Svenn Dybvik

Denne veilederen er en del av Datatilsynet og Forbrukertilsynets arbeid med å bygge kunnskap og veilede næringsdrivende om praktiske situasjoner hvor forbruker- og personvern overlapper.

Du som tilbyr digitale tjenester til forbrukere, må sette deg inn i begge disse regelverkene, fordi de innebærer viktige plikter for digitale tjenester som behandler forbrukeres personopplysninger.

Engelsk

Innholdet i denne veiledningen er oversatt til engelsk:

Last ned "Digital services and consumer data" på engelsk (pdf)

Databaserte forretningsmodeller

Sosiale medier, mobilapper, søketjenester, nettaviser, personlige assistenter, GPS- og kartsystemer og en rekke andre tjenester blir i stadig større grad tilbudt uten at forbrukerne trenger å betale penger for å bruke dem. Digitale tjenester hvor forretningsmodellen helt eller delvis går ut på å tjene penger på forbrukeres data, har blitt vanlig i den digitale økonomien. Personopplysninger kan brukes for å bedre forstå forbrukeres interesser og handlingsmønster, og de har derfor kommersiell verdi.

Behandling av personopplysninger er imidlertid lovregulert. Både personvern- og forbrukervernlovgivningen setter grenser for hva som er lov.

Hva er en personopplysning?

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til enkeltpersoner, uavhengig av om de er oppgitt av forbrukerne selv eller registrert gjennom forskjellige sporingsteknologier. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer eller dynamisk IP-adresse. Opplysninger om atferdsmønstre er også regnet som personopplysninger.

Eksempler på dette er opplysninger om hva forbrukere handler, hvilke butikker de går i, hvilke tv-serier de ser på, hvor de fysisk beveger seg i løpet av en dag, og hvilke nettsider de besøker.

Om veilederen

Veilederen er ment som en innføring. Det betyr at den ikke er uttømmende. Fokuset i denne veilederen er hvilken informasjon du må gi og hvilke personopplysninger du kan behandle. Mange relevante plikter, som for eksempel plikten til å ha innebygget personvern, plikten til å ha informasjonssikkerhet og plikten til å gjennomføre vurdering av personvernkonsekvenser, vil ikke utdypes her. Det er likevel viktig å sette seg inn i disse pliktene. Det finnes også flere unntak fra hovedreglene.

Du finner mye relevant veiledning ellers på disse nettsidene og på forbrukertilsynet.no. Når det gjelder forbrukervernreglene, er enkelte problemstillinger knyttet til behandling av personopplysninger fortsatt ikke rettslig avklart. Denne veilederen vil likevel gi uttrykk for Forbrukertilsynets foreløpige standpunkt i slike situasjoner.

Personvernreglene som omtales i veilederen, må følges av den som er behandlingsansvarlig, altså den som bestemmer formålet og midlene for behandling av personopplysninger. Forbrukervernreglene må følges av alle som markedsfører eller tilbyr tjenester overfor forbrukere. Brudd på personvernreglene kan også vektlegges når Forbrukertilsynet vurderer saker etter forbrukervernreglene. Derfor bør alle i verdikjeden ha et bevisst forhold til begge regelverk, uavhengig av om man bidrar direkte eller indirekte til noen av de forskjellige stadiene i kontakten med forbrukere.

Denne veilederen tar utgangspunkt i fire stadier – fra markedsføring til avslutning av et kundeforhold:

Markedsføring av digitale tjenester

Forbrukere trenger klar og forståelig informasjon om hvilke personopplysninger tjenesten din samler inn, hvor du samler personopplysningene inn fra, og hvordan du bruker personopplysningene.

Personvernreglene har detaljerte krav som skal sørge for at forbrukerne er informert når deres personopplysninger behandles.

Denne informasjonen kan også være viktig for forbrukere når de skal bestemme seg for om de ønsker å bruke tjenesten din. Hvordan du behandler personopplysninger, kan være en så sentral del av tjenesten at forbrukerne må få de viktigste delene av denne informasjonen klart og tydelig allerede når du markedsfører tjenesten din. Da er det ikke nok at informasjonen finnes i avtalevilkårene eller personvernerklæringen som oppgis når man tar i bruk tjenesten.

Markedsføringsloven forbyr urimelig handelspraksis, jf. § 6. En handelspraksis er alltid urimelig og ulovlig dersom den utelater, skjuler eller ellers er egnet til å villede forbrukeren om tjenestens viktigste egenskaper, jf. mfl. §§ 7 og 8 jf. § 6.

Husk

Du bør opplyse i markedsføringen dersom tjenesten din finansieres gjennom
bruk av personopplysninger, slik at forbrukeren forstår forretningsmodellen din.
- Et eksempel kan være at du bruker forbrukerens personopplysninger til å målrette markedsføring mot dem.
Du bør gi klar beskjed i markedsføringen av tjenesten din dersom du behandler personopplysninger på en måte som kan ha stor innvirkning på forbrukerne, eller som vil kunne komme overraskende på.
- Et eksempel kan være at en kartapp ved bruk lagrer posisjon for å utarbeide statistikk over trafikk og besøksstrømmer hos næringsdrivende, eller at en livsstils-app deler opplysninger om aktivitetsnivå med tredjeparter.
Hvis forretningsmodellen din er å tjene penger på forbrukerens personopplysninger, bør du ikke markedsføre tjenesten som «gratis» uten at du samtidig gir tydelig informasjon om denne forretningsmodellen.
- Et eksempel kan være at en sosiale medier-tjeneste ikke koster penger, men finansieres ved å bruke forbrukernes personopplysninger til å målrette markedsføring mot dem.
Ikke markedsfør en funksjon eller egenskap ved tjenesten uten å opplyse om eventuelle personvernkonsekvenser.
- Et eksempel kan være en tjeneste som gir bonus på visse kjøp, men forutsetter lagring av forbrukerens kjøpshistorikk.
Ikke markedsfør tjenesten som «personvernvennlig» eller lignende uten å forklare forbrukeren hva du legger i dette. Slike påstander må kunne dokumenteres.

Avtaleinngåelse og behandling av personopplysninger

Når forbrukeren bestemmer seg for å bruke tjenesten din, er det viktig å skille mellom behandlingsgrunnlag (herunder samtykke til behandling av personopplysninger), avtalevilkårene for tjenesten og personvernerklæring

1. Behandlingsgrunnlag

Stort sett alle tjenester behandler opplysninger om brukerne sine. For å behandle personopplysninger må man ha et behandlingsgrunnlag etter personopplysningsloven.

Reglene om behandlingsgrunnlag følger av personvernforordningen artikkel 5 nr. 1 bokstav a og artikkel6, jf. pol. § 1.

Artikkel 4 (11), 7, 8 og fortalepunkt 32 definerer hva som er et gyldig samtykke.

Reglene om databehandlere følger særlig av artikkel 28 og 29.

Forbudet mot å behandle «sensitive» personopplysninger, samt unntak fra forbudet, følger av artikkel 9.

Den behandlingsansvarlige må ha identifisert et passende behandlingsgrunnlag for hver enkelt behandling av personopplysninger til hvert enkelt formål, før opplysningene samles inn.

Det vil si at næringsdrivende ikke står fritt til å diktere hvordan personopplysninger skal behandles i avtalevilkårene sine. For digitale tjenester er det særlig fire behandlingsgrunnlag som er aktuelle: «nødvendig for å gjennomføre en avtale», «nødvendig for å oppfylle en rettslig forpliktelse», «interesseavveiing» eller «samtykke».

Dersom du deler personopplysninger med andre som ikke utelukkende behandler opplysningene på dine vegne, krever dette eget behandlingsgrunnlag for å være lovlig. Deling av personopplysninger med andre som bare behandler opplysningene på dine vegne, såkalte databehandlere, er underlagt egne regler. Les om databehandleravtale

Noen personopplysninger er så sensitive (særlige kategorier personopplysninger) at man vanligvis ikke har lov til å behandle dem med mindre det foreligger et eksplisitt samtykke. Dette gjelder for eksempel opplysninger om helse, etnisitet, religion, politisk standpunkt og seksuell orientering. Les mer om behandling av særlige kategorier personopplysninger

Merk!

Dersom personopplysninger ikke er nødvendige for å oppnå formålet, sier dataminimalitetsprinsippet at det ikke er lov å samle dem inn.

Standardinnstillingene for en tjeneste kan ha stor innvirkning på hvordan den blir brukt, og hvilke personopplysninger som behandles. Standardinnstillingene skal være de mest personvernvennlige, i tråd med personvernprinsippene.

