Skolers utlevering av klasselister

Det har vært mye diskusjon om at skoler ikke deler klasselister både i media og for å ikke snakke om på de enkelte skoler. Selv har jeg vært på foreldremøter hvor det ble gitt beskjed om at klasselister ikke vil bli delt “pga. personvernregler og GDPR”. Jeg mener å kunne litt om personvern og GDPR, og vet at dette ikke er riktig. Og man kan gi GDPR skylden for mye, men ikke dette.

Fortsett å lese Skolers utlevering av klasselister
Publisert Kategorier Personvern / GDPRStikkord , , , , , , , , , , , Legg igjen en kommentar til Skolers utlevering av klasselister

Personvettreglene

Personvettreglene er en liste over noen av de mest praktiske reglene for behandling av personopplysninger i det daglige. Personvernreglene kan lastes ned i en utskriftsvennlig versjon nedenfor, ellers kan også bildet nedenfor brukes på nettsider, intranett, skrives ut eller annet. Jeg håper dette kan være til nytte!

Fortsett å lese Personvettreglene

Personvernforordningen (GDPR)

Personvernforordningen (GDPR) med henvisning til punkter i fortalen, relaterte artikler og bestemmelser i personopplysningsloven, og relevant informasjon og materiale knyttet til hver bestemmelse finnes her: sandtro.no/gdpr/

Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?

Den 17. desember varslet Datatilsynet om det første overtredelsesgebyret under de nye reglene etter personvernforordningen (GDPR). Det var Bergen kommune som hadde eksponert personopplysninger til 35.000 brukere, og de er varslet et gebyr på kr 1,6 millioner for brudd på personopplysningssikkerheten, og da spesielt artikkel 32 i GDPR.

Fortsett å lese Det første overtredelsesgebyret i Norge under GDPR – noen indikasjon på nivået på bøter fremover?

Behandlingsansvarlig eller databehandler?

Om man er behandlingsansvarlig eller databehandler, eller om det ikke foreligger noe databehandlerforhold overhodet, er ikke alltid enkelt å avgjøre. Jeg har skrevet om dette i en artikkel tidligere, og nå har det britiske datatilsynet, ICO, publiserte retningslinjer/veiledning for forholdet mellom databehandler og behandlingsansvarlig nylig. Her var det tatt inn sjekklister for om man er behandlingsansvarlig eller databehandler som var nyttige. Nedenfor er det tatt inn “fornorskede” versjoner av sjekklistene.

Fortsett å lese Behandlingsansvarlig eller databehandler?
Publisert Kategorier Personvern / GDPRStikkord , , , , Legg igjen en kommentar til Behandlingsansvarlig eller databehandler?

Behandlingsoversikt (protokoll etter GDPR artikkel 30)

Etter personvernforordningen (GDPR) artikkel 30 skal det lages en protokoll over hvilken behandling av personopplysninger som skjer i en virksomhet. Selv om kravet om å lage protokoll i utgangspunktet gjelder virksomheter med mer enn 250 ansatte, er det omfattende unntak som gjør at kravet om å føre protokoll omfatte stort sett alle virksomheter (som også er anbefalt bl.a. av Datatilsynet). En annen ting er at det er anbefalt å lage en oversikt over behandlingen gjennom en slik protokoll for å få kontroll på behandlingen. De fleste virksomheter bør derfor lage en slik protokoll.

Fortsett å lese Behandlingsoversikt (protokoll etter GDPR artikkel 30)

Publisert Kategorier Personvern / GDPRStikkord , , 1 kommentar til Behandlingsoversikt (protokoll etter GDPR artikkel 30)

Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernklagenemnda

Saken i personvernklagenemnda gjaldt en arbeidstaker som hadde fått to tilrettevisning (advarsel) fra arbeidsgiver som ble lagret i personalmappen (arbeidsgiver var offentlig virksomhet så arbeidsgiverforholdet ble regulert av tjenestemannsloven). Tilrettevisningene hadde vært lagret i personalmappen i hhv 7 år og 3 år og 9 mndr. Datatilsynet hadde avslått mannens begjæring om å få slettet tilrettevisningene. Personvernklagenamnda ga mannen rett til å få opplysningene slettet.

Fortsett å lese Klargjøring av pliktene til å slette personopplysninger i personalmapper fra Personvernklagenemnda

Ganske Dårlig Personvern Rådgivning

Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.

Fortsett å lese Ganske Dårlig Personvern Rådgivning

Varsel til Datatilsynet om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp. Nedenfor gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er imidlertid vanskelig å arbeide med varselet i Altinn, og du finner derfor et arbeidsdokument for varsel til slutt i artikkelen.

Fortsett å lese Varsel til Datatilsynet om personvernbrudd
Publisert Kategorier Personvern / GDPRStikkord , , , , , Legg igjen en kommentar til Varsel til Datatilsynet om personvernbrudd