Personvern - Grunnkurs 2021

Oppslagstavle

Den registrerte:

Fysiske personer, for eksempel en ansatt eller en kunde, som det behandles personopplysninger om i vår virksomhet.

Behandlingsansvarlig:

Den virksomheten (for eksempel et aksjeselskap, stiftelse, forening eller myndighet) som bestemmer for hvilke formål personopplysninger skal behandles og hvordan behandlingen skal foregå. Det går generelt sett ikke å delegere behandlingsansvaret til en fysisk person. Konsernsjef eller andre individuelle nøkkelpersoner er aldri behandlingsansvarlige.

Eksempler på områder hvor en fysisk person er behandlingsansvarlig kan være en blogg som drives av en fysisk person eller når en virksomhet drives av en selvstendig næringsdrivende.

Personvernombud:

En person utpekt for å jobbe med å sikre at organisasjonen følger personopplysningsloven, gjennom blant annet opplæring og intern gransking. Personvernombudet skal også fungere som kontakt mot tilsynsmyndigheten.

Databehandler:

En organisasjon som behandler personopplysninger på oppdrag fra en behandlingsansvarlig, omtales som en databehandler.

Tilsynsmyndighet:

Datatilsynet er en myndighet som har i oppgave å informere, granske og overvåke overholdelse av personvernforordningen. I tillegg til det norske Datatilsynet finnes det tilsvarende tilsynsmyndigheter i andre EU/EØS-land.

https://www.lundeco.com/LMS/pluginfile.php/1288/mod_label/intro/dialog-cards-46.h5p

Direkte personopplysninger er opplysninger som direkte peker på et individ uten å tilføre annen informasjon, for eksempel navn og personnummer.

Indirekte personopplysninger er opplysninger som kan føres tilbake til en enkeltperson når man kompletterer dem med andre opplysninger. Et ansettelses-, kunde- eller telefonnummer gir for eksempel ikke noen informasjon i seg selv om hvem en enkeltperson er, men gjør det enkelt å finne ut.

Begrepet personopplysninger kan omfatte mer enn hva man først tenker på. Eksempelvis regnes ofte bilder og filmer med personer tilstede som personopplysninger. Til og med lydinnspillinger hvor ingen syntes, men stemmer høres, kan være personopplysninger.

Visse personopplysninger er å betrakte som harmløse, andre kan være mer integritetsfølsomme. Personopplysningens «sensitivitetsgrad» spiller en rolle for hvordan de behandles og hvor sterk beskyttelse som kreves. Det er egentlig et spørsmål om en glidende skala mellom ufarlig og veldig sensitivt. Bare kategorien "sensitive personopplysninger" er definert i loven. Resten er et vurderingsspørsmål.

Ekstra beskyttelsesverdige personopplysninger
Ekstra beskyttelsesverdige personopplysninger er opplysninger som er ekstra viktige å verne. De kalles også integritetssensitive personopplysninger. Det finnes ikke noe forbud mot å behandle disse opplysningene, men det krever altså økt sikkerhet.

Eksempel: Fødselsnummer, lønnsopplysninger, vitnemål og attester, interne vurderinger samt opplysninger om sosiale forhold.

I utgangspunktet er det forbudt å behandle sensitive personopplysninger (særlige kategorier av personopplysninger). Det finnes imidlertid unntak fra forbudet, blant annet:

Hvis det finnes et eksplisitt og frivillig samtykke fra den registrerte.

Innenfor områdene arbeidsrett, når det er nødvendig for arbeidet.
Eksempel: Sykefravær for lønnsberegninger, helseinformasjon innenfor rammen av rehabilitering, fagforeningsmedlemskap i lønnsrevisjoner.

For å fastsette, kreve eller forsvare rettslige forpliktelser.
Eksempel: helseinformasjon i tilfeller ved arbeidsuførhet.

