0/6 fullført

Personvernrettigheter

Rett til å protestere

I Norge og EU har du rett til å protestere mot behandling av dine personopplysninger i visse situasjoner. Denne rettigheten er forankret i personopplysningsloven og GDPR.

Protestgrunnlag Når kan du protestere? Virksomhetens plikter
Berettiget interesse Når behandlingen er basert på virksomhetens eller tredjeparts legitime interesser Må stoppe behandlingen med mindre de kan påvise tvingende berettigede grunner
Direkte markedsføring Når opplysningene brukes til direkte markedsføring Må stoppe behandlingen umiddelbart, ingen unntak
Forskning og statistikk Ved behandling for vitenskapelige, historiske forsknings- eller statistiske formål Kan fortsette hvis behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse

For å utøve din rett til å protestere, bør du kontakte den aktuelle virksomheten direkte. Hvis du ikke får svar eller er misfornøyd med svaret, kan du klage til Datatilsynet.

Rett til retting

Du har rett til å få rettet uriktige personopplysninger om deg selv, og du har rett til å få ufullstendige personopplysninger om deg selv komplettert.

Hvordan fungerer retting?

Eksempel på retteforespørsel: Til: [email protected] Emne: Anmodning om retting av personopplysninger Jeg ønsker å benytte min rett til retting etter personvernforordningen artikkel 16. Mine kontaktopplysninger hos dere er feil. Mitt korrekte telefonnummer er 98765432 (ikke 12345678 som er registrert hos dere). Vennlig hilsen Ola Nordmann

Virksomheten har følgende plikter ved mottakelse av krav om retting:

  • Tidsfrist — Svare uten unødig opphold, og senest innen 1 måned
  • Informasjonsplikt — Informere tredjeparter som har mottatt opplysningene om rettingen
  • Begrunnelse — Hvis retting ikke gjennomføres, må virksomheten begrunne dette

Hvis virksomheten avslår kravet om retting, har du rett til å klage til Datatilsynet.

Rett til sletting

Retten til sletting (også kjent som "retten til å bli glemt") gir deg mulighet til å få dine personopplysninger slettet i visse situasjoner.

Du kan kreve sletting når:

  • Opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for
  • Du trekker tilbake et samtykke som behandlingen er basert på
  • Du protesterer mot behandlingen og det ikke finnes tungtveiende legitime grunner for behandlingen
  • Opplysningene er behandlet ulovlig
  • Opplysningene må slettes for å oppfylle en rettslig forpliktelse
Fremgangsmåte for sletting: 1. Identifiser hvilken virksomhet som behandler opplysningene 2. Send en skriftlig anmodning om sletting 3. Oppgi hvilke opplysninger du ønsker slettet og hvorfor 4. Dokumenter din identitet

Unntak fra retten til sletting: I noen tilfeller kan virksomheter avslå en anmodning om sletting, for eksempel når behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, av hensyn til allmenne folkehelse-interesser, eller for arkivformål i allmennhetens interesse.

Informasjonssikkerhet og internkontroll

Grunnleggende informasjonssikkerhet

Informasjonssikkerhet handler om å beskytte personopplysninger mot uautorisert eller ulovlig behandling, tilfeldig tap, ødeleggelse eller skade. Virksomheter må iverksette tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå.

De tre grunnpilarene i informasjonssikkerhet:

Konfidensialitet

Konfidensialitet
Kryptering
Tilgangskontroll
Autentisering
Sikrer at
Kun autoriserte får tilgang
Uvedkommende holdes ute
Informasjon er beskyttet

Konfidensialitet handler om å sikre at personopplysninger bare er tilgjengelige for autoriserte personer.

Integritet

Integritet
Valideringsrutiner
Sjekksum
Versjonskontroll
Sikrer at
Data ikke endres uautorisert
Informasjonen er korrekt
Endringer kan spores

Integritet sikrer at opplysningene er nøyaktige og fullstendige, og at de ikke endres utilsiktet eller ulovlig.

Internkontroll og risikostyring

Internkontrollkrav Formål Eksempler på tiltak
Dokumenterte rutiner
  • Sikre etterlevelse av regelverk
  • Etablere beste praksis
  • Personvernpolicy
  • Databehandleravtaler
Risikovurdering
  • Identifisere trusler
  • Prioritere tiltak
  • Årlig risikokartlegging
  • Kontinuerlig vurdering ved endringer
Avviksbehandling
  • Håndtere brudd
  • Lære av hendelser
  • Avvikssystem
  • Varslingsrutiner til Datatilsynet
Opplæring
  • Øke bevissthet
  • Redusere menneskelige feil
  • Årlig personvernopplæring
  • Bevisstgjøringskampanjer

Tilgjengelighet

Tilgjengelighet
Backup
Redundans
Katastrofeplan
Sikrer at
Data er tilgjengelig ved behov
Systemer er pålitelige
Tjenester gjenopprettes raskt
Tiltak
Resultat

Virksomheter bør implementere et styringssystem for informasjonssikkerhet basert på anerkjente standarder som ISO 27001, og gjennomføre regelmessige revisjoner av sikkerhetstiltakene.

Datatilsynets tilsynsrolle

Datatilsynet er en uavhengig forvaltningsmyndighet som kontrollerer at personvernlovgivningen etterleves, og kan iverksette sanksjoner ved brudd.

Datatilsynets hovedoppgaver

  • Tilsyn - gjennomfører kontroller hos virksomheter for å påse etterlevelse av regelverket
  • Veiledning - gir råd og veiledning om personvern og informasjonssikkerhet
    Tips: Datatilsynets veiledere er tilgjengelige på datatilsynet.no og er et godt utgangspunkt for å etablere gode rutiner for personvern og informasjonssikkerhet.
  • Saksbehandling - behandler klager fra enkeltpersoner og varsler om brudd

Ved tilsyn kontrollerer Datatilsynet typisk:

  1. Om virksomheten har på plass dokumenterte rutiner for behandling av personopplysninger
  2. Om det er etablert tilfredsstillende sikkerhetstiltak
  3. Om virksomheten har gjennomført risikovurderinger
  4. Om virksomheten har rutiner for å ivareta de registrertes rettigheter

Viktig! Brudd på personvernregelverket kan medføre overtredelsesgebyr på opptil 4% av årlig global omsetning eller 20 millioner euro, avhengig av hva som er høyest.

Selv om Datatilsynet kan ilegge gebyrer, er tilsynets hovedmål å veilede og hjelpe virksomheter med å etterleve regelverket. Virksomheter oppfordres til å søke råd og veiledning hos Datatilsynet ved usikkerhet om hvordan regelverket skal etterleves.