GDPR (General Data Protection Regulation) er en personvernforordning som trådte i kraft i EU og EØS-området den 25. mai 2018. GDPR harmoniserer personvernreglene i hele EU og EØS og gir innbyggerne økt kontroll over sine personopplysninger. Den gjelder for alle organisasjoner og bedrifter som behandler personopplysninger om EU- og EØS-borgere, uavhengig av hvor organisasjonen eller bedriften er etablert.
I denne teksten dekker vi følgende problemstillinger som vi stadig møter og som er relevante for salg, markedsføring og kundestøtte:
- Hvordan håndtere persondata i et CRM?
- Hva er lovlig grunnlag for å samle og behandle personopplysninger?
- Hva betyr informasjonsplikt?
- Hvilke krav ligger til grunn for informasjon og rett til innsyn?
- Hva betyr dataminimering innen GDPR?
- Hvor mye data har du lov til å samle inn?
- Når må du slette data?
- Hva er forskjellen på GDPR og den norske personvernloven?
- Hvordan forholder GDPR seg til loven om markedsføring?
- Hva er markedsføringsloven?
- Hva menes med en behandlingsansvarlig?
- Hva er en databehandleravtale?
- Hva er en personvernerklæring?
- Når skal man melde avvik til Datatilsynet?
- Hva er sensitive personopplysninger?
- Hva er personvern?
- Hva skjer med cookies og sporing?
- Er Google Analytics lovlig? Google Analytics kan være ulovlig
- Hvilke alternativer i EU finnes til Google Analytics?
- Hva er Schrems II-dommen?
- Juli 2023: Nye regler for overføring av personopplysninger til USA
- Juli 2023: Datatilsynet har midlertidig lagt ned forbud mot adferdsbasert reklame på Facebook og Instagram
Tillegg:
Hva må du tenke på når du legger inn personer i et CRM eller kontaktdatabase?
Når du legger inn personer i en kontaktdatabase, er det noen viktige prinsipper og regler du må følge:
- Lovlig grunnlag: Du må ha et lovlig grunnlag for å samle og behandle personopplysningene, for eksempel samtykke, kontrakt, rettslig forpliktelse, eller berettiget interesse.
- Informasjon og innsyn: Du må informere personene om at du samler inn og behandler deres personopplysninger. Informasjonen bør inkludere formålet med behandlingen, hvilke data som samles inn, hvor lenge dataene lagres, og kontaktinformasjon for databehandleren. Personen skal også informeres om sine rettigheter, som retten til innsyn, retting, sletting, begrensning av behandling og retten til å klage til en tilsynsmyndighet.
- Dataminimering: Du bør samle inn og behandle kun de personopplysningene som er nødvendige for det oppgitte formålet.
- Lagring og sikkerhet: Du må sørge for at personopplysningene lagres trygt og sikkert og beskyttes mot uautorisert tilgang, endring eller sletting.
- Tidsbegrensning: Du bør ikke lagre personopplysningene lenger enn det som er nødvendig for formålet med behandlingen.
Hva betyr informasjonsplikt?
Når det gjelder informasjonsplikten, bør du informere personene om at de ligger i databasen så snart som mulig og senest innen én måned etter at personopplysningene er samlet inn. Hvis du planlegger å bruke dataene til et annet formål enn det de ble samlet inn for, må du informere personene om dette nye formålet før du begynner å behandle dataene.
Det er viktig å merke seg at regelverket og kravene kan variere avhengig av din jurisdiksjon og situasjon. For detaljert informasjon og veiledning, bør du konsultere en advokat eller personvernombud med ekspertise i personvernlovgivning i ditt område.
Hva betyr lovlig grunnlag?
Lovlig grunnlag er et av hovedprinsippene i GDPR og personvernforordningen. Det innebærer at organisasjoner må ha et gyldig og legitimt grunnlag for å behandle personopplysninger. Eksempler på lovlige grunnlag inkluderer samtykke, kontraktsforpliktelser, rettslige forpliktelser, beskyttelse av vitale interesser, oppgaver i allmennhetens interesse og berettiget interesse. Riktig bruk innebærer å sikre at organisasjonen har et tydelig og passende grunnlag før behandling av personopplysninger starter. For eksempel kan en nettbutikk be kundene om samtykke til å sende dem markedsføringsmateriell. Feil bruk kan oppstå når en organisasjon behandler personopplysninger uten et tilstrekkelig grunnlag, som å sende e-postreklame til kunder uten deres samtykke eller uten annet legitimt grunnlag.
Hva betyr samtykke og eksempler på samtykke?
Samtykke er en kritisk komponent i personvern og databeskyttelse, spesielt i lys av General Data Protection Regulation (GDPR) og den norske markedsføringsloven. Begge disse regelverkene krever at bedrifter og organisasjoner innhenter samtykke fra individer før de kan samle inn, behandle og dele personopplysninger. Samtykke innebærer at en person frivillig, informert og utvetydig gir tillatelse til at deres personlige data blir brukt til bestemte formål.
GDPR definerer samtykke som en "fri, informert og utvetydig viljesytring, ved en erklæring eller en annen entydig bekreftende handling, som den registrerte aksepterer behandling av personopplysninger som gjelder vedkommende". Den norske markedsføringsloven har også bestemmelser om bruk av personopplysninger i markedsføring og krever at samtykke innhentes for visse typer markedsføring og datainnsamling.
Her er fem eksempler på samtykke man kan gi et selskap innenfor GDPR og den norske markedsføringsloven:
- Nyhetsbrev: Når en person registrerer seg for et nyhetsbrev og gir sitt samtykke til å motta e-post med nyheter, tilbud og annen relevant informasjon fra selskapet, har de gitt samtykke til å få sin e-postadresse og eventuelle andre oppgitte personopplysninger behandlet for dette formålet.
- Bruk av cookies: Nettsteder bruker ofte informasjonskapsler (cookies) for å forbedre brukeropplevelsen og samle inn data om besøkendes atferd. Et samtykke-banner på et nettsted kan informere brukeren om bruken av cookies og be om samtykke til å installere og bruke dem på brukerens enhet.
- Markedsføringskommunikasjon: Et selskap kan be om samtykke til å sende markedsføringsmateriell via ulike kanaler, som e-post, SMS eller telefon. Dette kan skje gjennom en egen samtykkeerklæring eller ved å gi brukeren muligheten til å velge inn i markedsføringskommunikasjon når de registrerer seg for en tjeneste.
- Deling av data med tredjeparter: Et selskap kan be om samtykke til å dele personopplysninger med tredjeparter, som partnere eller underleverandører, for bestemte formål. Dette kan inkludere markedsføring, analyser eller forbedring av produkter og tjenester. Brukeren må informeres om hvilke tredjeparter dataene deles med og hva formålet med delingen er.
- Profilering og personalisering: Profilering innebærer analyse av personopplysninger for å forutsi eller evaluere et individs preferanser, interesser og atferd. Et selskap kan be om samtykke til å bruke personopplysninger for å tilpasse innhold, annonser og tilbud basert på brukerens profil.
Hva menes med informasjon og innsyn?
