvernet er at den enkelte skal ha kontroll over, og i størst mulig grad kunne bestemme.
34
Hva er personopplysningsvern?
Personopplysningsvern er den delen av personvern som dreier seg om regler og standarder for behandling av personopplyninger
35
Hva er personvernkommisjonens oppgave?
Det mest sentrale regelverket somutgjør det internasjonale rammeverket for beskyttelse av retten til personvern.
De har i oppgave å kontinuerlig arbeide mot dagens samfunn og hvordan dette møter retten om personvern. Gjennom mandate er kommisjonen oppfordret til å drøfte hvordan digitaliseringen, og medfølgende økt behandling av personopplysninger, legger press på det gunnlovfestede personvernet. Mandate innbefatter IKKE helseområdet.
36
Retten til personvern beskytter individet mot?
Mot mektige aktørers overvåking og kontroll
2) Beskytter individet mot maktmisbruk og overdreven kontroll.
3) å ivareta personven er ensbetydig med å respektere konteksten informasjonen er gitt i.
37
Hvilke grunn kan benyttes for å overstyre den enkeltes rett til personvern?
Retten til personvern kan overstyres dersom det foreligger flere legitime begrunnelse dersom det strider mot ivaretagelse av samfunnsfunksjoner. f.eks: etterforksning.
38
Hva menes med kontekstuell personvern?
Handler om at selv om det r tilgjengeliggjort opplysninger om seg selv til en større eller mindre krets med mennesker, består interessen i å bestemme over tilgangen til opplysningene om egen person.
AKA:
Individene er villige til å akseptere en større åpenhet i noen sammenhenger, men kan likevel ha et sterkt ønske om å skjerme seg i andre sammenhenger.
39
Hva handler Barnekonvensjonen om?
Barnets rett til personvern er gitt gjennom FNs konvensjon om barnets beste (barnekonvensjonen).
Barnekonvensjonen setter barnet eksplisitt i sentrum og gir baarnet status som selvstendig rettighetshaver. Det følger også at barn har rett til beskyttelse ved innblanding i privatliv.
40
Hva er oppgavene til barnekomiten ?
Deres oppgave er å være et overvåkingsorgan for barnevernkonvensjonen.
41
Når kan du bruke Protestering
Du kan bruke protestering når det skjer med allmennhetens interesse eller berettiget interesse som grunnlag.
42
I hvilke tilfeller kan samtykke ikke trekkes tilbake? Hva brukes istedenfor?
Samtykke kan alltids trekkes tilbake, med mindre behandlingsgrunnlaget er basert på allmennhetens- eller berettiget interesse som grunnlag (Bruke protestering).
43
Definisjon: Direktiv
44
Avtalen om det Europeiske økonomiske samarbeidspartnere
Island - Liecthenstein og Norger.
45
Definisjon: EØS-komiteen
Behandler alt nytt EU-regelverk som vurderes som EØS relevant, for å forsøke å implmentere dette i EØS-avtalen
46
EMK
internasjonal avtale, 46 medlemsland i Europarådet, hvor statene forplikter seg ovenfor hverandre til å sikre individet friheter og rettigheter
47
EMK artikkel 8
en bestemmelse som verner om retten for privatliv og familieliv.
48
EU-domsstolen
EU sin dømmende makt. De har det siste ordet ordet i spørsmål om hvordan medlemdsland skal tolke EU-retten. Domsstol består av en dommer fra hvert land.
49
Europarådet
De viktigste oppgavene er å verne om menneskerettighetene, demokrati og rettsstatprinsippet. Samarbeidet i Europarådet medførte bla. EMK
49
Fortalen til personvernforordningen
Tolkningshjelp ved anvendelse av artiklene. Dette da fortale utfyller og forklarer artiklene
49
Forordning
En bindende EU-rettsakt (retts dokument). Så rakst en forordning publiseres i EU-tidende på EU sine 23 offesielle språk, er den bindende for alle medlemsstater og behøves ikke gjennomføres i nasjonal rett. Men er man en del av EØS må denne gjennomføres i nasjonal rett (Norge, Island og Leich) så fremt de bedømmes som EØS-relevant.
49
EU-Kommisjonen
Et styringsorganene i EU, sammen med Europaparlamenttet, EU-domstolern og det europeiske råd. EU-kommisjonen har rolle som EU sin utøvende myndighet. Dette styreorganet har betydelig egen vedtaksmyndighet.
50
Forskrift
Regler laget av andre organer enn Stortinget, eksempelvis kommuner eller departementer. Inneholder som ofter mer detaljert....