Nødvendig for å oppfylle en avtale

Dersom personopplysninger er objektivt nødvendig for å levere tjenesten din, kan «nødvendig for å oppfylle en avtale» være et passende grunnlag.
Behandling av personopplysninger som ikke er objektivt nødvendig for å levere tjenesten, men som er nødvendig for å oppnå virksomhetens forretningsmessige mål, kan imidlertid ikke baseres på «nødvendig for å oppfylle en avtale».

Selv om det står i vilkårene at en bestemt behandling av personopplysninger er en del av tjenesten, betyr heller ikke dette at behandlingen kan baseres på «nødvendig for å oppfylle en avtale», så lenge behandlingen ikke er faktisk og logisk nødvendig for å levere tjenesten.

Eksempel

Leveringsadresse er nødvendig når man bestiller varer på nett, mens bruk av personopplysninger for å lage personprofiler eller datamodeller ikke er nødvendig for å levere en kommunikasjonstjeneste. Behandling av personopplysninger for å forbedre en tjeneste eller utvikle nye funksjoner kan normalt ikke baseres på «nødvendig for å oppfylle en avtale».

Nødvendig for å oppfylle en rettslig forpliktelse

Dersom norsk lov pålegger deg å behandle personopplysninger, kan «nødvendig for å oppfylle en rettslig forpliktelse» være et passende grunnlag. Det kan for eksempel være nødvendig å lagre noen personopplysninger for å etterleve bokføringsplikten.

Interesseavveining

Det er lov å behandle personopplysninger dersom din virksomhets interesser veier tyngre enn forbrukerens interesser, rettigheter og friheter, herunder personvernet. Dersom inngrepet i personvernet derimot ikke står i forhold til interessen virksomheten din har i å behandle opplysningene, kan ikke behandlingen baseres på dette grunnlaget.

Eksempel

En interesseavveiing kan være et passende grunnlag for at tjenesten måler hvor ofte forbrukere bruker tjenesten, slik at virksomheten kan føre intern statistikk og forbedre tjenesten. På den annen side kan ikke en interesseavveiing forsvare aggressiv og inngående sporing eller profilering for markedsføringsformål, da vil personvernet veie tyngst.

Samtykke

Behandlingen av personopplysninger kan baseres på samtykke. Et samtykke skal være forbrukerens informerte og frie valg. Dersom samtykke er det aktuelle grunnlaget, må du derfor sørge for at du ber om samtykke på riktig måte.

Det å inngå en avtale og det å gi samtykke til behandling av personopplysninger er to forskjellige ting. Likevel er ikke dette alltid like klart, hverken for næringsdrivende eller forbrukere. Formuleringer som «Ved å godta disse brukervilkårene samtykker du til at opplysningene dine brukes til …» er ikke uvanlige, men likevel ikke i tråd med loven. Det er derfor viktig å vite når man skal be om samtykke, og hvordan man skal gjøre det.

Husk:

Sørg for at det er frivillig å samtykke. Forbrukeren skal ikke oppleve negative konsekvenser ved å svare nei.
- For eksempel vil ikke et samtykke være frivillig dersom forbrukeren ikke kan benytte en tjeneste med mindre hun samtykker til sporing eller profilering for markedsføringsformål.
Sørg for at samtykket er informert, slik at forbrukeren forstår hva det dreier seg om, og er i stand til å foreta et reelt valg. Forbrukeren må både vite hvilke opplysninger som behandles, og for hvilke formål.
Sørg for at samtykket er spesifikt og at forbrukeren kan takke ja eller nei til hver enkelt behandling eller formål.
Sørg for at forbrukeren må foreta en aktiv handling for å samtykke, for eksempel ved å klikke på en knapp eller huke av en boks, og at det ikke er tvil om at forbrukeren har ment å samtykke.
Sørg for at samtykket kan dokumenteres.
Sørg for at samtykket kan trekkes tilbake like lett som det var å gi det.
Sørg for at samtykkeforespørselen ikke blandes sammen med annen informasjon.
Sørg for at forespørselen om samtykke ikke er unødig forstyrrende for bruker opplevelsen.
Ikke bland sammen avtalevilkår og forespørsel om samtykke.
Ikke steng forbrukeren ute fra tjenesten hvis hun ikke samtykker til ting som ikke er objektivt nødvendig for tjenesten.
Ikke be om samtykke til ulike ting samlet.
Ikke bruk forhåndsutfylte bokser.
Ikke gjør det unødvendig vanskelig eller tidkrevende å ikke gi samtykke, og ikke bruk lignende aggressive virkemidler for å påvirke eller presse forbrukeren til å gi samtykke.
- Et eksempel kan være at forbrukeren må si nei til samme behandling gjentatte ganger eller gjennomføre flere ekstra operasjoner for å ikke gi samtykke.
Ikke overdriv negative konsekvenser for forbrukeren dersom hun ikke gir samtykke til behandling av personopplysninger.

2. Avtalevilkår og personvernerklæring

Avtalevilkår er en kontrakt som regulerer rettigheter og plikter mellom deg og brukerne dine. Du må sørge for at den beskriver tjenesten du tilbyr, og forholdet mellom deg, tjenesten din og brukerne. Det finnes lovbestemte krav til hva som kan stå i avtalen. Vilkårene må være klare, slik at forbrukere kan sette seg inn i og forstå hva avtalen innebærer for dem – også når det gjelder behandling av personopplysningene deres. I tillegg må avtalevilkårene være balanserte og ikke favorisere deg på en måte som går ut over forbrukerens rettigheter.

Se Forbrukertilsynets veileder om avtalevilkår for digitale tjenester for mer informasjon

Personvernerklæringen har et annet formål enn avtalevilkårene og skal i stedet gi informasjon om hva tjenesten gjør med personopplysninger, i tråd med kravene i personopplysningsloven. Denne informasjonen skal gis senest når tjenesten begynner å samle inn personopplysninger, og den må gis separat fra avtalevilkårene og uavhengig av hvilket behandlingsgrunnlag som er valgt. Informasjonen skal blant annet inneholde hvilke opplysninger som brukes til hvilke formål, hva behandlingsgrunnlaget er, og hvilke rettigheter forbrukeren har.

Plikten til å gi informasjon om behandling av personopplysninger følger av personvernforordningen artikkel 5 nr. 1 bokstav a og artikkel 12–14, jf. pol. § 1.

Forbrukertilsynet kan forby urimelige avtalevilkår etter markedsføringsloven § 22. I vurderingen av hva som er urimelig, skal det legges vekt på hensynet til balanse mellom partenes rettigheter og plikter og på hensynet til klarhet i kontraktsforhold.

Husk:

Skriv avtalevilkårene og personvernerklæringen på en enkel og forståelig måte. Det betyr at du bør unngå å bruke tungt juridisk språk eller faglige uttrykk som ikke brukes i dagligtalen.
Sørg for at avtalevilkårene er lett tilgjengelige, både når avtalen inngås og hvis forbrukeren vil lese dem senere. Forbrukeren skal også ha mulighet til å lagre avtalevilkårene. Tilsvarende skal også personvernerklæringen og informasjon om behandling av personopplysninger være tilgjengelig både når tjenesten samler inn opplysninger og i etterkant.
Pass på at den viktigste informasjonen for forbrukeren fremheves i avtalevilkårene og personvernerklæringen, og at de ikke blir gjemt bort i all den andre informasjonen. Det kan være lurt å presentere en oppsummering av den viktigste informasjonen øverst i teksten og bruke formatering, overskrifter og innholdsfortegnelse dersom dette gjør vilkårene mer oversiktlige.
Personvernerklæringen skal være separat fra avtalevilkårene. Sett deg inn i hva den må inneholde her. Det kan det være lurt å gi informasjonen lagvis, slik at man kan klikke seg videre for å lese mer utfyllende detaljer. Da ivaretar man lovens krav om at informasjonen skal være både dekkende og kortfattet, og det er lettere å fremheve informasjon som er viktig for forbrukeren.
Klargjør i vilkårene hvilke rettigheter forbrukeren har dersom personvernet for tjenesten ikke er i henhold til avtalen. Hvis forbrukeren har betalt for tjenesten, bør hun kunne kreve retting, prisavslag, heving og eventuell erstatning for økonomisk tap, slik hun kan hvis det er andre mangler ved tjenester.
Dersom forretningsmodellen din helt eller delvis er å tjene penger på brukernes personopplysninger, bør du sørge for at det kommer klart frem av vilkårene dine.
Ikke gjør vilkårene lengre enn de må være. Vilkår som er veldig lange, blir fort uoversiktlige. Dette gjør det vanskeligere for forbrukeren å sette seg inn i avtalevilkårene og forstå hva de betyr.
Ikke fraskriv deg ansvar for tredjeparters behandling av personopplysninger som du har delt med dem. Du bør ha et veldig bevisst forhold til hvem du eventuelt deler personopplysninger med.

https://lod.lovdata.no/journal/2023/3/m-05/Spiken_i_kistan_för_ifrågasatt_affärsmodell?