Informasjon og innsyn er et annet viktig prinsipp i GDPR. Det krever at organisasjoner informerer de registrerte om behandlingen av deres personopplysninger på en klar, forståelig og lett tilgjengelig måte. Riktig bruk av dette prinsippet innebærer å gi de registrerte detaljert informasjon om formålet med behandlingen, hvilke data som samles inn, hvem som er ansvarlig for behandlingen, og deres rettigheter knyttet til personopplysningene. Et eksempel på riktig bruk er en nettbutikk som gir tydelig og fullstendig informasjon om personvernpraksisen i en personvernerklæring og informerer kundene om deres rettigheter. Feil bruk kan være å ikke informere de registrerte om behandlingen av deres data eller å gi ufullstendig eller villedende informasjon.
Hva betyr dataminimering innen GDPR?
Dataminimering er et prinsipp som innebærer at organisasjoner bare skal samle inn og behandle personopplysninger som er nødvendige for det oppgitte formålet. Riktig bruk av dette prinsippet innebærer å vurdere nødvendigheten av å samle inn og behandle hver type personopplysning og begrense innsamlingen til det som er absolutt nødvendig. For eksempel kan en nettbutikk samle inn kundens navn, adresse og betalingsinformasjon for å behandle en bestilling, men ikke deres alder eller kjønn hvis det ikke er nødvendig. Feil bruk kan være å samle inn og behandle personopplysninger som ikke er nødvendige for formålet, for eksempel å samle inn detaljerte demografiske data om kunder uten at det er relevant for tjenesten som tilbys.
Hva betyr lagring og sikkerhet innen GDPR?
Lagring og sikkerhet er prinsipper som krever at organisasjoner beskytter personopplysningene mot uautorisert tilgang, endring og sletting gjennom egnede tekniske og organisatoriske tiltak. Riktig bruk av disse prinsippene innebærer å implementere sikkerhetsprotokoller, kryptering, tilgangskontroll, og regelmessige sikkerhetsvurderinger for å beskytte personopplysningene. Et eksempel på riktig bruk er en nettbutikk som bruker kryptering for å beskytte kundenes betalingsinformasjon og har strenge tilgangskontroller for ansatte som håndterer personopplysninger. Feil bruk kan være å lagre personopplysninger på usikrede servere, bruke svake passord eller ikke oppdatere programvaren regelmessig for å beskytte mot kjente sårbarheter.
Hvor mye data kan du samle inn?
Innen salg og markedsføring kan systemene vi bruker mulighet til å lagre ekstremt store mengder data. Men du har imidlertid bare lov til å samle inn persondata som er nødvendig for å oppfylle spesifikke, lovlige formål.
Her er eksempler på data du har lov til å samle inn:
Grunnleggende kontaktopplysninger: Det er lovlig å samle inn grunnleggende kontaktopplysninger som navn, telefonnummer, e-postadresse, og fysisk adresse. Disse opplysningene skal brukes til å levere tjenesten eller produktet kunden har bestilt, eller for å kommunisere med kunden eller den potensielle kunden.
Transaksjonshistorikk: Du har lov til å samle inn data relatert til kundens kjøpshistorikk, som hva de har kjøpt, når, og hvor mye de har betalt. Denne informasjonen hjelper med å tilby personlig service og produktanbefalinger.
Interaksjon med bedriften: Du kan spore kundens interaksjon med bedriften, for eksempel besøk på nettstedet, åpning av e-poster, eller deltakelse i markedsføringskampanjer.
Preferanser: Kundenes preferanser, som deres foretrukne kommunikasjonskanal, kan også samles inn og lagres i CRM-systemet.
Hva menes med tidsbegrensning?
Tidsbegrensning er et prinsipp i GDPR som innebærer at personopplysninger ikke skal lagres lenger enn det som er nødvendig for formålet med behandlingen. Organisasjoner må vurdere hvor lenge de trenger å lagre personopplysningene og slette dem når de ikke lenger er nødvendige. Riktig bruk av dette prinsippet innebærer å etablere og følge en tidsplan for sletting av personopplysninger basert på deres nødvendighet og formålet med behandlingen. For eksempel kan en nettbutikk slette kundenes kontoopplysninger etter en viss periode med inaktivitet, med mindre det er lovpålagte krav om å lagre dataene lenger. Feil bruk kan være å lagre personopplysninger på ubestemt tid uten en gyldig grunn eller å ikke slette dataene når de ikke lenger er nødvendige for formålet de ble samlet inn for.
Hvis selskapet du jobber i tilbyr et frokostseminar og spør gjestene om de har eventuelle allergier, vil data om allergier typisk være noe som bør slettes rett i etterkant av seminaret.
Når må du slette data i henhold til personvernet?
I henhold til personvernlover som GDPR, er det viktig å slette personopplysninger når de ikke lenger er nødvendige for det formålet de ble samlet inn for, eller når de registrerte trekker tilbake sitt samtykke og det ikke finnes andre juridiske grunner for å beholde dataene. Sletting av data er avgjørende for å beskytte personvernet til de registrerte og for å overholde prinsippet om tidsbegrensning.
Sletting av markedsføringsdata
Markedsføring: Når det gjelder markedsføringsdata, må organisasjoner slette personopplysninger når de ikke lenger er nødvendige for markedsføringsformål, eller når mottakeren av markedsføringsmateriell trekker tilbake sitt samtykke. For eksempel, hvis en person abonnerer på et nyhetsbrev og senere melder seg av abonnementet, må organisasjonen slette personopplysningene som e-postadressen, med mindre de har et annet legitimt formål for å beholde dataene, som for eksempel fakturering.
Sletting av data i CMR/salgsstøttesystem
Salg (CRM): I et CRM-system lagres data om kunder og potensielle kunder for salgs- og kundeforvaltningsformål. Organisasjoner må slette personopplysninger når de ikke lenger er nødvendige for å opprettholde kundeforholdet, eller når kunden ber om sletting av sine data. For eksempel, hvis en potensiell kunde ikke lenger er interessert i organisasjonens produkter eller tjenester og ber om å bli fjernet fra CRM-systemet, må organisasjonen slette personopplysningene deres.
Sletting av kundedata i en nettbutikk
Kundedata i nettbutikk: Nettbutikker samler inn og lagrer personopplysninger om kunder for å behandle bestillinger og yte kundeservice. Når en kunde avslutter sin konto, eller når personopplysningene ikke lenger er nødvendige for å oppfylle formålet de ble samlet inn for, må nettbutikken slette kundedataene. For eksempel, hvis en kunde avslutter sin konto og det ikke finnes noen aktive bestillinger eller lovpålagte krav om å beholde dataene, må nettbutikken slette personopplysningene.
Sletting av data hos et telefonselskap
Kundedata hos et telefonselskap: Telefonselskaper lagrer personopplysninger om kunder, for eksempel navn, adresse, telefonnummer og faktureringsinformasjon. Når en kunde avslutter sin avtale med telefonselskapet, må selskapet slette personopplysningene i samsvar med personvernlovgivningen. Det kan imidlertid være lovpålagte krav om å beholde visse typer data, for eksempel faktureringsopplysninger, for en bestemt tidsperiode etter avtaleopphør. Når denne perioden utløper, må telefonselskapet slette personopplysningene.
Det er viktig for organisasjoner å ha rutiner og prosesser på plass for å identifisere og slette personopplysninger når de ikke lenger er nødvendige eller når de registrerte ber om det. Dette innebærer regelmessig gjennomgang av dataene og vurdering av deres relevans og nødvendighet i forhold til formålet de ble samlet inn for.