51
legaldefinisjon
Definisjoner som frekommer i form av lov. De fleste slike definijsoner gjelder kun loven de står i.
51
DEF: Konvensjon
Konvensjon gir ofte mer omfattende regulering og inngåa mellom et større antall stater. - er en avtale.
52
Lovforarbeid
Et dokument som er blitt til som ledd i forbredelsen av en lov. Forteller hvordan du skal tolke en tekst i en lov.
53
Lovutvalg
Ved forbredelse av en mer omfattende lov, blir det opprettet et utvalg bestående av individer med spesialkompetanse innen det aktuelle lovområdet. Utvalge får i oppgave å komme med en anbefaling til departementert og blir ofte publiseert i NOU (norges offentlige...)
54
Ordlyd
Den allminnelige betydning av en setning/ et ord.
55
Personopplysningsloven 2018
56
Personverndirektivet og personvenrforordningen
57
Personvernnemda
et uavhengig forvaltningorgan som en underordnet konge og departement. Fungere som et klageorgan for vedtak fattet av datatilsynet.
58
Personvernrådet (Europa Data Protection Board)
Et selvstedning EU-organ som skal gi retnignslinjer og uttalelser om hvordan GDPR skal tolkes. Består av datatilsynsmyndigheter i alle EØS-land og EU-land.
59
Rettslig grunnlag/ Hjemmel
At det fremgår av en lov, forskrift, rettspraksis eller anne rettskilde at man har lov til å begå handlingen.
60
Skjønnsmessig avveining
Kan definineres som en intereseavveing eller helhetsvurdering.
61
Hvilke 5 rettsdokumenter reglerer personvern på internasjonalt nivå?
1) FNs verdenserklæring om menneskerettigheter artikkel 12
2) Konvensjon om sivilie og politiske rettigheter
3)Europarådets personvernkonvensjon
4) EUs charter om grunnleggende rettigheter
5) den europeiske menneskerettskonvensjonen.
62
Hvilke 3 funksjoner har datatilsynet i det norske samfunnet?
1) Tilsyn og ombud
2) Gi råd til behandling /sikring av personopplysninger til privatpersoner og næringsdrivende.
3) Være en høringsdistans i personvernsaker
63
Hvem utgjør Personvernrådet (
1) Datatilsyns mydn ingjhetene i alle EØS land og EU-organets eget .....
64
Hvilke 3 lovgivninger regulerer personvern på nasjonalt nivå?
1) Grunnloven §102
2) Grunnloven § 104
3) Europeiske menneskerettskonvensjonen (artikkel 8 - rett til privatliv og familieliv".
65
Hva er formålene med GDPR?
1) Behandling av personopplysninger bør tjene menneskeheten
2) fastsette regler om vern av fysiske perosner innen behandlin av personpplysninger, samt regler for fri utveklsing av personopplysninger.
3) Sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig til personvern.
66
Hvilke 2 instanser håndhever GDPR?
Datatilsynet og Personvernemda.
67
Hva innebærer personopplysningvern?
En rett til å være vite hvilke opplysninger andre kjenner til om deg, .........
68
De aller fleste bestemmelsene i personverforordning er:
Generelle og forutsetter ikke en bestemt type behandling. (de er også teknologi nøytrale)
69
Hva dekker begrepet Behandling?
Alt du kan gjøre med en personopplysning, Innsamling, strukturering, .... beregning, lagring og sletting.
70
Hva er de 4 sentrale dirvfkretene bak dagens informasjonsalder?
1) Sporings teknlogier og sensorer
2) Nye infrastrukturer for tilkobling
3) Lagringsteknologi (Skystjenester)
4) Kraftig prosesseringkraft muliggjøre automatisk analyse av enorme
71
Hva innebærer "Kun-en gang" prinsippet?
At alle opplysninger som samles inn om innbyggere som en del av forvaltingsprosesser skal kiunne viderebehandles av andre etater, slik at innbyggeren ikke bes om å oppgi de samme opplysningene flere ganger.
72
Hvilke teknologiske tiltak kan gjøres for å sikre personvernet i dag?
1) Ende til Ende kryptering
2) Personvernvennlig utfordrere til teknologigigantene (ikke sporing av brukere f.eks)
3) Åpen kildekode (gjør at "hvem som helst" kan inspisere programvaren for å avdekke hva som foregår/hvilke data som samle)
4) Edge computing (Teknologi som tilrettelegger for behandling av data på lokale servere, et alternativ til skytjenester som flytter behandlingen til eksterne servere).
73
Hvordan definerer GDPR artikkel 4(1) en personopplysning?