▲ Spiken i kistan för ifrågasatt affärsmodell?

Individanpassad annonsering baserad på en omfattande insamling av användardata har varit en populär affärsmodell på internet under de senast femton åren. Användarna har fått tillgång till innehållstjänster och sociala medier utan att direkt behöva betala för det. Uppgift om deras användning av tjänsterna har samlats in och använts för riktad annonsering. I många fall har insamling även skett på andra webbplatser och appar som samverkar med tjänsten.

Affärsmodellen är dock alltmer ifrågasatt. Företagen som använder modellen får en mycket ingående bild av användarna, t.ex deras beteende, kontakter och preferenser. Sådan information kan användas för riktad ekonomisk eller politisk påverkan på ett sätt som är svårt för utomstående att granska. Vissa kommentatorer har därför valt att beskriva modellen som en övervakningskapitalism. Risken finns också att informationen hamnar i orätta händer.

Bruk av personopplysninger til målrettet markedsføring

Personopplysninger brukes ofte til målrettet markedsføring. Ved å samle inn og analysere data kan man utarbeide modeller for profilering, og man kan plassere forbrukere i de ulike profilene. Profilene kan forutse forbrukernes preferanser eller tankesett. Deretter kan budskap tilpasses til de enkelte medlemmene av en gitt profil.

For at du skal kunne bruke opplysninger om kundene dine til profilering eller markedsføring, må du ha et behandlingsgrunnlag, se ovenfor. Dette kan for eksempel være gyldig samtykke eller, hvis det er snakk om enkle profiler som alder og bostedsfylke, en interesseavveiing avhengig av de konkrete omstendighetene og interessene. Profilering for markedsføringsformål kan som hovedregel ikke baseres på «nødvendig for å gjennomføre en avtale». Du trenger også gyldig behandlingsgrunnlag dersom du får opplysningene fra en tredjepart, eller dersom noen andre hjelper deg med profileringen eller markedsføringen.

Samtidig må du huske å informere forbrukerne på en åpen måte om at du vil bruke
opplysningene deres til profilering eller markedsføring, se ovenfor.

Informasjonskapsler (cookies) og tilsvarende teknologier brukes ofte for å samle opplysninger til bruk i profilering av markedsføring.

Hva er en informasjonskapsel?

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Informasjonskapsler reguleres av ekomloven, og her er det Nasjonal kommunikasjonsmyndighet (NKOM) som er kompetent fagmyndighet.
Les mer om informasjonskapsler/cookies (nkom.no)

Dersom det samles inn personopplysninger gjennom informasjonskapsler, gjelder personopplysningsloven i tillegg til ekomloven, og denne veiledningen vil gjelde fullt ut.

Hvis du bruker personopplysninger for å målrette markedsføring, må du som næringsdrivende være bevisst på hvilke data du kan samle inn, hva som er legitime teknikker for overbevisning gjennom reklame, og når man nærmer seg grensen for urimelig og ulovlig påvirkning eller press. Dette gjelder uavhengig av hvilken teknologi man bruker for å målrette reklamen, og uavhengig av om man bruker personopplysninger eller korrekt anonymiserte datasett.

I tillegg gjelder det egne krav i markedsføringsloven dersom markedsføring sendes til forbrukeren i kanaler som tillater individuell elektronisk kommunikasjon, for eksempel e-post og SMS.
Les mer om dette i Forbrukertilsynets veileder om markedsføring via e-post, SMS og lignende

Husk:

Pass på at du har tilstrekkelig behandlingsgrunnlag for å bruke person- opplysninger til målrettet markedsføring.
Pass på å informere forbrukeren godt nok om at personopplysninger samles inn og brukes til markedsføring. I mange tilfeller kan dette være uventet for forbrukeren, og da må denne informasjonen fremheves.
Informer på en forståelig måte i markedsføringen om hvordan du har behandlet personopplysningene til forbrukeren for å målrette budskapet til henne.
Forbrukeren kan når som helst velge at personopplysningene hennes ikke skal brukes til direkte eller målrettet markedsføring. Du må informere om denne rettigheten på en klar måte, adskilt fra annen informasjon og senest når opplysningene samles inn.
Ikke gjenbruk personopplysninger som er innhentet for et helt annet formål, til profilering eller målrettet markedsføring, med mindre du får et gyldig samtykke til slik gjenbruk.
Unngå profilering eller målretting som inneholder, forutser eller utleder særlige kategorier personopplysninger, for eksempel opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell orientering.
Ikke bruk personopplysninger eller annen data om sårbarheter eller uheldige hendelser og omstendigheter for å målrette markedsføring.
- Eksempler på dette kan være opplysninger om at, eller som utleder at, forbrukeren har familieproblemer, lav selvtillit, nylig hatt samlivsbrudd, eller historikk med spilling, overforbruk og betalingsproblemer.

Retten til å protestere mot direkte markedsføring, herunder målrettet markedsføring, følger av personvernforordningen artikkel 21, jf. pol. § 1.

Reglene om gjenbruk av personopplysninger til nye formål følger av artikkel 5 nr. 1 bokstav b og artikkel 6 nr. 4.

Målrettet markedsføring kan også reise spørsmål etter markedsføringsloven § 9 jf. § 6 som forbyr aggressiv handelspraksis. I vurderingen av om en handelspraksis er aggressiv, skal det blant annet tas hensyn til om den næringsdrivende utnytter en konkret uheldig hendelse eller omstendighet som er så alvorlig at den kan nedsette forbrukerens dømmekraft, til å påvirke forbrukerens beslutninger.

Målrettet markedsføring kan også være i strid med god markedsføringsskikk jf. mfl § 2.

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 2 juli 2023 00:00

Barn og unge forbrukere

Barn og unge er sårbare, og de har krav på særlig beskyttelse etter både person- vernreglene og forbrukervernreglene.

Barn er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre, og hvilke rettigheter de har. Dessuten har de mindre erfaring, er mer påvirkelige og er lettere å manipulere med kommersielle budskap. Det er veldig viktig at tjenester som retter seg mot unge, tenker ekstra nøye gjennom hvilke data de samler inn, hvordan dataene brukes, hvordan dataene beskyttes, og hvordan tjenestene kan gi informasjon som er forståelig for alle.

Dersom barn og unge profileres og blir satt i bås, kan det gå ut over muligheten til fritt å utvikle sin egen unike identitet. Profilering av barn for markedsføringsformål bør normalt unngås.

Personer under 18 år er i utgangspunktet mindreårige. Barnebegrepet etter markedsføringsloven er likevel fleksibelt. Det skal tas hensyn til alder, og jo yngre barn er, jo strengere vil vurderinger etter markedsføringsloven være.

Husk:

Tilrettelegg informasjonen der du ber om samtykke til å behandle personopplysninger fra barn og unge, slik at alle kan forstå den.
For informasjonssamfunnstjenester, slik som de fleste nettjenester og apper, må foreldre samtykke til behandling av personopplysninger på vegne av barn under 13 år. Ellers er aldersgrensen normalt 15 år for at barn kan samtykke til behandling av egne personopplysninger. For sensitive personopplysninger,
slik som opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell
orientering, er aldersgrensen likevel alltid 18 år.
Ikke profiler barn for markedsføringsformål.
Ikke ta med direkte oppfordringer til barn om å kjøpe noe eller overtale foreldrene sine til det.

Markedsføring som er rettet mot barn må være i tråd med markedsføringslovens særlige regler om dette jf. markedsføringsloven kapittel 4.

Det følger av personvernforordningen fortalepunkt 38, jf. pol. § 1, at barns personopplysninger fortjener et særlig vern og særlig når det gjelder markedsføring og profilering.

Reglene om barns samtykke i forbindelse med informasjonssamfunnstjenester følger av personvernforordningen artikkel 8 og pol. § 5.

Tilsyn og sanksjoner

Forbrukervernlovgivningen

Forbrukertilsynet skal søke å påvirke næringsdrivende til å innrette seg etter markedsføringsloven, angrerettloven og annet regelverk som Forbrukertilsynet fører tilsyn med. Ved brudd på markedsføringsloven eller annen forbrukervernlovgivning, kan Forbrukertilsynet fatte vedtak om forbud (§ 40), påbud (§ 41), tvangsmulkt (§ 42) og i visse tilfeller overtredelsesgebyr (§ 43), jf. mfl. § 39. Forbrukertilsynets vedtak kan klages inn for Markedsrådet (§ 37).

