Begrepsliste
Her har vi samlet forklaringer på sentrale begreper som brukes i GDPR, og som er nyttige å kunne når det er snakk om personvern.
Adekvansbeslutning: For land som ligger utenfor EØS-området kan EU-kommisjonen vedta adekvansbeslutninger (adequacy decision). Dette innebærer at landet anses av EU til å ha tilstrekkelig (adekvat) beskyttelse av personvernet og at virksomheter dermed kan overføre personopplysninger uten ekstra sikkerhetstiltak, som om landet var en del av EØS-området.
Behandlingsansvarlig: Behandlingsansvarlig har det overordnede ansvaret for at personvernregelverket overholdes. Virksomheten din er behandlingsansvarlig når den bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes i behandlingen.
Behandlingsgrunnlag: Når man skal behandle personopplysninger, må man ha det som kalles et behandlingsgrunnlag (en hjemmel). Oversikt over mulige behandlingsgrunnlag finnes i GDPR art. 6 nr. 1. Merk at det er ekstra strenge krav til behandlingsgrunnlag i GDPR art. 9 nr. 1 dersom man behandler sensitive personopplysninger, som rase, helse og religiøse opplysninger (se under).
Bindende virksomhetsregler (BCR): Bindende virksomhetsregler, bedre kjent som BCR (Binding Corporate Rules), er interne regler for internasjonale dataoverføringer mellom multinasjonale selskaper, et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet. Les mer om overføring mellom selskaper her.
Cookieerklæring: En cookieerklæring er en oversikt til brukeren av en nettside over hvilke cookies (informasjonskapsler) en nettside benytter, hva slags data som samles inn og for hvilket formål. Erklæringen skal fylle samme formål som en personvernerklæring, men bare rettet mot cookies. Du kan lese mer om cookies i denne og denne artikkelen.
Databehandler: En databehandler er en virksomhet som behandler personopplysninger på vegne av behandlingsansvarlig. Det klassiske eksempelet er en IT-leverandør.
Databehandleravtale: En databehandleravtale regulerer forholdet mellom behandlingsansvarlig og databehandler. Avtalen skal inngås når en virksomhet skal la en annen virksomhet behandle personopplysninger på sine vegne. Databehandleravtalen er en dokumentasjon på at det er gitt og kan gis instrukser til databehandleren. Målet er å sikre at behandlingen skjer i tråd med personvernregelverket. Les mer om når du trenger en databehandleravtale her.
Den registrerte; Den registrerte er den fysiske personen det behandles opplysninger om.
GDPR: GDPR er den engelske forkortelsen for den europeiske personvernforordningen, General Data Protection Regulation (se Personvernforordningen).
Kommunikasjonvernforordingen: Kommunikasjonsvernforordningen er en EU-forordning som Norge vil bli bundet av når det vedtas. Forordningen regulerer kommunikasjonsdelen av personvernet.
Personopplysning: Personopplysninger er enhver opplysning som kan knyttes til en identifiserbar, fysisk person (den registrerte). Også avledede og innledede knytninger omfattes, slik at det skal lite til for at en opplysning blir en personopplysning. Et eksempel er et IP-nummer.
Personvernerklæring: En personvernerklæring er en måte å kommunisere til den registrerte på en enkel og forståelig måte hvordan, hvor lenge, hvor og av hvem personopplysninger behandles. Les mer om når du trenger en personvernerklæring her.
Personvernforordningen: Personvernforordningen er en EU-forordning som Norge (som EFTA-land) er bundet av gjennom EØS-avtalen. Det er her vi finner det meste av regulering av behandling av personopplysninger, selv om vi også har en personopplysningslov og andre spesiallover om personvern. Ved innføringen i 2018 ble det gamle personverndirektivet fra 1995 ble opphevet.
Personvernombud: En person som skal hjelpe den behandlingsansvarlige med å sikre at personvernet i virksomheten blir ivaretatt. Personvernombudet kan være en som jobber i virksomheten eller leies inn.
Standard personvernbestemmelser (SCC): I tilfeller der et land ikke har en adekvansbeslutning (se over), kan EU-kommisjonen vedta standard personvernbestemmelser, gjerne kalt SCC (standard contractual clauses) for overføring av personopplysninger. Disse kan brukes for å sikre at dataimportøren behandler personopplysningene i samsvar med GDPR. Selv om man benytter SCC, må dataeksportøren sjekke at mottakerlandets rettssystem gjør det mulig å overholde SCC, slik at personopplysningene faktisk får tilsvarende beskyttelse som i EØS-området.
Særlige kategorier av personopplysninger: I dagligtale omtales dette gjerne som sensitive personopplysninger. Dette er i GDPR art. 9 nr. 1 definert som personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering». Behandling av slike personopplysninger er i utgangspunktet forbudt, men det finnes en del unntak.
Tredjeland: Alle land utenfor EØS-området regnes som tredjeland. Her gjelder det spesielle krav for overføring som du kan lese mer om her.
Vurdering av personvernkonsekvenser (DPIA): En DPIA er en systematisk beskrivelse (kartlegging) av behandlingen av personopplysninger med en vurdering av nødvendigheten, proporsjonaliteten og risikoen ved behandlingen. Planlagte tiltak for å håndtere risikoen skal så beskrives. Til slutt skal ledelsen hos behandlingsansvarlig godkjenne personvernkonsekvensvurderingen. Du kan lese mer om når du må gjennomføre en DPIA her.
Hvis du har spørsmål eller trenger hjelp, kontakt oss her.