"Enhver opplysning om en identifisert eller en identifiserbar fysisk person (den registrere)":
74
i hvilke tilfeller kan opplysninger om avdøde personer utgjøre person utgjøre personopplysninger etter GDPR?
Dersom opplysingene kan knyttes til andre i familien.
75
Hva er de 9 særlige kategoriene av personopplysninger listet i GDPR artikkel 9 (1)?
1) Biometriske
2) Filosofisk overbevisning
3) Seksuell orientering
4) Helseopplysninger
5) Politisk oppfatning
6) Trosoppfatning
7) rasemessige og etniske opprinnelse
8) fagforenings medlemskap
9) Genetiske opplysninger.
76
Definere: Særlige kategorier
77
Hvordan defineres biometrisk opplysninger?
Personopplysninger som stammer fra en særskilt teknisk behandling, knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske personer. f.eks ansiktbilder eller fingeravtrykksopplysninger".
78
Hva er spesielt med særlig kategorier av personopplysninger?
Artikkel 9 angir at behandling av slike perosnopplysninger er forbudt, med mindre man kan benytte seg av et "ekstra" behandlingsgrunnlag. kan kreve at man 1) foretar en personvernkonsekvens-vurdering eller 2) å utpeke en et personverombud som skal bistå behandlingsansvarlig.
79
Hva er forskjellen mellom 1) Eksplitte og 2) utledede og sammensatte særlige kategorier av personopplysninger?
Eksplisitt = at det er synlig man kan se (graviditet, forkjølelse)
Utlede og sammnsatte = informasjon som man fanger opp og setter sammen.
80
Hvilke 2 kriterier må man ta hensyn til for å fastslå om man behandler sensitiv personopplysninger?
1) Hvor mye informasjon du har tilgang til. I hvilke sammenheng personopplysning blir behandlet, hvor stor mengde for personopplysninger man har tilgang til.
2) Formålet med behandling av slike personopplysninger.
81
Hvilken annen kategori enn sensitive personopplysninger, kreve også strengere vern?
Personopplysninger om lovovertredelser og straffedommer. (Brudd på lovverk)
82
Hvilke krav stilles til anonymisering?
Det skal være umulig å gjenfinne koblingen mellom opplysningene og den bestemte personen (en irreversibel prosess). Dette inkluderer også "hjelpemidlene som med rimelighet kan tenkes brukt for å identifisere vedkommende". Dermed er behandlingansvarlig for anonyme opplysninger pliktet til å følge med på om ny teknologi kan endre opplysningenses sikkerhet.
83
Hva innebærer avidentifisering og anses avidentifiserte opplysninger som personopplysninger?
Fjerne alle personidentifiserende tegn.
84
hva innebærer pseudonymisering?
at man erstatter en personpplysning med f.ekse med navn med et pseudonym. man lagrer de pseudonymiserte opplysninger et sted og tilleggsopplysningene et annet sted. Slike opplysninger anses likevel å være personopplysninger.
85
Hva er profilering og hva er formålet?
"Enhver form for automatisert behandling av personopplysninger, hvor personlige aspekter ved en fysisk person blir vurdert for å analysere, utlede eller forutsi utfall (prestasjoner, helse, atferd, preferanser)".
Formålet er å vurdere personlige aspekter for å kunne tilegne seg eller predikere informasjon/atferd.
86
Hva kan være problematisk med profilering?
Kan være diskriminerende, manipulasjon eller desinformasjon (tredjepartsaktører som har samlet feilaktig informasjon som påvirker annonse en ser).
87
Hvordan kan vi forstå individuelle automatiserte avgjørelse i tråd med GDPR?
En individuell automatisert avgjørelse er:
1) utelukkende er basert på automatisert behandling
2) kan inkludere profilering, men er ikke nødvendig
3) Har enten rettsvirkning for den registrerte (nektet sykepenger)
4) eller på tilsvarende må i betydelig grad påvirker den registrerte (påvirker den registrerte sine valg, gir langvarig innflytelse, fører til diskriminering).
88
Def: individuelle automatiserte avgjørelser
En individuell automatisert avgjørelse er en avgjørelse som:
- Er utelukkende basert på automatisert behandling
- Kan inkludere profilering, men dette er ikke nødvendig
- Har enten rettsvirkning for den registrerte
- Eller på tilsvarende måte i betydelig grad påvirker den registrerte.
89
Det er i utgangpunktet ulovelig å utsette en en registrert for en individuell automatisert avgjørelse, men hvilke unntak finnes?