Vedtak kan også rettes mot personer eller selskaper som medvirker til lovbrudd (§ 39 annet ledd).

Personvernlovgivningen

Datatilsynet er tilsynsmyndighet etter personopplysningsloven, og har derfor mulighet til å be om all informasjon tilsynet trenger for å kontrollere at loven etterleves.

Dersom reglene i personopplysningsloven brytes, kan Datatilsynet gi advarsler, fatte pålegg, utstede reprimander, stoppe behandlingen av personopplysninger eller ilegge overtredelsesgebyr. Dette følger av personvernforordningen artikkel 58, jf. personopplysningsloven § 1.

Dersom Datatilsynets vedtak ikke følges, kan tilsynet dessuten ilegge tvangsmulkt etter personopplysningsloven § 29.

Avhengig av sakens omstendigheter og hvilke regler som er brutt, kan Datatilsynet ilegge overtredelsesgebyr på opptil 20 000 000 euro eller 4 % av den samlede globale årsomsetningen i forutgående regnskapsår. Det følger av personvernforordningen artikkel 83, jf. personopplysningsloven § 1.

I saker som påvirker forbrukere i flere EØS-land, finnes det egne regler om hvordan datatilsynsmyndighetene i de ulike landene skal samarbeide i sin tilsynsvirksomhet.

Skriv ut alt innholdet

https://www.advokatbladet.no/kunstig-intelligens-meninger/kampen-om-opphavsrett-i-ai-aeraen/194070

Kampen om opphavsrett i AI-æraen

Kan materiale som er beskyttet av opphavsrett, som fotografier og kunstverk, brukes til såkalt «trening» av kunstig intelligens, som ChatGPT og GPT-4? Spørsmålet er nå kommet opp for amerikanske domstoler, skriver Tove Øymo, Ekin Ince Ersvaer og Oda Grøner i Wikborg Rein i dette innlegget.

"Det aktuelle rettslige spørsmålet Rembrandt-prosjektet utløste, knyttet seg derfor til om det frembrakte resultatet overhodet er beskyttet av opphavsrett og hvem som i så fall skal ha opphavsrett til verk skapt av kunstig intelligens (AI). Men kunne algoritmen lovlig ha brukt Rembrandts bilder hvis verkene var beskyttet av opphavsrett?"

https://www.advokatbladet.no/advokatbransjen-blockchain-digitalisering/mener-jussen-utfordres-i-mote-med-ny-teknologi/114481

"Mener jussen utfordres i møte med ny teknologi"

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/

https://www.tek.no/nyheter/nyhet/i/wA0VRM/eu-innfoerer-strengere-regler-for-store-nettsider

EU innfører strengere regler for store nettsider
Nettsider som Instagram og Zalando klassifiseres som særskilt store av EU-kommisjonen.

"Nå må de etterleve strengere krav om sikkerhet og åpenhet."

OPPHAVSRETT

https://codex.no/bedrift/ipr-media/opphavsrett

"Opphavsrett er den retten som tilhører skaperen av et åndsverk. Et åndsverk er vanligvis et litterært, kunstnerisk eller vitenskapelig verk, slik som bilder eller bøker, men det kan også omfatte produksjon av lyd og film, dataprogrammer og databaser. Opphavsmannen har enerett til å produsere eksemplarer av verket, og til å tilgjengeliggjøre det."

https://www.rettighetsadvokater.no/opphavsrett/

Hvem har opphavsrett til åndsverk?

"Den som har opphavsrett kan forby andre å fremstille eksemplarer eller gjøre det tilgjengelig for allmennheten uten at det foreligger avtale eller annet særskilt rettsgrunnlag."

ÅNDSVERKLOVEN

https://lovdata.no/dokument/NL/lov/2018-06-15-40

https://www.datatilsynet.no/regelverk-og-verktoy/sandkasse-for-kunstig-intelligens/

▼

Formålet med sandkassen er å bidra til innovasjon av personvernetisk og ansvarlig kunstig intelligens. Sandkassen skal være en trygg havn for testing og bidra til å senke fallhøyden og risikoen forbundet med utvikling av nye KI-løsninger. I sandkassen kan prosjektdeltakerne, sammen med ansatte i Datatilsynet, avdekke eventuelle svakheter og sårbarheter på et tidlig stadium i prosessen. På den måten er det mulig å foreta nødvendige endringer i utviklingen før man har investert for mye tid, innsats og penger i en løsning som ikke vil kunne etterleve regelverket.

Basert på erfaringene som opparbeides i sandkassen, vil Datatilsynet lage eksempler og veiledningsmateriell som er til nytte for alle som ønsker å utvikle etisk og ansvarlig kunstig intelligens.

All informasjon om sandkassen er samlet på en egen temaside

Kundehåndtering, handel og medlemskap

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/

Forbrukertilsynet og Datatilsynet har laget en veileder der vi går gjennom det viktigste du som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern.

Les veilederen

Plikt til å oppfylle rettigheter

Alle virksomheter har plikt til å legge til rette for at brukere/kunder får oppfylt rettighetene sine på en enkel måte. Det skal som hovedregel gjøres uten kostnad for kunden og innen 30 dager.

Les mer om virksomhetens plikt til å oppfylle rettigheter

Kundeklubber og personvern

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/kundeklubber-og-personvern/

Kundeklubber må passe på hvordan de bruker kundenes personopplysninger. Særlig viktig er medlemmets samtykke og selvbestemmelsesrett over sine personopplysninger.

Alle kundeklubber behandler personopplysninger

Det er flere og flere virksomheter innen varehandel som tilbyr kundeklubber (også kjent som lojalitetsprogrammer eller fordelsprogrammer). Kundeklubbene tilbyr lojale kunder rabatter eller bonuser. For å kunne gi kundene dette, behandler kundeklubbene medlemmenes personopplysninger.

Kundeklubber kan bruke personopplysningene i den grad det er nødvendig for å tilby lojalitetsgodene. For eksempel trenger klubben å vite hvem som er med i kundeklubben. Noen ganger trenger man å se på hvor mye medlemmet har handlet for å regne ut bonus eller rabatter. Dette er legitimt.

Mange kundeklubber ønsker også å analysere medlemmenes handlemønster for å lære mer om kundene eller tilby personaliserte rabatter. Dette går ut over det som er strengt nødvendig for å tilby vanlig rabatt eller bonus. Derfor er det ikke fritt frem å utføre slike analyser.

Samtykke til analyse
Noen kunder ønsker å få tilpassede rabatter fordi de oppleves som mer relevante og nyttige.

På en annen side finnes det kunder som synes at analyse er ubehagelig. Handlemønstre kan avsløre uventede forhold. Hvilke matvarer vi legger i handlevogna kan for eksempel si noe om økonomien eller kostholdet vårt. Kosthold er igjen nært knyttet til helsa vår (og i noen tilfeller religion).

For å legge til rette for den enkelte medlems valg og kontroll over egne opplysninger, må kundeklubben be om medlemmets samtykke hvis man ønsker å analysere opplysningene.

Man skal unngå å foreta analyser som avdekker sensitive personopplysninger.

Det er strenge krav til hvordan samtykke innhentes. Et samtykke skal være frivillig, så det må være mulig å si nei til analyse uten å bli utestengt fra tjenesten.

Videre må virksomheten gi kortfattet og forståelig informasjon om hva samtykke innebærer. Man kan kun samtykke til ett spesifikt formål av gangen. Samtykke må avgis ved en aktiv handling (i motsetning til å passivt fullføre en registreringsprosess), og samtykkeforespørselen skal være adskilt fra annen informasjon og vilkår. Husk at samtykke må dokumenteres.

Selvbestemmelsesrett
Det er hvert enkelt medlem av kundeklubben som bestemmer over opplysningene som er gitt, og det skal være like lett å trekke tilbake samtykke som det var å gi det.

Lagringstid og tilgangsstyring
Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, for eksempel å gi rabatter. Det betyr at virksomheten må fastsette rimelige sletteregler. Det mest personvernvennlige alternativet skal være standard, så kan heller de kundene som ønsker lenger lagring, be om det.

Noen ganger har kundeklubbene plikt til å lagre enkelte opplysninger i fem år etter bokføringsloven. Det er legitimt, men personopplysninger som lagres for bokføringsformål, skal lagres separat og ikke brukes til andre ting. Virksomheten må ha på plass tilgangsstyring slik at kun de som jobber med bokføring og liknende har tilgang til disse opplysningene.