For eksempel, kan en organisasjon implementere en tidsplan for sletting av personopplysninger basert på deres formål og lovpålagte krav. Dette kan inkludere automatisk sletting av inaktive kontoer etter en viss periode, eller sletting av markedsføringsmateriell og tilhørende personopplysninger etter en bestemt tidshorisont.
Organisasjoner bør også sikre at de har systemer på plass for å reagere på forespørsler fra de registrerte om å utøve deres rett til å bli glemt, dvs. retten til å be om sletting av personopplysninger. Dette kan innebære å gi de registrerte enkel tilgang til å slette sine kontoer, trekke tilbake samtykke, eller be om sletting av data via kundeservice eller et nettbasert skjema.
I tillegg bør organisasjoner sørge for at deres databehandlere og underdatabehandlere også følger personvernlovgivningen og sletter personopplysninger i henhold til kravene. Dette kan oppnås ved å inkludere klare bestemmelser om sletting av data i databehandleravtaler og ved å utføre regelmessige kontroller og revisjoner for å sikre overholdelse.
Å overholde personvernlovgivningens krav om sletting av data er avgjørende for å beskytte personvernet til de registrerte, opprettholde tillit og unngå potensielle sanksjoner eller bøter. Organisasjoner må derfor være proaktive og systematiske i sin tilnærming til sletting av personopplysninger og sørge for at dette skjer i tråd med gjeldende regelverk.
Hva er forskjellen på GDPR og det norske personvernregelverket?
GDPR (General Data Protection Regulation) er en personvernforordning som trådte i kraft i EU og EØS-området den 25. mai 2018. GDPR harmoniserer personvernreglene i hele EU og EØS og gir innbyggerne økt kontroll over sine personopplysninger. Den gjelder for alle organisasjoner og bedrifter som behandler personopplysninger om EU- og EØS-borgere, uavhengig av hvor organisasjonen eller bedriften er etablert.
Det norske personvernregelverket er basert på GDPR og implementerer forordningen gjennom personopplysningsloven og tilhørende forskrifter. Norge, som er medlem av EØS, har gjennom personopplysningsloven og tilhørende forskrifter implementert GDPR i nasjonal lovgivning. Dette betyr at personvernreglene i Norge i stor grad er de samme som i resten av EU og EØS-området.
Mens GDPR legger grunnlaget for personvernreglene, kan det være noen nasjonale tilpasninger og tillegg i det norske personvernregelverket. Disse tilpasningene kan omfatte spesifikke regler for enkelte sektorer, for eksempel helse og forskning, eller tilleggskrav i forbindelse med behandling av sensitive personopplysninger. Videre kan det norske personvernregelverket også omfatte bestemmelser som ikke direkte er knyttet til GDPR, men som fortsatt er relevante for personvern, for eksempel regler om overvåkning og kommunikasjonskontroll.
Datatilsynet er den norske tilsynsmyndigheten som håndhever personvernregelverket i Norge og veileder virksomheter om hvordan de skal overholde reglene. Det er viktig å merke seg at selv om det norske personvernregelverket i stor grad er basert på GDPR, kan det være nyanser og nasjonale tilpasninger som man må ta hensyn til. For detaljert informasjon og veiledning om det norske personvernregelverket, bør du konsultere Datatilsynets nettsider eller kontakte en advokat med ekspertise i norsk personvernlovgivning.
Hvordan forholder GDPR seg til loven om markedsføring?
GDPR og markedsføringslovgivningen er to forskjellige, men relaterte juridiske rammeverk som regulerer bedrifters interaksjon med kunder og potensielle kunder. der GDPR fokuserer på personvern og beskyttelse av personopplysninger, handler markedsføringsloven om hvordan bedrifter kan kommunisere med og markedsføre seg mot kundene.
Markedsføringsloven regulerer hvordan bedrifter kan markedsføre sine produkter og tjenester, inkludert bruk av reklame, e-postmarkedsføring, og telemarketing.
Både GDPR og markedsføringsloven påvirker bedrifters markedsføringsaktiviteter. For eksempel, under GDPR må bedrifter innhente samtykke fra kundene før de kan sende dem markedsføringsmateriell, spesielt hvis det innebærer behandling av personopplysninger. Dette innebærer at bedrifter må sørge for at deres markedsføringsmetoder og -strategier er i samsvar med GDPR-kravene.
På samme måte må bedrifter også overholde kravene i markedsføringsloven. For eksempel kan det være restriksjoner på sending av uønskede e-poster eller krav om å inkludere en "avmeldings"-mulighet i markedsføringskommunikasjon.
I praksis betyr dette at bedrifter må samarbeide tett med juridiske eksperter og personvernansvarlige for å sikre at deres markedsføringsaktiviteter overholder både GDPR og relevant markedsføringslovgivning.
Hva er markedsføringsloven?
Den norske markedsføringsloven, formelt kjent som Lov om kontroll med markedsføring og avtalevilkår mv. (Markedsføringsloven), er en lovgivning som regulerer hvordan bedrifter og organisasjoner markedsfører sine produkter og tjenester i Norge. Loven har som formål å beskytte forbrukere og andre næringsdrivende mot urimelige og villedende markedsføringspraksiser, samt å sikre en rettferdig konkurranse mellom aktørene i markedet.
Markedsføringsloven omfatter en rekke bestemmelser som setter rammer for hva som er tillatt og ikke tillatt i forbindelse med markedsføring og reklame. Noen av hovedpunktene i loven inkluderer:
- God markedsføringsskikk: Loven krever at all markedsføring skal være i samsvar med god markedsføringsskikk. Dette betyr at markedsføringen ikke skal være urimelig, aggressiv eller villedende, og den må ta hensyn til forbrukernes interesser og rettigheter.
- Villedende markedsføring: Loven forbyr villedende markedsføring, som innebærer å gi uriktige opplysninger eller presentere informasjon på en måte som kan forlede forbrukere til å foreta kjøp de ellers ikke ville ha gjort.
- Sammenlignende reklame: Sammenlignende reklame er tillatt, så lenge den er objektiv, ikke villedende og ikke skader konkurrenters omdømme eller goodwill.
- Uanmodet markedsføring: Loven regulerer også uanmodet markedsføring, som for eksempel e-post, SMS og telefonsalg. Forbrukere må ha gitt sitt samtykke før bedrifter kan sende dem elektronisk markedsføring. Videre må det alltid være en enkel og gratis mulighet for mottakeren å avslutte abonnementet på slike meldinger.
- Prisopplysninger: Markedsføringsloven krever at bedrifter gir klare og fullstendige opplysninger om priser, inkludert eventuelle tilleggskostnader og avgifter, slik at forbrukerne kan sammenligne tilbud og ta informerte beslutninger.
- Markedsføring til barn og unge: Loven inneholder spesielle bestemmelser for markedsføring rettet mot barn og unge, med formål om å beskytte dem mot skadelige og upassende markedsføringsbudskap.
Forvaltningen og håndhevelsen av markedsføringsloven er underlagt Forbrukertilsynet, som er en statlig myndighet som arbeider for å beskytte forbrukernes interesser og fremme rettferdig konkurranse i markedet. Forbrukertilsynet kan pålegge sanksjoner, som bøter eller forbud mot ulovlige markedsføringspraksiser.