1) Dersom der er nødvendig for å inngå/ oppfylle en avtale mellom den registrerte og behandlingsansvarlig
2) Dersom det er tillatt i henhold til unionsretten eller medlemsstatenes nasjonal rett
3) Dersom det er basert på den registrerte sitt uttrykkelige samtykke.
90
Hvordan kan GDPR utøves i land som ikke inngår i EU/EØS?
GDPR kan gjelde for de som behandler personopplysninger , men ikke er etablert i EØS. De er med andre ord etablert i “tredjeland” som f.eks USA, Kina, Tyrika, India eller Japan. For at GDPR skal gjelde må følgende vilkår være oppfylt:
- Virksomheter som er etablert i tredjeland behandler personopplysnniger til personer som befinner seg i EØS.
- Behandling av personopplysinger til slike personer er knytte ttil tilbud eller tjenester, monitorering av atferd, monitorering av personer som befinner seg i EØS.
91
Hvilke tre hovedroller skiller vi mellom ved behandling av personopplysninger?
Behandlingsansvarlig, den registrerte og databehandler
92
Hvilke rettigheter har den registrerte?
1) Rett til Informasjon
2) Rett til innsyn
3) Rett til retting
4) Rett til protestering
5) Rett til begrensing
6) Rett til sletting
Rett ved sutomatiserte avgjørelser
7) Rett til dataportibilitet
93
Når har den registrerte rett til å protestere på behandling av personopplysninger?
Den regidtrerte kan protestere mot behandling av personopplysninger i særlige tilfeller. F.eks
1) Når behandlingen av personopplysningen skjer med allmennhetens eller berettiget interesse som grunnlag og kan ikke påvises tungtveiende grunner som går foran den registrertes interesser.
2) Behandlingen av opplysningene skjer for direkte markedsføring.
Når den registrerte protesterer mot behandling kan opplysningene ikke lengre brukes for de formålene. Virksomheten skal opplyse om retten til å protestere mot en konkret behandling ved innsamling av personopplysninger eller første kontakt
94
Hva menes med den registrertes rett til informasjon?
Den registrerte skal gis informasjon uavhengig av om opplysningene samles inn direkte fra den registrerte eller fra en tredjepart. Informasjoen SKAL gis på en kortfattet, åpen forståelig og lett tilgjengelig måte, og på et klart og enklet språk.
95
Den registrerte har rett til sletting som kan være begrenset i visse tilfeller. Hvilke tilfeller har den behandlingsansvarlige plikt til å slette personopplysninger?
Den registrerte har rett til å få sine personopplysninger slettet og den behandlings ansvarlige har en plikt til å slette personopplysningene når:
1) Pers.oppl. ikke lengre er nødvendige for de formålene de ble samlet inn for.
2) Den registrerte trekker tilbake samtykket som ligger til grunne for behandlingen og det ikke finnes noe annet rettslig grunnlag for behadnlingen.
3) Den rgistrerte protesterer mot behandlingen
4) Personopplysninger er ulovelig behandlet
5) Pers.oppl. må slettes for å oppfylløe en rettslig forpliktelse.
6) Pers.oppl. gjelder personer under 16 år og ble samlet inn av digital tjeneste uten samtykke fra den med foreldre ansvar.
96
Automatiserte avgjørelser som i betydelig grad påvirker vedkommende eller har rettsvirkning er i utgangspunktet forbudt. Dette kalles for retten til å ikke være gjenstand for automatiserte avgjørelser. Det finnes likevell 3 unntak, hva er de?
1) Den registrerte har gitt eksplisitt samtykke til det
2) Avgjørelsen er nødvendig for å inngå eller oppfylle en avtale.
3) Det finnes en hjemmel for det.
97
Hva menes med dataportabilitet?
Innebærer at den registrerte også kan motta sine personopplysninger i strukturert, alminnelig anvendt og maskinlesbart format. Når teksnisk mulig skal denne metoden benyttes ved overføring av data fra en virksomhet til en annen.
98
Hva menes med behandlingsansvarlig?
Er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes er behandlingsansvarlig. Dette er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som ALENE ELLER SAMMEN MED ANDRE BESTEMMER FORMÅLET MED BEHANDLINGEN AV PERSONOPPLYSNIGER OG HVILKE MIDLER SOM SKAL BENYTTES.
99
Hva menes med Databehandler?
Databehandler er den som behandler personopplysninger på vegne av den behandluingsansvarlige. Dette er en fysis eller juridisk person, offentligmydnighet, institusjon eller ethvert annet organ som BEHANDLER PERSONOPPLYSNINGER PÅ VEGNE AV DEN BEHANDLINGSANSVARLIGE.