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/

Nyhetsbrev, epostlister og SMS

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/nyhetsbrev-epostlister-og-sms/

Hvordan er reglene for utsending av nyhetsbrev? Må man ha samtykke? Og hvilke regler gjelder?

Når en virksomhet skal behandle personopplysninger, må den ha et behandlingsgrunnlag. Både e-postadresse og mobilnummer regnes normalt som personopplysninger.

Noen ganger har andre lover tilleggskrav, for eksempel kan en viss handling kreve forutgående samtykke. Markedsføringsloven sier for eksempel at man som hovedregel må ha samtykke for å sende markedsføring på e-post eller SMS. Terskelen for hva som regnes som for markedsføring er lav, og mange nyhetsbrev vil derfor falle inn i denne kategorien.

Dersom din virksomhet skal sende ut markedsføring på e-post, må du altså forholde deg til to ulike lovverk:

Du må ha behandlingsgrunnlag etter personopplysningsloven for å bruke e-postadresser og mobilnumre.

Du må i utgangspunktet ha samtykke etter markedsføringsloven for å kontakte noen med markedsføring per e-post eller SMS.

Her utdyper vi hva reglene går ut på og hvilke unntak som gjelder.

Markedsføringslovens krav til samtykke

Markedsføringsloven sier at man må ha samtykke for å sende ut nyhetsbrev når disse fire vilkårene er oppfylt:

Nyhetsbrevet sendes ut som del av næringsvirksomhet og inneholder markedsføring, altså ved at man ønsker å påvirke til kjøp av en vare eller tjeneste.

Nyhetsbrevet sendes ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, for eksempel e-post eller SMS.

Nyhetsbrevet sendes til en bestemt person, enten en privatperson eller en arbeidstaker i en virksomhet (for eksempel navn@virksomhet.no).

Det foreligger ikke et eksisterende kundeforhold der dere har mottatt den enkeltes e-postadresse i forbindelse med salg.

Dette vil si at virksomheten ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Det trengs heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg.

Dersom dere har spørsmål til markedsføringsloven, er Forbrukertilsynet riktig instans. De har laget en veileder der dere kan lese mer om hva som menes med for eksempel markedsføring og eksisterende kundeforhold.

Kravene til et gyldig samtykke etter markedsføringsloven tilsvarer kravene til et gyldig samtykke etter personvernforordningen. Derfor kan det være lett å forveksle disse to samtykkene, selv om de egentlig handler om ulike ting (samtykke til å kontakte noen med markedsføring og samtykke til behandling av personopplysninger).

Personopplysningslovens krav til behandlingsgrunnlag

En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, som samtykke, nødvendig for avtale eller interesseavveiing.

Les mer om de ulike behandlingsgrunnlagene

Dersom markedsføringsloven krever samtykke, kan samtykket også fungere som behandlingsgrunnlag. Det vil si at ett og samme samtykke kan oppfylle kravene etter begge lovene. Grunnen til at dette er mulig akkurat her, er at det man ber om samtykke til – å sende markedsføring og å behandle e-postadresse eller telefonnummer med det formål å sende markedsføring – henger så nært sammen at kravene til gyldig samtykke overholdes.

Eksempel

En virksomhet ber om samtykke til å sende ut nyhetsbrev. Det er frivillig å samtykke, virksomheten gir god informasjon og samtykkene kan dokumenteres. Under registreringsfeltet skriver virksomheten følgende:

«Ved å skrive inn e-postadressen din ovenfor og klikke på «Send meg nyhetsbrev» samtykker du til at vi sender deg informasjon om nye produkter og tilbud og at vi bruker e-postadressen din til å gjøre dette.»

Dersom den enkelte klikker på samtykkeknappen, har virksomheten innhentet samtykke etter markedsføringsloven og samtidig sikret behandlingsgrunnlag for å bruke e-postadressen til å sende nyhetsbrev og markedsføring.

Også andre behandlingsgrunnlag kan være relevante, for eksempel interesseavveiing. Husk at virksomheter må kunne dokumentere interesseavveiingene sine.

Dersom markedsføringsloven ikke krever samtykke, finnes det flere aktuelle behandlingsgrunnlag.

Eksempel

En virksomhet sender ut nyhetsbrev med markedsføring, men det foreligger et eksisterende kundeforhold som gjør at man ikke trenger samtykke etter markedsføringsloven. Virksomheten kommer frem til at behandlingsgrunnlaget for å bruke kundens e-post til å sende markedsføring er interesseavveiing.

En organisasjon sender ut nyhetsbrev om norsk politikk, og nyhetsbrevet inneholder ikke markedsføring. Organisasjonen sender kun nyhetsbrev til de som uttrykkelig har bedt om denne spesifikke tjenesten, og e-postadressene til mottakerne er nødvendig for å levere den etterspurte tjenesten. Virksomheten kommer frem til at behandlingsgrunnlaget er nødvendig for avtale.

Husk at dersom virksomheten også sporer om mottakeren har åpnet nyhetsbrevet, hva han klikker på, hvilke sider han besøker og liknende, er dette separate behandlinger av personopplysninger som krever eget behandlingsgrunnlag i tillegg.

Virksomhetenes plikter

Fastsette formål

Før ein kan sette i gang med å behandle personopplysningar, må det definerast eit eller fleire klart formulerte formål.

Ei verksemd kan aldri samle eller lagre personopplysningar utan eit formål. Dette vert slått fast i eit av personvernprinsippa i personvernforordninga. Personopplysningar skal berre nyttast for spesifikke, uttrykkelege, angitte og legitime formål.

Det at opplysningane kan vise seg å komme til nytte ein dag, er ikkje eit godt nok formål. Verksemda må ha eit reelt formål med opplysningane, og det må vere klart uttrykt og bestemt på førehand. Dette inneber at dersom verksemda ønskjer å bruke personopplysningar, må ho starte med å formulere formålet skriftleg først.

Når ein skal formulere formålet, er det viktig å vere konkret og open. Vide eller vage formuleringar er ikkje tillatne. Verksemda har plikt til å gje den einskilde informasjon om formålet med behandlinga av personopplysningar på ein forståeleg måte.

Døme

Ei foreining skriv at ho bruker personopplysningane til medlemane for administrasjon.
Dette er for vagt. Foreininga kan til dømes i staden seie at formålet med personopplysningane er å fakturere medlemsavgifta, invitere medlemane til foreiningsmøte og dokumentere at verksemda ikkje juksar med medlemstala.
Ein nettstad oppgjev at personopplysningane til brukarane kan brukast for å tilby relevant kommunikasjon og ei god brukaroppleving.
Dette er ikkje i tråd med lova fordi det ikkje er klart nok kva nettstaden vil nytte personopplysningane til. I staden kan man til dømes seie at nettstaden analyserer kva brukaren klikkar på for å gje tilpassa marknadsføring og avdekkje kva for funksjonar som er mest brukte, dersom det er tilfellet.

Ein bør unngå å seie at opplysningar «kan» brukast til eit eller fleire formål. I staden bør verksemda seie når opplysningane faktisk vil bli brukte til dei oppgjevne formåla.

Formålet må sjølvsagt halde seg innanfor kva som er lovleg. Det inneber mellom anna at handsaminga må ha eit rettsleg grunnlag.

Bordet fangar

Det definerte formålet avgjer kva verksemda kan bruke opplysningane til seinare. Lova forbyr å bruke personopplysningar på måtar som ikkje er i samsvar med det opphavlege formålet.

Spørsmålet er derfor kva som er «i samsvar» med det opphavlege formålet. Her skal verksemda leggje vekt på

alle samband mellom formålet opplysningane vart samla inn for, og formålet for den tiltenkte behandlinga
i kva for samanheng opplysningane vart samla inn og forholdet mellom verksemda og den einskilde
arten av personopplysningane og kor sensitive dei er
dei moglege konsekvensane for den einskilde ved den vidare behandlinga av opplysningane
om det ligg føre tiltak for personvernet

Verksemda må òg sjå på kva rimelige forventingar den einskilde har om korleis opplysningane deira vil bli behandla.

Forbodet mot behandling som ikkje er i samsvar med det opphavlege formålet, gjeld ikkje behandling av personopplysningar for

arkivformål i offentleg interesse
vitskapelege og historiske forskingsformål
statistikkformål

Det må ligge føre passande personverngarantiar for desse typane behandling, i tråd med personvernforordninga artikkel 89.

Formålet avgjer lagringstida

Personopplysningalova seier at personopplysningar ikkje kan lagrast lenger enn det som er naudsynt for formålet. I praksis betyr dette at verksemda må fastsetje sletterutinar som sikrar at opplysningane blir sletta når det ikkje lenger er naudsynleg å ta vare på dei.