I tillegg til markedsføringsloven må norske bedrifter også overholde andre relevante lover og reguleringer, slik som GDPR, som regulerer behandling av personopplysninger og personvern. Det er også viktig å være klar over sektorspesifikke regler og bransjestandarder som kan ha innvirkning på markedsføringsaktiviteter.
Norske bedrifter må derfor være oppmerksomme på de ulike juridiske rammeverkene og sørge for at deres markedsføringsstrategier og praksiser er i tråd med både nasjonale og internasjonale lover. Dette innebærer blant annet å utarbeide klare retningslinjer for markedsføring, opplæring av ansatte i relevant lovgivning, og jevnlig overvåking og evaluering av markedsføringsaktiviteter for å sikre overholdelse av gjeldende regelverk.
I praksis betyr dette at bedrifter bør arbeide tett med juridiske eksperter, markedsføringsavdelingen og ledelsen for å utvikle og vedlikeholde en markedsføringsstrategi som er både effektiv og lovlig. Ved å følge markedsføringsloven og andre relevante lover, bidrar bedrifter til et mer rettferdig og konkurransedyktig marked, samtidig som de beskytter forbrukernes rettigheter og interesser.
Oppsummert er den norske markedsføringsloven et viktig juridisk rammeverk som sikrer rettferdig konkurranse og beskytter forbrukere mot urimelige og villedende markedsføringspraksiser. For å overholde loven må bedrifter og organisasjoner være bevisste på sine markedsføringsstrategier og praksiser, og sørge for at de er i tråd med både nasjonale og internasjonale regelverk.
Hva menes med en behandlingsansvarlig?
Behandlingsansvarlig er et begrep som brukes i personvernlovgivningen, som GDPR, for å beskrive en person, offentlig myndighet, etat eller annen juridisk enhet som alene eller sammen med andre bestemmer formålet med og midlene for behandling av personopplysninger. Med andre ord, behandlingsansvarlig er den som har ansvaret for at behandlingen av personopplysninger skjer i samsvar med gjeldende personvernregler.
Behandlingsansvarlig har en rekke forpliktelser og ansvarsområder, blant annet:
- Å sørge for at behandling av personopplysninger er lovlig og skjer i samsvar med personvernprinsippene, som lovlighet, rettferdighet, åpenhet, formålsbegrensning, dataminimering, nøyaktighet, lagringsbegrensning, integritet og konfidensialitet.
- Å informere de registrerte (personene hvis opplysninger blir behandlet) om behandlingen av deres personopplysninger, inkludert formålet med behandlingen, hvilke opplysninger som behandles, rettighetene deres, og kontaktinformasjon for behandlingsansvarlig og eventuelt personvernombud.
- Å gjennomføre konsekvensanalyser relatert til personvern (DPIA) for å identifisere og minimere personvernrisikoer, spesielt når man planlegger å behandle personopplysninger på en måte som kan innebære høy risiko for de registrertes rettigheter og friheter.
- Å sikre at personopplysninger beskyttes mot uautorisert tilgang, endring eller sletting gjennom egnede tekniske og organisatoriske tiltak.
- Å rapportere eventuelle brudd på personopplysningssikkerheten til tilsynsmyndigheten innen 72 timer etter at bruddet ble oppdaget, og informere de berørte registrerte uten ugrunnet opphold hvis bruddet sannsynligvis medfører høy risiko for deres rettigheter og friheter.
- Å samarbeide med tilsynsmyndighetene og følge deres veiledning og instruksjoner.
- Å utpeke et personvernombud (DPO) hvis det er påkrevd, for eksempel hvis virksomheten utfører omfattende behandling av sensitive personopplysninger eller systematisk overvåking av registrerte.
Det er viktig å merke seg at behandlingsansvarlige kan holdes ansvarlige for eventuelle brudd på personvernreglene og kan pålegges bøter og sanksjoner av tilsynsmyndighetene.
Når skal man melde avvik til Datatilsynet?
Som hovedregel har den behandlingsansvarlige en plikt til å melde bruddet til Datatilsynet så snart som mulig.
En personopplysningssikkerhetsbrudd kan oppstå når en uautorisert person får tilgang til personopplysninger, eller når personopplysningene blir brukt eller behandlet på en måte som ikke er i tråd med personvernlovgivningen. Når dette skjer, har den behandlingsansvarlige ansvar for å iverksette tiltak for å begrense skaden og forhindre at det skjer igjen i fremtiden.
Som en del av denne prosessen, har den behandlingsansvarlige plikt til å rapportere bruddet til Datatilsynet så snart som mulig. Dette er fordi Datatilsynet er ansvarlig for å overvåke at personopplysningene behandles i samsvar med gjeldende lover og regler.
Det er viktig å merke seg at det er noen unntak fra denne plikten til å melde avvik til Datatilsynet. For eksempel trenger ikke den behandlingsansvarlige å melde avviket hvis det er usannsynlig at bruddet vil medføre noen risiko for de berørte personene. Likevel er det generelt sett bedre å melde fra om alle avvik, uavhengig av omfanget, for å unngå eventuelle konsekvenser som kan oppstå hvis Datatilsynet senere finner ut om avviket uten at de er blitt varslet på forhånd.
Samlet sett er det viktig for den behandlingsansvarlige å være oppmerksom på sin plikt til å melde personopplysningssikkerhetsbrudd til Datatilsynet og å ta nødvendige tiltak for å begrense skaden og forhindre fremtidige brudd.
Hva regnes som sensitive personopplysninger?
Sensitive personopplysninger, også kalt spesielle kategorier av personopplysninger i GDPR, er typer personopplysninger som anses for å være mer sensitive og som derfor krever et høyere beskyttelsesnivå. Å behandle slike opplysninger er generelt forbudt, med mindre det finnes et spesifikt lovlig grunnlag for behandlingen.
Ifølge GDPR regnes følgende typer opplysninger som sensitive personopplysninger:
- Rase eller etnisk opprinnelse: Opplysninger som indikerer en persons rase eller etniske bakgrunn.
- Politisk oppfatning: Opplysninger om en persons politiske overbevisning eller tilknytning til et politisk parti.
- Religiøs eller filosofisk overbevisning: Opplysninger om en persons religiøse tro eller filosofiske overbevisninger.
- Fagforeningsmedlemskap: Opplysninger om medlemskap i en fagforening eller lignende organisasjon.
- Genetiske data: Data som er hentet fra en persons biologiske prøver og som gir unik informasjon om genetikken deres, for eksempel DNA-sekvenser.
- Biometriske data: Data som er hentet fra en persons fysiske eller atferdsmessige egenskaper som kan brukes til å identifisere dem entydig, for eksempel fingeravtrykk, ansiktsgjenkjenning eller irisskanning.
- Helseopplysninger: Opplysninger om en persons fysiske eller psykiske helse, inkludert medisinsk historie, diagnoser, behandling og eventuelle helserelaterte behov.
- Seksualliv eller seksuell legning: Opplysninger om en persons seksuelle preferanser, praksis eller legning.
