Ansvar for personopplysninger på Facebook-sider – ny dom

I en nylig avsagt dom fra EU-domstolen, ble det fastslått at den som oppretter en Facebook-side, vil være ansvarlig – sammen med Facebook – som behandlingsansvarlig for siden. Dette betyr at den som oppretter Facebook-sider kan være ansvarlig for at personvernlovgivningen, herunder GDPR, overholdes ved bruk av Facebook-siden.

Fortsett å lese Ansvar for personopplysninger på Facebook-sider – ny dom

Nyhetsbrev, e-postmarkedsføring, samtykker (og GDPR)

I forbindelse med at personvernforordningen (GDPR) kommer, innhentes det mange samtykker i disse dager. Men krever egentlig GDPR samtykke for nyhetsbrev og direkte markedsføring ved e-post?  Fortsett å lese Nyhetsbrev, e-postmarkedsføring, samtykker (og GDPR)

Anmeldelse: Ny versjon av avtale om løpende tjenestekjøp (SSA-L)

Direktoratet for forvaltning og IKT (Difi) har kommet med ny versjon (versjon 2.0) av avtale om løpende tjenestekjøp, populært kalt SSA-L. Dette er en avtale for tjenester, og spesielt standardiserte skytjenester (“as-a-service”). Den nye versjonen inneholder noen justeringer fra forrige versjon, men er det tilstrekkelig for å gjøre dette til en godt fungerende avtale for skytjenester for kunder og leverandører? Fortsett å lese Anmeldelse: Ny versjon av avtale om løpende tjenestekjøp (SSA-L)

Overview of key provisions in GDPR

The GDPR includes 99 articles and a 173 paragraph preamble, all spread over 88 pages, with language that is not always clear. It is no easy task to get an overview, but here’s an attempt at setting out the key provisions of the GDPR.  Fortsett å lese Overview of key provisions in GDPR

Erfaringer fra implementering av GDPR (GDPR-prosjekter)

Det er nå snart bare 100 dager igjen til 25. mai 2018 når personvernforordningen (GDPR) trer i kraft. Det gjennomføres mange prosjekter i selskaper og organisasjoner nå (i DLA Piper bistår vi i nær 70 prosjekter i Norge med nye prosjekter som kommer til hver dag, og noen tusen prosjekter ellers i Europa) for å gjøre virksomheter klare for GDPR. Allikevel sitter mange selskaper sitter på gjerdet (og det gjerdet begynner å bli rimelig fullt nå…). Her er noen erfaringer fra vår bistand i GDPR-prosjekter som vi håper kan være til nytte for andre. Fortsett å lese Erfaringer fra implementering av GDPR (GDPR-prosjekter)

Feil og unøyaktigheter om GDPR

Det er mange påstander og uttalelser om GDPR som ikke stemmer, også fra norske selskaper. Det mest ille er når det er de som selger tjenester eller råd for å hjelpe selskaper å etterleve GDPR (personvernforordningen) som bommer på regelverket. Her er noen eksempler på feil og unøyaktigheter om GDPR for å søke å oppklare noe av det som blir sagt om GDPR som ikke helt stemmer.

Fortsett å lese Feil og unøyaktigheter om GDPR

Samtykke som grunnlag for behandling av personopplysninger etter GDPR – når kan det brukes og når bør det ikke brukes?

Samtykke er mye omtalt i tilknytning til personvernforordningen (GDPR). Men det blir også sagt mye feil om samtykke, som at samtykke kreves for all behandling. Samtykke er bare ett av flere grunnlag for behandling av personopplysninger, og ofte bør man heller unngå samtykke enn å benytte samtykke som grunnlag for behandling.

Fortsett å lese Samtykke som grunnlag for behandling av personopplysninger etter GDPR – når kan det brukes og når bør det ikke brukes?

Gjelder pliktene etter kontrakter ved cyberangrep?

Hva vil cyberangrep, som et datainnbrudd, et digitalt angrep (som DDoS-angrep) eller ondsinnet programvare som ødelegger data eller systemer medføre for gjennomføringen av en kontrakt? Må leverandøren levere og kunden betale selv om det blir betraktelig vanskeligere eller kanskje umulig å gjennomføre kontrakten? Kan det kreves erstatning? Eller gjelder ikke pliktene i slike “unntakssituasjoner”? Hvordan man skal forholde seg til kontrakter ved et cyberangrep blir dessverre en mer og mer praktisk problemstilling for kunder og leverandører. Gjelder reglene om at partene i en kontrakt ikke forpliktet til å yte etter prinsippene om fritakelsesgrunner (force majeure) etter norsk kontraktsrett?

Fortsett å lese Gjelder pliktene etter kontrakter ved cyberangrep?

Hvordan forholde seg til krav om innsyn og sletting av utstrukturerte personopplysninger i eposter og dokumenter etter GDPR?

Et spørsmål som kommer opp ofte knyttet til GDPR er innsyn i og sletting av personopplysninger som er lagret i eposter og andre ustrukturerte personopplysninger. Å gi innsyn eller slette ustrukturerte personopplysninger kan både være en omfattende eller komplisert oppgave. Men det å slette eller gi innsyn kan medføre ytterligere behandling av personopplysninger, som i enkelte tilfelle kan være ulovlig. Man må derfor være påpasselig med hvilke tiltak som iverksettes for de ustrukturerte personopplysningene.

Fortsett å lese Hvordan forholde seg til krav om innsyn og sletting av utstrukturerte personopplysninger i eposter og dokumenter etter GDPR?