For å kunne behandle en sensitiv personopplysning må vi, i tillegg til å ha et rettslig grunnlag, også sikre at behandlingen kommer inn under unntakene.

https://www.lundeco.com/LMS/pluginfile.php/1290/mod_label/intro/true-false-question-51.h5p

https://www.lundeco.com/LMS/pluginfile.php/1290/mod_label/intro/true-false-question-53.h5p

https://www.lundeco.com/LMS/pluginfile.php/1310/mod_label/intro/accordion-55.h5p https://www.lundeco.com/LMS/pluginfile.php/1310/mod_label/intro/true-false-question-60.h5p https://www.lundeco.com/LMS/pluginfile.php/1310/mod_label/intro/true-false-question-61.h5p

Det finnes seks rettslige grunnlag.

https://www.lundeco.com/LMS/pluginfile.php/1294/mod_label/intro/course-presentation-64.h5p

Som privat virksomhet bruker vi hovedsakelig:

samtykke
avtale
rettslig forpliktelse
berettiget interesse.

Hver behandling av personopplysning skal støttes på kun ett rettslig grunnlag. Det er ikke mulig å bytte rettslig grunnlag under en pågående behandling av personopplysning. Derfor er det viktig å velge riktig grunnlag.

https://www.lundeco.com/LMS/pluginfile.php/1302/mod_label/intro/true-false-question-66.h5p

https://www.lundeco.com/LMS/pluginfile.php/1302/mod_label/intro/true-false-question-67.h5p

https://www.lundeco.com/LMS/pluginfile.php/1304/mod_label/intro/accordion-75.h5p

https://www.lundeco.com/LMS/pluginfile.php/1305/mod_label/intro/true-false-question-78.h5p

https://www.lundeco.com/LMS/pluginfile.php/1305/mod_label/intro/true-false-question-79.h5p

I mange datasystemer er det plass til å skrive i fritekst. Fritekstfelt er vanlig i skriftlige vurderinger, ulike typer evalueringer, notater fra samtaler, utredninger og rekrutteringssystemer.

Dersom du bruker fritekst er det viktig å se til at alt som er skrevet er relevant og så nøytrale som mulig.

Tenk på følgende:

Å registrere fakta er OK, men gjør det med varsomhet. Det finnes ingen grunn til å skrive at kunden skrek, sverget og var uhøflig. Det holder normalt å notere at hen var misfornøyd og opplevde saken som alvorlig, eller lignende.
Hold dine notater så relevante og nøytrale som mulig.
Forsøk å unngå personlige refleksjoner hvis de ikke er nødvendige for formålet.
Opplysninger om lovbrudd kan ikke engang registreres med samtykke. Du kan ikke notere at noen sitter i fengsel og derfor ikke kan betale sin faktura, og denne manglende betalingsevne må uttrykkes på annen måte.
Unngå å registrere detaljer om en navngitt tredjeperson. Det blir et informasjonsproblem om ikke annet.
Vær oppmerksom på at teksten kan vises ved en innsynsbegjæring.

E-post innebærer nesten alltid at man behandler personopplysninger

E-postadressen i seg selv er ofte en personopplysning, for eksempel navn.etternavn@organisasjon.no. Annen informasjon i meldingen kan ofte knyttes til en enkeltperson. Man må altså finne et egnet rettslig grunnlag for behandling av personopplysninger i e-post og ellers forholde seg til samme forpliktelser som ved annen behandling av personopplysninger.

Klikk på markørene nedenfor.

https://www.lundeco.com/LMS/pluginfile.php/1308/mod_label/intro/image-hotspots-82.h5p

https://www.lundeco.com/LMS/pluginfile.php/1311/mod_label/intro/true-false-question-88.h5p

https://www.lundeco.com/LMS/pluginfile.php/1311/mod_label/intro/true-false-question-89.h5p

Brudd på personopplysningssikkerheten er en sikkerhetshendelse som har påvirket konfidensialiteten, integriteten eller tilgjengeligheten til lagrede personopplysninger, og som kan innebære en risiko for fysiske personers friheter og rettigheter. Det spiller ingen rolle om bruddet er tilsiktet eller utilsiktet, det er uansett et brudd på personopplysningssikkerheten.

Eksempel 1

En uvedkommende har fått tilgang til personopplysninger

Noen har sendt personopplysninger til mottakere som ikke skulle ha opplysningene.
Noen har gitt passordet sitt til andre.
Noen har gått fra datamaskinen sin uten å slå den av eller logge seg ut.