Behandling av sensitive personopplysninger er underlagt strengere krav og kontroll fordi de kan føre til diskriminering, stigmatisering eller annen skade for de registrerte hvis de behandles uforsvarlig eller kommer på avveie. Organisasjoner som behandler slike opplysninger må derfor sørge for at de har et sterkt og lovlig grunnlag for behandlingen og at de iverksetter nødvendige tekniske og organisatoriske tiltak for å beskytte disse opplysningene mot uautorisert tilgang, endring eller sletting.
Hva er en databehandleravtale?
En databehandleravtale, også kjent som en data processing agreement (DPA), er en juridisk kontrakt mellom en behandlingsansvarlig og en databehandler. Dette er et krav i henhold til GDPR og tilsvarende personvernlover når en behandlingsansvarlig engasjerer en tredjepart (databehandler) til å behandle personopplysninger på sine vegne.
Hovedformålet med en databehandleravtale er å sikre at begge parter forstår deres ansvar og forpliktelser knyttet til behandling av personopplysninger, og å garantere at personopplysningene behandles i samsvar med personvernlovgivningen. En databehandleravtale skal inneholde bestemmelser som dekker følgende områder:
- Formålet med behandlingen: Avtalen bør angi det spesifikke formålet med behandlingen av personopplysninger og hvilke typer personopplysninger som skal behandles.
- Instruksjoner fra behandlingsansvarlig: Databehandleren skal behandle personopplysningene utelukkende i samsvar med instruksjonene fra behandlingsansvarlig, og avtalen bør beskrive hvordan disse instruksjonene skal gis og følges.
- Sikkerhetstiltak: Avtalen skal inneholde krav om at databehandleren iverksetter nødvendige tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene mot uautorisert tilgang, tap, endring eller sletting.
- Konfidensialitet: Databehandleren og dets ansatte som har tilgang til personopplysningene, skal forplikte seg til å bevare taushet om opplysningene og ikke utlevere dem til uvedkommende.
- Underdatabehandlere: Avtalen skal regulere databehandlerens bruk av underdatabehandlere og sikre at de også er underlagt tilsvarende personvernforpliktelser.
- Bistand til behandlingsansvarlig: Databehandleren skal bistå behandlingsansvarlig med å oppfylle deres forpliktelser i henhold til personvernlovgivningen, inkludert å svare på forespørsler fra de registrerte om deres rettigheter, rapportere personvernbrudd, og utføre konsekvensanalyser relatert til personvern.
- Sletting eller tilbakelevering av data: Ved avtalens opphør skal databehandleren slette eller tilbakelevere alle personopplysningene til behandlingsansvarlig, med mindre det er lovpålagte krav om å beholde dataene.
- Revisjonsrett: Behandlingsansvarlig skal ha rett til å gjennomføre revisjoner eller inspeksjoner for å sikre at databehandleren overholder personvernforpliktelsene i avtalen.
En godt utformet databehandleravtale er viktig for å beskytte personopplysningene, minimere risiko og sikre overholdelse av personvernlovgivningen.
Her finner du et eksempel på databehandleravtale.
Hva er en personvernerklæring?
En personvernerklæring er et offentlig dokument som forklarer hvordan en bedrift eller organisasjon samler inn, bruker, lagrer, deler og beskytter personopplysninger fra kunder, brukere eller andre berørte parter. Formålet med personvernerklæringen er å informere og skape åpenhet om bedriftens behandling av personopplysninger, samt å oppfylle juridiske krav, slik som bestemmelsene i GDPR (General Data Protection Regulation) og annen relevant personvernlovgivning.
En personvernerklæring bør være lett tilgjengelig, forståelig og skrevet i klart og enkelt språk. Den må inneholde følgende informasjon:
Identitet og kontaktinformasjon: Erklæringen bør inneholde navnet på bedriften eller organisasjonen og dens kontaktopplysninger, samt informasjon om eventuelle personvernansvarlige eller databeskyttelsesansvarlige.
- Formålene med behandlingen: En beskrivelse av formålene med innsamling og behandling av personopplysninger, inkludert de juridiske grunnlagene for behandlingen (f.eks. samtykke, kontraktsmessige forpliktelser, legitime interesser).
- Kategorier av personopplysninger: En oversikt over hvilke kategorier av personopplysninger som samles inn og behandles, som for eksempel navn, e-postadresse, telefonnummer og IP-adresse.
- Mottakere av personopplysninger: Informasjon om hvem som kan motta personopplysningene, inkludert eventuelle tredjeparter, underleverandører eller internasjonale overføringer av data.
- Lagring og sikkerhet: Erklæringen bør inneholde informasjon om hvor lenge personopplysningene lagres og hvilke sikkerhetstiltak som er iverksatt for å beskytte dem mot uautorisert tilgang, tap eller skade.
- De registrertes rettigheter: En beskrivelse av de rettighetene som berørte parter har i henhold til personvernlovgivningen, som retten til innsyn, retten til retting, retten til sletting, retten til begrensning av behandling, retten til dataportabilitet og retten til å protestere mot behandling.
- Retten til å trekke tilbake samtykke: Hvis behandlingen av personopplysningene er basert på samtykke, skal erklæringen informere om at samtykket kan trekkes tilbake når som helst, uten at det påvirker lovligheten av behandlingen før tilbaketrekkingen.
- Klageadgang: Erklæringen bør opplyse om berørte parters rett til å klage til en tilsynsmyndighet dersom de mener at behandlingen av deres personopplysninger strider mot personvernlovgivningen.
En personvernerklæring er et viktig verktøy for å sikre at bedrifter og organisasjoner overholder personvernlovgivningen og skaper tillit hos kunder og brukere. Ved å være transparente og kommunisere klart om hvordan personopplysninger håndteres, bidrar bedrifter til å bygge et tillitsforhold og oppfylle sine juridiske forpliktelser.
Det er viktig at personvernerklæringen oppdateres jevnlig for å reflektere eventuelle endringer i bedriftens praksis eller personvernlovgivningen. Bedrifter bør også sørge for at ansatte er godt informert om innholdet i personvernerklæringen og hvordan de skal håndtere personopplysninger i tråd med retningslinjene og gjeldende lovverk.
Sammenfattet er en personvernerklæring et kritisk dokument som informerer kunder, brukere og andre berørte parter om hvordan en bedrift eller organisasjon samler inn, bruker, lagrer og beskytter personopplysninger. Ved å inkludere nødvendig informasjon som beskrevet ovenfor, og ved å holde erklæringen oppdatert og tilgjengelig, bidrar bedrifter til å oppfylle sine juridiske forpliktelser og skape tillit hos kundene og brukerne.
Her finner du et eksempel på en personvernerklæring.
Hva er personvern?
Personvern er et grunnleggende prinsipp som sikrer individets rett til privatliv og kontroll over personopplysninger, basert på ideen om ukrenkelig egenverdi og rett til en privat sfære.
Personvernet er forankret i internasjonale rammer som Den europeiske menneskerettighetskonvensjonen (EMK) og i Norge. I Norge ble personvernet ytterligere styrket den 13. mai 2014, da Stortinget vedtok å inkludere bestemmelsen om personvern i Grunnloven. Ifølge Grunnloven § 102 har enhver rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Dette innebærer beskyttelse av individets personlige integritet mot uautorisert tilgang eller inngripen fra offentlige myndigheter og private aktører.