Virksomhetenes plikter

Plikt til å fastsette formål - artikkel 5

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 25 juni 2023 00:00

Dataportabilitet

Gjennom retten til dataportabilitet har forbrukere rett til å få utlevert opplysninger om seg selv som de selv har gitt til tjenesten din. Retten til dataportabilitet skal gjøre det enklere for forbrukeren å bytte eller bruke flere tjenesteleverandører samtidig, og dermed forhindre at forbrukere låses til en tjeneste eller tilbyder.

Retten til dataportabilitet gjelder kun opplysninger du har behandlet på bakgrunn av samtykke eller at de var «nødvendig for å gjennomføre en avtale». Videre må det være snakk om data som forbrukeren aktivt har gitt til tjenesten, eller rådata om observert aktivitet, slik som logger og historikk. Retten gjelder ikke bearbeidede data, slik som dine egne analyser og profiler.

Husk:

Informer om retten til dataportabilitet på en kortfattet, lett forståelig og lett tilgjengelig måte.
Legg til rette for at forbrukeren kan bruke retten til dataportabilitet på en enkel måte.
- For eksempel bør det legges til rette for at slike henvendelser kan gjøres
elektronisk.
Hvis vilkårene om dataportabilitet er oppfylt, må du utlevere opplysningene så raskt som mulig, og normalt senest innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
Utlever opplysningene i et strukturert, alminnelig anvendt og maskinlesbart format, slik at disse kan overføres til en annen tjenesteleverandør.
Gi begrunnelse dersom du gir avslag på anmodning om dataportabilitet, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
Ikke ta gebyr for å imøtekomme kravet om dataportabilitet.
Ikke oversend opplysningene ukryptert, for eksempel via en ukryptert e-post.

Retten til dataportabilitet følger av personvernforordningen artikkel 20, jf. pol. § 1.

Reglene om hvordan rettigheter skal imøtekommes, herunder regler om tidsfrister og betaling, følger av artikkel 12.

Plikten til informasjonssikkerhet følger av artikkel 5 nr. 1 bokstav f og artikkel 32.

Rett til dataportabilitet

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-dataportabilitet/

Retten til dataportabilitet er en rettighet som skal styrke kontrollen din over egne personopplysninger. Dette gjør at kan du få utlevert personopplysninger om deg selv og gjenbruke dem som du vil på tvers av ulike systemer og tjenester.

Retten til dataportabilitet innebærer:

Med retten til dataportabilitet kan du få utlevert personopplysninger om deg og gjenbruke disse som du vil på tvers av ulike systemer og tjenester.

Dataportabilitet skal gjøre det lettere å bytte tjenesteleverandør. Du skal enkelt kunne ta med deg opplysningene dine til den leverandøren som tilbyr de beste vilkårene.

Opplysningene skal utleveres i et maskinlesbart og vanlig brukt filformat. Du kan kreve at personopplysningene dine overføres direkte til den nye tjenesteleverandøren når dette er teknisk mulig.

Med retten til dataportabilitet kan du flytte persondata fra en tjenesteleverandør til en annen på en trygg og sikker måte.

Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt.

Rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevist og aktivt har gitt fra deg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra deg gjennom aktiv bruk av en tjeneste, for eksempel data om dine løpeturer (puls, tid, lokasjon) samlet inn fra deg når du bruker en treningsapp.

Personopplysninger som tjenesteleverandøren ikke har samlet inn direkte fra deg, er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger som tjenesteleverandøren har utledet basert på din aktive bruk av tjenesten. Dette er ikke opplysninger som er avgitt direkte av deg, men som virksomheten selv har opprettet basert på analyse av din bruk av tjenesten.

Du har krav på å få dataene utlevert så raskt som mulig, og senest innen en måned.

Opplysningene skal sendes til deg kryptert. Du bør sende opplysningene videre på samme måte som du fikk dem.

Virksomheten må kunne fastslå din identitet før de utleverer opplysningene dine til deg.

Virksomheter har ikke lov til å ta gebyr for å imøtekomme kravet om dataportabilitet

Bilder på nett (1)

https://slettmeg.no/bilder-pa-nett/

Enhver som publiserer bilder på nettet må forholde seg til personopplysningslovens og åndsverklovens bestemmelser, samt det ulovfestede personvernet. Det innebærer at man i utgangspunktet ikke kan publisere et bilde av en person uten samtykke av den avbildede. Det er den som har publisert bildene som eventuelt må bevise at et frivillig, uttrykkelig og informert samtykke virkelig foreligger.

Situasjonsbilder kan offentliggjøres uten samtykke fra de avbildede så lenge bildene er harmløse og ikke krenkende for de som er avbildet. Situasjonsbilder kan defineres som bilder der selve situasjonen eller aktiviteten er det egentlige formålet med bildet. Akkurat hvem som er med på bildet er da mindre viktig enn hovedinnholdet i bildet. Eksempler på dette kan være en gruppe mennesker på en konsert, et idrettsarrangement, 17. mai-tog, eller hendelser som har allmenn interesse. Det gjelder også unntak fra samtykkekravet der avbildningen har aktuell og allmenn interesse, men her er grensen for det lovlige vanskelig. Det som imidlertid er sikkert er at kjente personer har mindre vern enn andre, men også kjente personer har et vern.

Bilder på nett (2)

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/

Når du skal publisere eller dele bilder eller film der personer er motivet, må du tenke gjennom om det du gjør er lovlig. Som en hovedregel, kan det for eksempel være lurt å alltid be om samtykke først.

Hvis det oppstår en konflikt, er det den som har delt bildene eller filmen som må bevise at et gyldig samtykke virkelig er gitt.

Bilder eller film av personer

Bilder som viser en eller flere bestemte personer, altså bilder der de enkelte personene er hovedmotivet kalles også portrettbilder. Dersom du skal publisere slike bilder på nett eller dele dem med andre (selv om det er i lukkede grupper), må du ha samtykke fra den eller de som er avbildet før bildet publiseres. Dette gjelder i den avbildedes levetid og 15 år etter utløpet av personens dødsår. Det gjelder også film/video, og det gjelder enten du selv har tatt bildene eller bare videreformidler dem.

Dersom det gjelder bilder av barn eller andre personer som ikke kan gi gyldig samtykke selv, må foresatte gi samtykke på disse sine vegne.

Klassebilder er også definert som portrettbilder siden det er personene som er hovedmotivet. Hvis en skole ønsker å publisere klassebilder på sine hjemmesider, kan dette bare gjøres dersom det er innhentet et godkjent samtykke.

Les mer om samtykke for skoler, barnehager og andre virksomheters bruk av bilder av barn.

Samtykke skal hentes inn FØR bildet eller filmen deles. Deler du familiebilder eller festbilder av omgangskretsen med andre, må du derfor ha samtykke fra alle som kan identifiseres på bildene. Dette gjelder selvsagt uansett om bildene publiseres på en hjemmeside, på en blogg, på sosiale medier eller andre nettsider. Det gjelder også om bildene deles i åpne eller lukkede grupper (slik som Facebook-grupper med flere medlemmer), og det gjelder direktestreaming selv om ingenting lagres. Brudd på disse reglene kan være straffbart.

Identitetskrenkelse

https://slettmeg.no/straffbart-pa-internett/

Det er straffbart å bruke en annen persons identitet eller en identitet som er lett å forveksle med en annes identitet for å oppnå uberrettiget vinning eller påføre en annen tap eller ulempe. Det kan f.eks gjelde opprettelse av en falsk profil på internett. 10. desember 2010 trådde en ny bestemmelse i staffeloven om identitetskrenkelse i kraft.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 202.Identitetskrenkelse
Med bot eller fengsel inntil 2 år straffes den som uberettiget setter seg i besittelse av en annens identitetsbevis, eller opptrer med en annens identitet eller med en identitet som er lett å forveksle med en annens identitet, med forsett om å

a. oppnå en uberettiget vinning for seg eller en annen, eller
b. påføre en annen tap eller ulempe.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

Hacking

https://slettmeg.no/straffbart-pa-internett/

Det er straffbart å uberettiget skaffe seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler. Straffen er bøter eller fengsel inntil 6 måneder eller begge deler. Hacking er dermed omfattet av denne straffebestemmelsen. Dersom hackingen er utført for å skaffe noen en uberettiget vinning, eller gjerningspersonen har voldt skade ved å skaffe seg eller bruke opplysningene vedkommende har fått gjennom hackingen, heves strafferammen til fengsel i inntil 2 år.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 201.Uberettiget befatning med tilgangsdata, dataprogram mv.
Med bot eller fengsel inntil 1 år straffes den som med forsett om å begå en straffbar handling uberettiget fremstiller, anskaffer, besitter eller gjør tilgjengelig for en annen

a. passord eller andre opplysninger som kan gi tilgang til databasert informasjon eller datasystem, eller
b. dataprogram eller annet som er særlig egnet som middel til å begå straffbare handlinger som retter seg mot databasert informasjon eller datasystem. På samme måte straffes den som uten forsett om å begå en straffbar handling besitter et selvspredende dataprogram, og besittelsen skyldes uberettiget fremstilling eller anskaffelse av programmet.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 204.Innbrudd i datasystem
Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.

