Ord og uttrykk

  • Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson – alle opplysninger om medlemmer eller andre
  • Personvernrådgiver: For enkelte behandlingsansvarlige vil det være obligatorisk å utpeke en personvernrådgiver. Dette gjelder primært offentlige organer og bedrifter som overvåker registrerte eller behandler sensitive opplysninger i stor skala. Man kan leie inn eller dele personvernrådgiver der det er hensiktsmessig. En personvernrådgiver eller DPO (Data Protection Officer) skal ha dybdekunnskap om personvern, være objektiv og hjelpe bedriften med å oppfylle regelverket. Rollen skal også opptre som et bindeledd mellom behandlingsansvarlig, tilsyn og registrerte.
  • Sensitive personopplysninger: er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
  • Tredjeland: Det er i utgangspunktet forbudt å overføre personopplysninger til andre land utenfor EU/EØS, altså tredjeland. Forbudet gjelder overføring til interne selskaper i samme konsern, eksterne virksomheter og internasjonale organisasjoner. Det kan for eksempel være en IT-leverandør eller databehandler i tredjeland. Overføring til tredjeland kan bare skje ved tillatelse. Eksempler på slike kan være bilaterale avtaler mellom land som sikrer personvernet eller godkjent mottakerland av EU kommisjonen. Det er mulighet til å inngå standardavtaler utarbeidet av EU som tillater overføring. Mellom interne foretak er bindende virksomhetsregler normal praksis. Bestemmelsen er sentral for virksomheter som arbeider globalt. Spørsmål omkring overføring av personopplysninger til tredjeland bør granskes nøye. Prat med ansvarlig for personvern i virksomheten dersom det kan bli aktuelt at virksomheter i tredjeland har tilgang til behandlinger av personopplysninger du utfører.
  • Behandling: enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering
  • Behandlingsansvarlig: den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes: Det er virksomheten, representert ved øverste administrative ledelse, som er ansvarlig for at lovgivningen følges og som kan risikere straff. Hvem som er øverste administrative ledelse avhenger av virksomhetsform. Ofte vil det være et styre. I et lokallag er det lokallagsleder som normalt er behandlingsansvarlig. En fysisk person vil normalt ikke være behandlingsansvarlig ovenfor myndighetene eller de registrerte.

Behandlingsansvarlig er pålagt å blant annet:

      • Holde en oversikt over virksomhetens behandlinger av personopplysninger
      • Etablere rutiner for virksomheten som sikrer at enhver behandling er lovlig
      • Fange opp og rapportere avvik til Datatilsynet
  • Behandling av personopplysninger: Behandling inkluderer enhver innsamling, registrering, systematisering, strukturering, sammenstilling, lagring, endring, bruk, utlevering, tilgjengeliggjøring, sletting eller destruksjon av personopplysninger.
  • Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige. En databehandler vil normalt være en annen virksomhet som behandler personopplysninger på vegne av en behandlingsansvarlig. Som oftest vil dette være et IT-selskap som bistår kunder med drift og support for registrering av opplysninger i f.eks. medlemsregister eller personalsystemer.
  • Databehandleravtale: Dersom virksomheten benytter en databehandler er det viktig å regulere ansvar og rutiner for behandling av personopplysninger i en databehandleravtale. Loven gir klare retningslinjer for innholdet i slike kontrakter.
  • Den registrerte: den som personopplysninger kan knyttes til
  • Direkte personopplysninger er opplysninger som direkte kan kobles til et individ, for eksempel gjennom navn og personnummer.
  • Indirekte personopplysninger er opplysninger som ikke umiddelbart kan kobles til et individ. Den enkelte identifiseres for eksempel gjennom ansattnummer, medlemsnummer, lokaliseringsdata, IP-adresse, mobilnummer, eller bruker-ID. Noen ganger er det mulig å identifisere enkeltpersoner ved å sammenstille opplysninger i et datasett.
  • Samtykke: Frivillig, uttrykkelig og informert

Noen utvalgte personvernprinsipper

  • Forholdsmessighet – opplysningene skal være tilstrekkelig og relevant – ikke mer enn nødvendig
  • Krav til rettslig grunnlag, personopplysningsloven § 8 og 9 - samtykke, lov, avtale, interesseavveining
    • vær særlig varsom i forbindelse med utlevering
  • Formålsprinsippet
    • opplysningene skal bare behandles for uttrykkelig angitte formål, og ikke senere formål som er uforenlig med det opprinnelige
  • Informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet – og med forordningen, krav til «state of the art» teknologi for å ivareta sikkerheten)