Personvernet omfatter beskyttelse av personopplysninger, og i dagens digitale verden er det spesielt viktig for å beskytte individets rettigheter og friheter. Et robust juridisk rammeverk og effektive kontrollmekanismer er nødvendige for å sikre personvernet. I EU og EØS er personvernet regulert av GDPR, og norske personvernlover som Personopplysningsloven er i tråd med dette.
Oppsummert er personvern en grunnleggende rettighet som beskytter individets privatliv og personopplysninger, forankret i både internasjonale og nasjonale lover, og sikrer beskyttelse mot uautorisert tilgang eller inngripen i enkeltpersoners private sfære.
Hva skjer med cookies og sporing?
Cookies og sporing er teknologier som brukes på nettsteder for å samle inn informasjon om brukernes aktivitet og preferanser. Dette kan for eksempel inkludere informasjon om hvilke sider en bruker besøker, hvor lenge de oppholder seg på siden og hvilke produkter de viser interesse for. Slik informasjon kan brukes for å forbedre brukeropplevelsen, tilpasse innhold, levere målrettet reklame og analysere nettstedets ytelse.
Bruk av cookies og sporing er underlagt personvernregelverket, som GDPR i EU og EØS-området og Personopplysningsloven i Norge. Disse reglene krever at nettsteder og tjenesteleverandører oppfyller visse krav for å kunne bruke cookies og sporing lovlig:
Informasjon: Nettsteder må informere brukerne om at de bruker cookies og sporing, samt formålet med slik bruk. Dette gjøres ofte gjennom en cookie-erklæring eller en personvernerklæring.
Samtykke: For de fleste typer cookies, særlig de som ikke er strengt nødvendige for nettstedets funksjon, må nettsteder innhente brukernes samtykke før de plasserer cookies på deres enheter. Samtykket skal være frivillig, informert og uttrykkelig, og brukerne må kunne trekke samtykket tilbake når som helst.
Valgmuligheter: Nettsteder må tilby brukerne valgmuligheter angående bruken av cookies og sporing. Dette kan for eksempel innebære å la brukerne velge mellom ulike nivåer av cookies eller sporing.
Sikkerhet og konfidensialitet: Nettsteder må sikre at personopplysninger samlet inn ved hjelp av cookies og sporing behandles på en sikker måte og ikke deles med uautoriserte tredjeparter.
Lagringsbegrensning: Nettsteder må ikke lagre personopplysninger samlet inn gjennom cookies og sporing lenger enn nødvendig for formålet med behandlingen.
Cookies og sporing kan være lovlig så lenge nettsteder og tjenesteleverandører følger personvernreglene og sørger for å informere brukerne, innhente samtykke, tilby valgmuligheter og ivareta sikkerhet og konfidensialitet. Det er viktig å være klar over at ulike typer cookies og sporing kan ha ulike krav og unntak, og at det kan være nasjonale forskjeller i regelverket.
Er Google Analytics lovlig? Google Analytics kan være ulovlig!
Det østerrikske datatilsynet (DSB) undersøkte et nettsteds bruk av Google Analytics og konkluderte med at overføring av personopplysninger til USA var ulovlig med henvisning til Schrems II-dommen fra EU-domstolen.
Datatilsynet for EU-organene (EDPS) støtter avgjørelsen. Norges Datatilsyn behandler også en sak angående Google Analytics og vil se hen til europeisk praksis. Flere europeiske tilsynsmyndigheter vil komme med avgjørelser om Google Analytics, så det anbefales å utforske alternativer.
Østerrikske datatilsynet påpeker at avidentifisering av IP-adresser i Google Analytics ikke løser problemet, da analysedata kan kobles til brukeres Google-kontoer via cookies. Å sende personopplysninger til USA kan være lovlig med nødvendige tiltak, men det er vanskelig for nettstedseiere å sikre at Google implementerer disse tiltakene.
Saken påvirker også andre nettstedverktøy som sender personopplysninger til USA. Nettstedseiere bør ha oversikt over verktøyene de bruker og hvilke personopplysninger de behandler. Ulovlige verktøy må fjernes, og alvorlige saker kan føre til sanksjoner fra Datatilsynet.
Etter Schrems II-dommen i 2020 har organisasjonen noyb klaget inn flere nettsider i EØS for bruk av Google Analytics. Datatilsynsmyndigheter i Europa behandler liknende klager, koordinert av Det europeiske personvernrådet (EDPB). Flere vedtak om Google Analytics forventes i 2022.
Italiensk datatilsyn forbyr bruk av Google Analytics
Italias datatilsyn, Garante Per La Protezione Dei Dati Personali, fastslår at nettsteder som bruker Google Analytics uten nødvendige sikkerhetstiltak bryter personvernregelverket. Årsaken er at brukerdata overføres til USA, uten tilstrekkelig beskyttelsesnivå. Dette ble offentliggjort i en pressemelding 23. juni 2022.
Fransk datatilsyn forbyr bruk av Google Analytics
Det franske datatilsynet (CNIL) besluttet 10. februar at Google Analytics sender personopplysninger til USA, dette ble annonsert i en pressmelding. De pålegger også en fransk nettsideadministrator å følge personvernforordningen og, om nødvendig, stoppe bruken av tjenesten under nåværende vilkår.
Hvilke alternativer i EU finnes til Google Analytics?
Det finnes flere alternativer til Google Analytics som er utviklet og/eller lagrer data innenfor EU og EØS-området. Disse verktøyene fokuserer på personvern og er mer i tråd med GDPR. Her er noen av de mest populære alternativene:
- Matomo (tidligere kjent som Piwik): Matomo er en åpen kildekode webanalyseplattform som tilbyr en lignende funksjonalitet som Google Analytics. Data lagres på dine egne servere, noe som gir deg full kontroll over dataene dine. Matomo tilbyr også en skyversjon hvor data lagres i EU.
- Plausible Analytics: Plausible er et lettvekts, åpen kildekode og personvernvennlig alternativ til Google Analytics. Det krever ikke samtykke fra brukerne, siden det ikke bruker cookies og ikke samler inn personlig identifiserbar informasjon.
- Simple Analytics: Simple Analytics er et annet personvernvennlig alternativ som ikke bruker cookies og fokuserer på enkelhet og oversiktlig rapportering. De lagrer data på servere i EU og gir deg GDPR-kompatible rapporter.
- Fathom Analytics: Fathom er en webanalyseplattform som fokuserer på personvern og enkelhet. De samler ikke personlige data og bruker ikke cookies. Fathom tilbyr et enkelt grensesnitt for analyse og rapportering.
- Countly: Countly er en åpen kildekode webanalyseplattform som tilbyr funksjonalitet for web, mobil og skrivebordsanalyse. Den har en sterk fokus på personvern og datasikkerhet og lar deg lagre data på dine egne servere eller i deres skytjeneste med servere i EU.
Når du vurderer et alternativ til Google Analytics, er det viktig å undersøke hvor dataene lagres, hvilke personvernfunksjoner som tilbys, og om løsningen er i tråd med GDPR og lokale personvernlover.
Hva er Schrems II?