Eksempel 2
Datamaskiner, telefoner eller papirutskrifter som inneholder personopplysninger, er blitt stjålet eller blitt borte

Noen bruker ikke passord eller har et for svakt passord.

Noen lar et dokument med personopplysninger ligge synlig på datamaskinen sin.
Noen lagrer passordet sitt for innlogging i ulike systemer.
Noen har lagret en tekstmelding med personopplysninger på mobilen sin.

Eksempel 3

Personopplysninger er endret uten tillatelse

Det har skjedd en endring i kontoopplysninger til en registrert (hvilket resulterer i uriktige betalinger).
Feilaktig endring av bostedsadresse hos et helseforetak (hvilket resulterer i at helseopplysninger blir sendt til feil person).

Varslingsplikt

Vi skal rapportere brudd på personopplysningssikkerheten til vedkommende tilsynsmyndighet innen 72 timer, så lenge det ikke er usannsynlig at bruddet kommer til å medføre en risiko for de registrerte. Alle hendelser som skjer skal dokumenteres, selv dem som ikke blir meldt til datatilsynet.

Plikt til å informere de registrerte

I tillegg til å rapportere til datatilsynet er det også en plikt for den behandlingsansvarlige å kontakte de registrerte og informere dem om hva som har skjedd i noen situasjoner. Dette er i tilfeller hvor det fare for at hendelsen kan få alvorlige konsekvenser for dem, for eksempel i form av diskriminering, identitetstyveri eller økonomiske konsekvenser.

Rapporter alltid mistenkelige hendelser internt

Alle som oppdager et mulig brudd på personopplysningssikkerheten bør rapportere dette til personvernombudet eller annen ansvarlig for personvern i organisasjonen.

Databehandler har også et ansvar

Databehandleren har også et ansvar i forbindelse med brudd på personopplysningssikkerheten. Mange hendelser skjer nettopp hos IT-leverandøren/databehandleren eller deres underleverandører. Dersom databehandleren får vite om en hendelse skal denne meldes fra om til behandlingsansvarlig med en gang. Databehandleren trenger derimot ikke å melde fra til tilsynsmyndigheten, det er den behandlingsansvarliges ansvar.

Eksempel på feil behandling av personopplysninger.

https://www.lundeco.com/LMS/pluginfile.php/1315/mod_label/intro/course-presentation-94.h5p

https://www.lundeco.com/LMS/pluginfile.php/1316/mod_label/intro/true-false-question-99.h5p

https://www.lundeco.com/LMS/pluginfile.php/1316/mod_label/intro/true-false-question-100.h5p

Test til avslutning av Grunnkurs i Personvern

Kursbevis

Login to your account

Create an account ( * Required )

Personvern - Grunnkurs 2021

Den registrerte:

Fysiske personer, for eksempel en ansatt eller en kunde, som det behandles personopplysninger om i vår virksomhet.

Behandlingsansvarlig:

Personvernombud:

En person utpekt for å jobbe med å sikre at organisasjonen følger personopplysningsloven, gjennom blant annet opplæring og intern gransking. Personvernombudet skal også fungere som kontakt mot tilsynsmyndigheten.

Databehandler:

En organisasjon som behandler personopplysninger på oppdrag fra en behandlingsansvarlig, omtales som en databehandler.

Tilsynsmyndighet:

Datatilsynet er en myndighet som har i oppgave å informere, granske og overvåke overholdelse av personvernforordningen. I tillegg til det norske Datatilsynet finnes det tilsvarende tilsynsmyndigheter i andre EU/EØS-land.

Direkte personopplysninger er opplysninger som direkte peker på et individ uten å tilføre annen informasjon, for eksempel navn og personnummer.

Indirekte personopplysninger er opplysninger som kan føres tilbake til en enkeltperson når man kompletterer dem med andre opplysninger. Et ansettelses-, kunde- eller telefonnummer gir for eksempel ikke noen informasjon i seg selv om hvem en enkeltperson er, men gjør det enkelt å finne ut.