0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 205.Krenkelse av retten til privat kommunikasjon
Med bot eller fengsel inntil 2 år straffes den som uberettiget

a. og ved bruk av teknisk hjelpemiddel hemmelig avlytter eller gjør hemmelig opptak av telefonsamtale eller annen kommunikasjon mellom andre, eller av forhandlinger i lukket møte som han ikke selv deltar i, eller som han uberettiget har skaffet seg tilgang til,
b. bryter en beskyttelse eller på annen uberettiget måte skaffer seg tilgang til informasjon som overføres ved elektroniske eller andre tekniske hjelpemidler,
c. åpner brev eller annen lukket skriftlig meddelelse som er adressert til en annen, eller på annen måte skaffer seg uberettiget tilgang til innholdet, eller
d. hindrer eller forsinker adressatens mottak av en meddelelse ved å skjule, endre, forvanske, ødelegge eller holde meddelelsen tilbake.
0 Tilføyd ved lov 19 juni 2009 nr. 74.

Dokumentforfalskning/bruk av falskt dokument

https://slettmeg.no/straffbart-pa-internett/

Hvis noen har forfalsket en signatur for å skaffe seg tilgang på facebook konto eller annet, så er det straffbart eventuelt ved å sende/levere inn et slikt dokument og dermed ha brukt dokumentet. Straffen for å benytte et falsk dokument er bøter eller fengsel i opptil 2 år. Dette står i straffelovens § 361.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 361.Dokumentfalsk
Med bot eller fengsel inntil 2 år straffes den som

a. ettergjør eller forfalsker et dokument, eller anskaffer et ettergjort eller forfalsket dokument med forsett om bruke det eller la det fremstå som ekte eller uforfalsket,
b. rettsstridig bruker et dokument som nevnt i bokstav a og lar det fremstå som ekte eller uforfalsket, eller
c. utsteder et dokument og uriktig tillegger seg en stilling som er av vesentlig betydning for dokumentets bevisverdi, og lar dokumentet fremstå som riktig.
Med dokument menes i dette kapittel en informasjonsbærer som gjelder et rettsforhold eller ellers egner seg som bevis for et rettsforhold.

0 Tilføyd ved lov 19 juni 2009 nr. 74.

https://lovdata.no/dokument/NL/lov/2005-05-20-28/

§ 362.Mindre dokumentfalsk

Når straffverdigheten er liten, straffes dokumentfalsk med bot. Ved denne avgjørelsen skal det særlig legges vekt på

a.hvilken verdi handlingen gjelder,

b.om den har hatt til følge skade eller uleilighet for noen,

c.i hvilken utstrekning den er resultat av planlegging.

0Tilføyd ved lov 19 juni 2009 nr. 74.

🔗

§ 363.Dokumentødeleggelse mv.

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 18 juni 2023 00:00

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/

Personvernprinsippene

Personopplysningsloven inneholder både rettigheter og plikter. Felles for alle reglene er at de bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene.

Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som i størst mulig grad sikrer forutsigbarhet og forholdsmessighet for enkeltmennesket.

Her er en kort gjennomgang av personvernprinsippene:

Lovlig, rettferdig og gjennomsiktig

At behandlingen av personopplysninger må være lovlig innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger. Personvernforordningen har en liste over rettslige grunnlag og minst ett av disse må være oppfylt for at behandlingen skal være lovlig. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle.

At behandlingen av personopplysninger må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være forståelig for de registrerte og ikke foregå på skjulte eller manipulerende måter. Gjennomsiktig betyr i denne sammenheng at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder. Gjennomsiktighet bidrar til å skape tillit og det setter enkeltpersonen i stand til å bruke sine rettigheter og ivareta sine interesser.

Formålsbegrensning

Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.

Dataminimering

Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.

Riktighet

Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks slette eller rette personopplysninger som er uriktige ut i fra de formålene de er samlet inn for.

Lagringsbegrensning

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.

Integritet og konfidensialitet

Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Dette betyr at den behandlingsansvarlige må sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.

Ansvarlighet

Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med reglene for behandling av personopplysninger. Dette ansvaret ligger på alle virksomheter som behandler personopplysninger. Det er ikke nok å bare ha ansvar – man må vise at man tar ansvar. Det betyr at virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen. Virksomheten må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid.

https://lod.lovdata.no/journal/2023/2/m-994/Ny_rettspraksis_om_definisjonen_av_personopplysninger

Ny rettspraksis om definisjonen av personopplysninger

Vilkårene for at det skal foreligge en personopplysning

"Domstolen la til grunn at to kumulative vilkår må være oppfylt for at det skal foreligge personopplysninger som definert i GDPR:

For det første må det være snakk om en opplysning om en fysisk person(på engelsk: «related to»). Vilkåret er oppfylt dersom opplysningens innhold knytter seg til en person, men også dersom formålet knytter seg til en person eller dersom resultatet av bruken vil ha innvirkning på en person.

Det er interessant å merke seg at domstolen slo fast at noens meninger kan være personopplysninger,

For det andre, må de fysiske personene som opplysningene handler om være identifiserte eller identifiserbare."

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/

Grunnleggende personvernprinsipper

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. Denne veilederen er en utredning av personvernprinsippene slik de er beskrevet i personvernforordningens artikkel 5. Veilederen baserer seg også på artikkel 6 og 9.

Lovlig, rettferdig og gjennomsiktig

Behandling av personopplysninger må være lovlig

Det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.

Eksempler på tiltak for å oppnå lovlighet

Tiltak som sørger for at behandlingen ikke går ut over det rettslige grunnlaget. Hvis behandlingen er basert på samtykke bør det for eksempel etableres tiltak for å kontrollere hva det er gitt samtykke til og settes tekniske sperrer for all behandling som går ut over dette.

Sørge for å skille mellom hvilke opplysninger som er nødvendig å behandle for å levere tjenesten, og hvilke andre opplysninger det kan være valgfritt å oppgi for å få tilgang til utvidede tjenester.

Behandling av personopplysninger må skje rettferdig

Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal dessuten være gjennomsiktig og forståelig for de registrerte, den skal ikke foregå på fordekte eller manipulerende måter.

Eksempler på tiltak for å oppnå rettferdighet

Tiltak som sørger for å ivareta rettigheter og friheter for de registrerte etter personvernregelverket og andre grunnleggende rettigheter. Eksempler på andre rettigheter er ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet.

Tiltak som gjør resultater fra automatiserte avgjørelser forutsigbare og forståelige. For eksempel åpenhet om profilering og hvilke opplysninger som er avgjørende for at enkeltpersoner blir delt inn i ulike kategorier.

Behandling av personopplysninger skal være gjennomsiktig

Behandling av personopplysninger skal være oversiktlig og forutsigbar for den registrerte. Den det behandles opplysninger om skal være informert om dette.

Gjennomsiktighet bidrar til å skape tillit og det setter den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

Eksempler på tiltak for å oppnå lovlighet

Ha funksjonalitet for interaksjon mellom behandlingsansvarlig og den registrerte, slik at det gjøres enkelt for den registrerte å tilegne seg informasjon om hvordan personopplysningene behandles.

Ha funksjonalitet for å gi informasjon om hvilke opplysninger som behandles, hva de brukes til og mulighet for de registrerte til å gjøre seg kjent med sine rettigheter og hvordan de skal utøve disse.

Ha en personvernerklæring på virksomhetens nettsider med generell informasjon om virksomhetenes personvernpolicy.

Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål
Ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme entydige forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer.

Eksempler på tiltak

Tiltak som gjør at det eksplisitt blir tatt stilling til hva slags prosessering av personopplysninger som er innenfor de angitte formål, og hva som ikke er det. Etablering av tekniske sperrer mot prosessering som ikke er innenfor formålet, for eksempel utlevering.
Tiltak som sikrer at det som standard kun behandles opplysninger til det som er forutsatt fra starten.
Tiltak som sikrer at det som standard kun behandles personopplysninger som er nødvendig for hvert spesifikke formål med behandlingen.
Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige
Personopplysninger kan gjenbrukes til nye formål, dersom det nye formålet er forenelig med det opprinnelige formålet som personopplysningene ble samlet inn for, og det foreligger et rettslig grunnlag for den nye behandlingen. Dersom behandlingen ikke er forenelig med det opprinnelige formålet, kan personopplysningene bare behandles dersom de registrerte har samtykket til viderebehandlingen, eller behandlingen er hjemlet i lovgivning med formål å ivareta hensynene i artikkel 23 nr. 1.