Schrems II-dommen, utstedt av EU-domstolen i juli 2020, har hatt betydelige konsekvenser for overføring av personopplysninger mellom EU og USA. Dommen erklærte EU-US Privacy Shield, en hovedmekanisme for sikker og fri flyt av data mellom EU og amerikanske organisasjoner, ugyldig. Denne avgjørelsen har tvunget mange organisasjoner til å revurdere hvordan de håndterer personopplysningsoverføringer og om overføringsmekanismene de har på plass, er i samsvar med EU's databeskyttelseslov.
Dommen opprettholdt bruken av standard kontraktsklausuler (SCCs), men kastet tvil om denne metoden for overføring av personopplysninger utenfor EU. Det ble pålagt selskaper og regulatorer å utføre analyser fra sak til sak for å avgjøre om utenlandske beskyttelser angående statlig tilgang til overførte data oppfyller EU-standarder.
Schrems II-dommen understreker viktigheten av databeskyttelse i global handel og den kritiske rollen som personvernprofesjonelle spiller i implementeringen av beskyttelser i samsvar med utenlandske juridiske krav.
Juli 2023: Nye regler for overføring av personopplysninger til USA
juli 2023 vedtok EU nye regler som gjør det enkelt å overføre personopplysninger til USA. Reglene trådde i kraft umiddelbart. Hva betyr dette i praksis for oss som jobber med markedsføring, salg og leveranse av tjenester som omfattes av dette?
Det har vært mulig å fritt overføre personopplysninger innad i EU/EØS, mens det som hovedregel har vært forbudt å overføre personopplysninger ut av EØS. Derfor har store selskap som Microsoft, HubSpot og andre viktig å etablere regionale datasentre i EU.
Schrems II satte en stopp for bruken av Privacy Shield Framework for overføring av data til f.eks. USA.
EU-kommisjonen kan fortsatt godkjenne enkeltland gjennom noe som kalles en adekvansbeslutning, og 10. juli godkjente EU en adekvansbeslutning som innebærer at hvis en amerikansk virksomhet er på listen over godkjente virksomheter, kan man overføre personopplysninger til den som om det var en europeisk virksomhet.
Alle andre regler innen GDPR må fortsatt følges, slik at dere må ha behandlingsgrunnlag eller databehandleravtale for å dele personopplysninger med andre. I praksis betyr dette at amerikanske tjenester, som svært mange av oss som jobber med markedsføring og salg, forutsatt at de er på lista - kan brukes.
Les hele artikkelen her: GDPR og personvern: Hva betyr de nye reglene for overføring av personopplysninger til USA?
Juli 2023: Datatilsynet har midlertidig lagt ned forbud mot adferdsbasert reklame på Facebook og Instagram
- juli 2023 nedla det norske Datatilsynet Meta forbud mot adferdsbasert reklame basert på overvåkning og profilering av brukere i Norge, på plattformene Facebook og Instagram.
I desember bestemte Det irske datatilsynet at Meta har utført ulovlig adferdsbasert reklame. Siden da har Meta gjort endringer, men etter en ny avgjørelse fra EU-domstolen, har Datatilsynet valgt å innføre et midlertidig forbud.
Foreløpig har Meta i en kommentar til NRK sagt at de mener at de handler i tråd med den europeiske personvernloven.
– Vi vil vurdere det norske Datatilsynets krav. Men dette vil ikke ha en umiddelbar innvirkning på virksomheten vår. Det skriver Matthew Pollard, talsmann for Meta, i en e-post til NRK.
- Datatilsynets avgjørelse forbyr ikke Facebook eller Instagram i Norge, men sikrer at brukere kan bruke disse tjenestene på en sikker måte, sier Tobias Judin i Datatilsynet.
Les hele artikkelen her: Hva betyr Datatilsynets midlertidige forbud mot adferdsbasert reklame på Facebook og Instagram?
Vedlegg: Eksempel på personvernerklæring
I denne personvernerklæringen gir vi en grundig forklaring på hvilke typer personopplysninger vi samler inn og lagrer, hvordan vi behandler dem, og hvor lenge vi beholder dem. Vårt mål er å være transparente og tydelige, slik at du som bruker forstår hvordan vi ivaretar dine personopplysninger.
Typer personopplysninger vi samler inn og behandler:
Vi samler inn og behandler følgende kategorier av personopplysninger:
- Kontaktinformasjon: Dette inkluderer navn og e-postadresse.
- Kundeaktivitet: Her samler vi inn lese- og handlingshistorikk fra apper, nettsider eller elektronisk kommunikasjon vi sender ut, samt teknisk informasjon om enhetene du bruker.
- Informasjonskapsler (cookies): For mer informasjon om hvordan vi bruker cookies, vennligst se vår informasjonsside om cookies.
Disse personopplysningene samles enten direkte fra deg, for eksempel når du kjøper eller registrerer deg for våre tjenester, abonnerer på våre nyhetsbrev og blogger, fyller ut et skjema eller kontakter oss.
Hvordan vi bruker personopplysningene:
- Levering av tjenester: Vi bruker dine personopplysninger for å levere tjenester som du har registrert deg for, for eksempel vårt nyhetsbrev. Det juridiske grunnlaget for å behandle personopplysninger til dette formålet er ditt samtykke. Du kan når som helst trekke tilbake samtykket ved å avregistrere deg fra nyhetsbrevet.
- Analyse, forretningsutvikling og forbedring av tjenester: Vi arbeider kontinuerlig med å utvikle og forbedre våre tjenester, samt informasjonen vi gir deg. Dette innebærer å analysere kontaktinformasjon og kundeaktivitet. Det juridiske grunnlaget for å behandle personopplysninger til dette formålet er vår berettigede interesse.
- Salg og markedsføring: Vi bruker personopplysninger i forbindelse med salg og markedsføring av våre produkter og tjenester, ved at du mottar e-post fra oss. Det juridiske grunnlaget for å behandle personopplysninger til dette formålet er samtykke. Du kan når som helst trekke tilbake samtykket ved å melde deg av nyhetsbrevet.
Dine rettigheter som registrert bruker:
- Rett til innsyn i egne opplysninger: Du kan be om en kopi av alle opplysninger vi behandler om deg ved å kontakte oss på e-postadressen nevnt tidligere.
- Rett til korrigering av personopplysninger: Du har rett til å be oss rette eller supplere opplysninger som er feilaktige eller misvisende.
- Retten til sletting av personopplysninger: Du har rett til å få dine personopplysninger slettet uten ugrunnet opphold. Du kan derfor når som helst be oss slette opplysninger om deg selv.
- Begrensning av behandling av personopplysninger: I visse situasjoner kan du be oss begrense behandlingen av opplysninger om deg. Dette kan du gjøre ved å administrere samtykker eller reservasjoner i våre løsninger.
- Protestere mot en behandling av personopplysninger: Hvis vi behandler opplysninger om deg basert på våre oppgaver eller en interesseavveining, har du rett til å protestere mot vår behandling av opplysninger om deg.
- Dataportabilitet: Du har rett til å få utlevert dine personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format. Kontakt oss på e-postadressen nevnt tidligere for å få utlevert dine personopplysninger.
- Klage på vår behandling av personopplysninger: Vi ønsker at du skal si ifra dersom du mener vi ikke overholder reglene i personopplysningsloven. Gi oss gjerne beskjed gjennom den kontakten eller kanalen du allerede har etablert med oss. Du kan også klage over vår behandling av personopplysninger til Datatilsynet.