Databehandler skal ikke engasjere en annen behandler uten samtykke fra behandlingsansvarlig og skal kun behandle personopplysninger etter instruks fra behandlingsansvarlig.
100
Kan samme person/virksomhet/ organ være både behandlingsansvarlig og data behandler?
Samme person/virksomhet / organ kan være både behandlingsansvarlig og databehandler i forhold til de samme personopplysningene, men ikke i forhold til samme behandling.
F.eks: Inspera er databehandlere når de behandler personopplysninger på vegne av UiB. Skulle Inspera bruke disse opplysningene for andre formål enn den definert av UiB, blir inspera behandlingsansvarlig i henhold til slik behandling fordi det er Inspera som bestemmer formål og midler for slik behandling.
101
Hvor mange prinsipper for behandling av personopplysninger finnes i GDPR art 5?
7 prinsipper:
1) Lovlig, rettferdig og åpenhet
2) Formålsbegreninsning
3) Dataminimeringsprinsippet
4) Riktighetsprinsippet
5) Lagringsbegrens - prinsippet
6) Integritet og konfidensialitet
7) Ansvarsprinsippet
102
Hva går Prinsippet om lovlighet, rettferdighet og åpenhet ut på?
At personopplysninger skal behandles på en lovlig, rettfedig og åpen måte med hensyn til den registrerte. Det er ikke lov å behandle personopplysninger automatisk uten at det foreligger et gyldig rettslig grunnlag. Dette innebærer at behandlingsansvarlig må forsikre seg om at slikt grunnlag foreligger før det skjer en behandling.
Behandligen må skje i samsvar med GDPR og annen relevant lovgivgning som f.eks Grunnloven, EU-rett og folkerettslige imstrumenter.
Rettferidghet: Behandling av personopplysniger skal ikke skje på en urettmessig måte som er ugunstig eller misvisende for den registrerte.
Åpenhet: Det skal sørges for at den registrerte får informasjon nødvendig for å fatte beslutninger og utøve sine rettigheter i samsvar med GDPR.
103
Hva er formålsprinsippet og hvilke 2 aspektere inngår i dette?
Personopplysninger skal samles inn for spesifikke, uttrykkelig angitt og berettigefe formål og ikke viderebehandles på en måte som er uforenelig med disse formålene; ...viderebehandling for aktiv formål i allmennhetens interesse, for formål knyttet til vitenskapli eller historisk forskning eller for statistike formål, i samsvar med artikkel 89 nr 1 ikke anses som uforenelig med de opprinnelige formålene.
Det er 2 aspekter ved dette prisnippet:
1) For det første skal behadnling av personopplysninger skje på bakgrunn av det eksplisitte og forhåndsdefinerte formålet der behandling begrenses til det som er nødvendig for å oppnå dette.
2) For det andre skal hver videre behandling BARE SKJE når den er forenelig med opprinnelig formål.
104
Hva menes med dataminimeringsprinsippet?
I følge dette prinsippet skalø bare opplysninger som ernødvendige for å oppnå formålet med behandlign behandles. Samtidig skal det sørges for at opplysningene som samles inn er tilstrekkelige for å oppnå formålet. Det vil si at opplysningene skal faktisk kunne brukes til det bestemte formålet etter innsamlingen.
105
Hva menes med riktighetsprisnippet?
Personopplysningene skal være korrekte og om nødvendig oppdaterte; det må treffe ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for , uten opphold slettes eller rettes.
106
Hva menes med lagringsbegresnings prinsippet?
Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for akrivformål i allmennhetens interesse, for formål knyttet til vitenskaplig eller historisk forksing eller statistisk formål.
I følge dette prinsippet skal det ikke være mulig å identifisere de registrerte etter at formålet med behandlingen ble oppfylt. Det innebærer at behandlingsansvarlig må definere hvor lenge personopplysninger skal lagres i en form som tillater identifisering av den registrerte, i samsvar med formålet med behandlingen.
107
Hva menes med integritet og konfidensialitet?
Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uatorisert eller ulovelig behandling mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak.
108
Hva menes med ansvarsprinsippet?
Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at de prinsippene overholdes. Ansvarlighetsprinsippet at den behandlingsansvarlige har ansvar for å kunne påvise etterlevelse av alle personvernprinsippene.
109
Hvor mange behandlingsgrunnlag har fremkommer det i GDPR?
6
110
Det skilles mellom 2 typer bhandlingsgrunnlag
1) Samtykke
2) Utvetydig samtykke
111
Hva menes med samtykke i GDPR?