Begrepet personopplysninger kan omfatte mer enn hva man først tenker på. Eksempelvis regnes ofte bilder og filmer med personer tilstede som personopplysninger. Til og med lydinnspillinger hvor ingen syntes, men stemmer høres, kan være personopplysninger.

Ekstra beskyttelsesverdige personopplysningerEkstra beskyttelsesverdige personopplysninger er opplysninger som er ekstra viktige å verne. De kalles også integritetssensitive personopplysninger. Det finnes ikke noe forbud mot å behandle disse opplysningene, men det krever altså økt sikkerhet.

Ekstra beskyttelsesverdige personopplysninger

Eksempel: Fødselsnummer, lønnsopplysninger, vitnemål og attester, interne vurderinger samt opplysninger om sosiale forhold.

I utgangspunktet er det forbudt å behandle sensitive personopplysninger (særlige kategorier av personopplysninger). Det finnes imidlertid unntak fra forbudet, blant annet:

Det finnes seks rettslige grunnlag.

Som privat virksomhet bruker vi hovedsakelig:

samtykke

avtale

rettslig forpliktelse

berettiget interesse.

Hver behandling av personopplysning skal støttes på kun ett rettslig grunnlag. Det er ikke mulig å bytte rettslig grunnlag under en pågående behandling av personopplysning. Derfor er det viktig å velge riktig grunnlag.

I mange datasystemer er det plass til å skrive i fritekst. Fritekstfelt er vanlig i skriftlige vurderinger, ulike typer evalueringer, notater fra samtaler, utredninger og rekrutteringssystemer.

Dersom du bruker fritekst er det viktig å se til at alt som er skrevet er relevant og så nøytrale som mulig.

Tenk på følgende:

Å registrere fakta er OK, men gjør det med varsomhet. Det finnes ingen grunn til å skrive at kunden skrek, sverget og var uhøflig. Det holder normalt å notere at hen var misfornøyd og opplevde saken som alvorlig, eller lignende.

Hold dine notater så relevante og nøytrale som mulig.

Forsøk å unngå personlige refleksjoner hvis de ikke er nødvendige for formålet.

Opplysninger om lovbrudd kan ikke engang registreres med samtykke. Du kan ikke notere at noen sitter i fengsel og derfor ikke kan betale sin faktura, og denne manglende betalingsevne må uttrykkes på annen måte.

Unngå å registrere detaljer om en navngitt tredjeperson. Det blir et informasjonsproblem om ikke annet.

Vær oppmerksom på at teksten kan vises ved en innsynsbegjæring.

E-post innebærer nesten alltid at man behandler personopplysninger

Klikk på markørene nedenfor.

Eksempel 1

En uvedkommende har fått tilgang til personopplysninger

Noen har sendt personopplysninger til mottakere som ikke skulle ha opplysningene.

Noen har gitt passordet sitt til andre.

Noen har gått fra datamaskinen sin uten å slå den av eller logge seg ut.

Eksempel 2Datamaskiner, telefoner eller papirutskrifter som inneholder personopplysninger, er blitt stjålet eller blitt borte

Noen bruker ikke passord eller har et for svakt passord.

Noen lar et dokument med personopplysninger ligge synlig på datamaskinen sin.

Noen lagrer passordet sitt for innlogging i ulike systemer.

Noen har lagret en tekstmelding med personopplysninger på mobilen sin.

Eksempel 3

Personopplysninger er endret uten tillatelse

Det har skjedd en endring i kontoopplysninger til en registrert (hvilket resulterer i uriktige betalinger).

Feilaktig endring av bostedsadresse hos et helseforetak (hvilket resulterer i at helseopplysninger blir sendt til feil person).

Eksempel på feil behandling av personopplysninger.

Ekstra beskyttelsesverdige personopplysninger
Ekstra beskyttelsesverdige personopplysninger er opplysninger som er ekstra viktige å verne. De kalles også integritetssensitive personopplysninger. Det finnes ikke noe forbud mot å behandle disse opplysningene, men det krever altså økt sikkerhet.

Eksempel 2
Datamaskiner, telefoner eller papirutskrifter som inneholder personopplysninger, er blitt stjålet eller blitt borte