Ved å gi en mer utfyllende personvernerklæring ønsker vi å sikre at du som bruker har en klar og fullstendig forståelse av hvordan vi samler inn, behandler og lagrer dine personopplysninger. Vi er opptatt av å ivareta ditt personvern og følge gjeldende lovverk, og vi vil kontinuerlig arbeide for å opprettholde og forbedre våre retningslinjer og praksis.
Vedlegg: Eksempel på databehandleravtale
Datatilsynet i Danmark har laget en standard databehandleravtale som også kan brukes av norske virksomheter. Det norske Datatilsynet har oversatt den til norsk og den finnes på engelsk - fra det danske Datatilsynet.
Databehandleravtalen på norsk (uoffisiell versjon oversatt av det norske datatilsynet)
Databehandleravtalen på engelsk
Her er en mindre omfattende databehandleravtale:
Databehandleravtale mellom [Kunde] og [Leverandør]
Formål og bakgrunn
1.1 Denne databehandleravtalen ("Avtalen") regulerer [Leverandør]s behandling av personopplysninger på vegne av [Kunde] i forbindelse med [Kunde]s bruk av tjenestene som leveres av [Leverandør].
1.2 Avtalen skal sikre at behandlingen av personopplysninger skjer i samsvar med gjeldende personvernlovgivning, herunder EU's personvernforordning (GDPR).
Definisjoner
2.1 "Databehandler" betyr [Leverandør], som behandler personopplysninger på vegne av [Kunde].
2.2 "Personopplysninger" betyr enhver informasjon om en identifisert eller identifiserbar fysisk person.
2.3 "Behandling" betyr enhver operasjon eller rekke av operasjoner som utføres på personopplysninger, enten manuelt eller ved automatiserte prosesser.
Omfang og ansvar
3.1 [Leverandør] skal behandle personopplysninger utelukkende i samsvar med [Kunde]s instruksjoner og i den utstrekning det er nødvendig for å levere tjenestene.
3.2 [Leverandør] skal sikre at personopplysningene er konfidensielle og beskyttet mot uautorisert tilgang, tap, ødeleggelse eller skade, og at behandlingen skjer i samsvar med gjeldende lovgivning.
3.3 [Leverandør] skal ikke benytte personopplysningene til andre formål enn det som er avtalt med [Kunde].
Sikkerhetstiltak
4.1 [Leverandør] skal implementere og vedlikeholde tekniske og organisatoriske sikkerhetstiltak som er nødvendige for å beskytte personopplysningene mot uautorisert tilgang, tap, ødeleggelse eller skade.
4.2 [Leverandør] skal jevnlig vurdere og oppdatere sikkerhetstiltakene for å sikre fortsatt beskyttelse av personopplysningene.
Underdatabehandlere
5.1 [Leverandør] kan benytte underdatabehandlere for å levere tjenestene. [Kunde] samtykker til at [Leverandør] kan benytte underdatabehandlere, forutsatt at [Leverandør] inngår skriftlige avtaler med underdatabehandlerne som pålegger dem å overholde forpliktelsene i denne Avtalen.
5.2 [Leverandør] skal påse at underdatabehandlerne overholder sikkerhetskravene og personvernlovgivningen, og [Leverandør] er ansvarlig for underdatabehandlernes handlinger og unnlatelser.
Innsyn, retting og sletting
6.1 [Leverandør] skal bistå [Kunde] med å oppfylle sine forpliktelser overfor registrerte i henhold til gjeldende personvernlovgivning, herunder retten til innsyn, retting, sletting og begrensning av behandling.
Informasjon og samarbeid
7.1 [Leverandør] skal bistå [Kunde] ved eventuelle forespørsler fra tilsynsmyndigheter eller registrerte, og skal samarbeide med [Kunde] for å sikre overholdelse av gjeldende personvernlovgivning.
7.2 [Leverandør] skal informere [Kunde] umiddelbart dersom de mottar en forespørsel fra en registrert eller tilsynsmyndighet som angår behandlingen av personopplysninger under denne Avtalen.
Databrudd
8.1 [Leverandør] skal varsle [Kunde] uten ugrunnet opphold etter å ha blitt kjent med et databrudd som involverer personopplysninger behandlet under denne Avtalen.
8.2 [Leverandør] skal samarbeide med [Kunde] for å håndtere databruddet, herunder å bistå med å identifisere årsaken, begrense skadeomfanget og iverksette nødvendige tiltak for å forhindre fremtidige databrudd.
Revisjon og inspeksjon
9.1 [Leverandør] skal etter rimelig varsel og innenfor normal arbeidstid gi [Kunde] mulighet til å gjennomføre revisjoner og inspeksjoner for å verifisere at [Leverandør] overholder sine forpliktelser i henhold til denne Avtalen og gjeldende personvernlovgivning.
9.2 [Leverandør] skal samarbeide med [Kunde] og gi all nødvendig informasjon og bistand i forbindelse med slike revisjoner og inspeksjoner.
Avslutning
10.1 Denne Avtalen gjelder så lenge [Leverandør] behandler personopplysninger på vegne av [Kunde].
10.2 Ved opphør av denne Avtalen, skal [Leverandør] enten slette eller returnere alle personopplysninger til [Kunde], og slette eventuelle kopier, med mindre lagring av personopplysningene er påkrevd i henhold til gjeldende lovgivning.
Lovvalg og tvisteløsning
11.1 Denne Avtalen skal være underlagt lovene i [jurisdiksjon], og eventuelle tvister skal løses ved [tvisteløsningsmekanisme, f.eks., voldgift eller domstol].
Vedlegg: Personopplysninger og formålet med behandlingen
Typer personopplysninger som behandles
- Navn
- E-postadresse
- Telefonnummer
- IP-adresse
- Enhetsinformasjon
- Nettleserinformasjon
- Bruksdata
Formålet med behandlingen:
- Kundeadministrasjon
- Salg og markedsføring
- Analyse og forbedring av tjenester
- Kundesupport
Dato: [Dato]
[Kunde]
[Kundes navn]
[Kundes adresse]
[Leverandør]
[Leverandørs navn]
[Leverandørs adresse]
Underskrift for [Kunde]:
[Navn]
[Tittel]
Underskrift for [Leverandør]:
[Navn]
[Tittel]
Denne databehandleravtalen inneholder de nødvendige bestemmelsene for å sikre overholdelse av personvernlovgivningen, herunder EU's personvernforordning (GDPR), når [Leverandør] behandler personopplysninger på vegne av [Kunde] i forbindelse med deres bruk av tjenestene.
Avtalen regulerer ansvar, sikkerhetstiltak, bruk av underdatabehandlere, rettigheter og plikter knyttet til innsyn, retting og sletting av personopplysninger, samt revisjon og inspeksjon. Avtalen skal sikre at begge parter overholder gjeldende personvernlovgivning og beskytter personopplysningene som behandles.
Ved å signere denne avtalen forplikter [Kunde] og [Leverandør] seg til å overholde vilkårene og sikre at personopplysningene behandles i samsvar med gjeldende personvernlovgivning.
Dersom du er interessert i personvern og GDPR koblet til helse eller velferdsteknologi kan du finne en variant om dette på velferdsteknologibloggen.no.