Sentrale momenter i vurderingen av om en behandling er uforenelig med det opprinnelige formål er:

om det er forbindelse mellom opprinnelig og nytt formål

i hvilken sammenheng opplysningene er samlet inn

personopplysningenes art, for eksempel om det behandles sensitive personopplysninger
mulige konsekvenser av den tiltenkte viderebehandlingen

om opplysningene blir beskyttet ved hjelp av for eksempel kryptering eller pseudonymisering

Eksempler på tiltak

Tiltak som sørger for å identifisere gjenbruk av personopplysninger som ikke er forutsatt fra innsamlingstidspunktet.

Tiltak for å gjøre en vurdering av om gjenbruksformål er uforenelig med opprinnelige formål.

Tiltak for å stoppe behandling av personopplysninger som har formål som er uforenelige med opprinnelig formål.

Merk: Gjenbruk av personopplysninger til arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller til statistiske formål er ikke uforenelig med opprinnelig formål dersom behandlingen er underlagt nødvendige garantier.

Eksempler på tiltak

Tekniske og organisatoriske tiltak for å sikre at det ikke behandles mer opplysninger enn nødvendig (dataminimering).

Tekniske tiltak for å gjennomføre pseudonymisering når formålet kan oppfylles på denne måten.

Tekniske tiltak for å gjennomføre anonymisering når formålet kan oppfylles på denne måten.

Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.

Dersom identitetsopplysninger eller personopplysninger ikke er nødvendige for å oppnå formålet, taler dataminimalitetsprinsippet for å ikke samle dem inn eller behandle dem på annen måte. Dataminimalitetsprinsippet kan også være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett.

Eksempler på tiltak
Det kan gjennomføres tiltak for å:

ta stilling til om formålet med behandlingen med rimelighet kan oppfylles på annen måte enn å behandle personopplysninger. I så fall skal det ikke behandles personopplysninger.

sikre at det kun samles inn og brukes relevante og nødvendige personopplysninger. For eksempel kan en kart-applikasjon som viser veien fra A til B ha behov for å vite hvor den registrerte befinner seg når appen er i bruk, men den trenger ikke å vite hvem som bruker appen eller ha tilgang til kontakter eller bilder lagret på telefonen.

sikre at det ikke innhentes eller på annen måte behandles personopplysninger om flere personer enn nødvendig. Dette kan være relevant for forskning hvor det må tas stilling til hva som er nødvendig antall deltakere, utvalg/kontrollutvalg for å sikre god nok representasjon.

Riktighet

Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig.

Dette betyr at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

Eksempler på tiltak

Tiltak for å sørge for at personopplysningene er korrekte og oppdaterte. For eksempel kan løsningen regelmessig varsle brukere om at de må kontrollere sine personopplysninger. Mange banker gjør dette ved innlogging til for eksempel nettbank.

Tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, straks slettes eller korrigeres.

Dersom back-up brukes for gjenoppretting av data må også disse gjennomgås med hensyn til nødvendig korrigering.

Lagringsbegrensning

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.

Eksempel på tiltak

Tiltak for å sikre at tidsrommet for lagring av personopplysninger ikke er lengre enn nødvendig. Den behandlingsansvarlige bør innføre tidsfrister for sletting eller periodisk gjennomgang for å sikre at personopplysninger ikke oppbevares lengre enn nødvendig.

Integritet og konfidensialitet

Personopplysninger skal behandles slik at opplysningenes integritet og konfidensialitet beskyttes.

Eksempler på tiltak

Behandlingen skal ha tiltak mot uautorisert utlevering og tilgang til personopplysninger.
Behandlingen skal ha tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
Behandlingen skal som standard sørge for at personopplysninger er tilgjengelige for autoriserte personer når det er nødvendig.
Behandlingen skal som standard sikre at personopplysninger ikke gjøres tilgjengelig for et ubegrenset antall mennesker uten den berørte personens medvirkning.
Behandlingen skal ha tiltak for å spore endringer som gjøres i systemet og for å kunne håndtere sikkerhetsbrudd.
Behandlingen skal ha tiltak for å sikre at systemene som behandler personopplysninger er robuste mot for eksempel sårbarheter, angrep og uhell.

Se for øvrig sjekklisten for «Krav» i veiledningen vår om programvareutvikling med innebygd personvern:

Last ned sjekklisten for kravsetting (pdf)

Ansvarlighet

Prinsippet om ansvarlighet understreker den behandlingsansvarliges ansvar for å opptre i samsvar med reglene for behandling av personopplysninger.

Det er ikke nok å bare ha ansvaret – man må vise at man tar ansvaret.

Den behandlingsansvarlige må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Virksomheten må også kunne vise at den faktisk opptrer i samsvar med reglene.

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL III Den registrertes rettigheter

Avsnitt 2 Informasjon og innsyn i personopplysninger

Artikkel 13.Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte

1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:

a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,

b.kontaktopplysningene til personvernombudet, dersom dette er relevant,

c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,

d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,

e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,

f.dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig.

2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling:

a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,

b.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet,

c.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,

d.retten til å klage til en tilsynsmyndighet,

e.om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det,

f.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.

4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen.

Artikkel 14.Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte

1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte følgende informasjon:

a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,

b.kontaktopplysningene til personvernombudet, dersom dette er relevant,

c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,

d. de berørte kategoriene av personopplysninger,

e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,

f.dersom det er relevant, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller, når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelig.

2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling:

a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,

b.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,

c.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere mot behandlingen samt retten til dataportabilitet,

d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,

e.retten til å klage til en tilsynsmyndighet,

f.fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder,

g.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2

a.innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som personopplysningene er behandlet under,

b.dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjonen med vedkommende, eller

c.dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når personopplysningene første gang utleveres.

4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2.

5. Nr. 1-4 får ikke anvendelse dersom og i den grad

a.den registrerte allerede har informasjonen,

b.det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til vilkårene og garantiene nevnt i artikkel 89 nr. 1, eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås. I slike tilfeller skal den behandlingsansvarlige treffe egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, herunder gjøre informasjonen offentlig tilgjengelig,

c.innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser, eller

d.dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt.

Artikkel 15.Den registrertes rett til innsyn

1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a.formålene med behandlingen,

b. de berørte kategoriene av personopplysninger,

c.mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,

d.dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e.retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,

f.retten til å klage til en tilsynsmyndighet,

g.dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,

h.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.

3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 11 juni 2023 00:00

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

KAPITTEL III Den registrertes rettigheter

Avsnitt 3 Retting og sletting

Artikkel 16.Rett til retting

Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.

Artikkel 17.Rett til sletting («rett til å bli glemt»)

1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:

a.personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,

b.den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,

c.den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2,

d.personopplysningene er blitt behandlet ulovlig,

e.personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,

f.personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.

2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.

3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig

a.for å utøve retten til ytrings- og informasjonsfrihet,

b.for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,

c.av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,

d.for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller

e.for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Artikkel 18.Rett til begrensning av behandling

1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende:

a.den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,

b.behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses,

c.den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,

d.den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.

2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.

3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.

Artikkel 19.Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling

Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.

Artikkel 20.Rett til dataportabilitet

1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom

a.behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og

b.behandlingen utføres automatisk.

2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.

3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Personopplysningsloven (utdrag)

https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2

Lov om behandling av personopplysninger (personopplysningsloven)

KAPITTEL III Den registrertes rettigheter

Avsnitt 4 Rett til å protestere og automatiserte individuelle avgjørelser

Artikkel 21.Rett til å protestere

1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende, til slik markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring.

3. Dersom den registrerte protesterer mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål.

4. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, og informasjon om nevnte rettighet skal framlegges på en klar måte og atskilt fra annen informasjon.

5. I forbindelse med bruk av informasjonssamfunnstjenester og uten hensyn til direktiv 2002/58/EF kan den registrerte utøve sin rett til å protestere ved hjelp av automatiserte midler ved bruk av tekniske spesifikasjoner.

6. Dersom personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til artikkel 89 nr. 1, har den registrerte, av grunner knyttet til vedkommendes særlige situasjon, rett til å protestere mot behandling av personopplysninger om vedkommende, med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse.

Artikkel 22.Automatiserte individuelle avgjørelser, herunder profilering

1. Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.

2. Nr. 1 får ikke anvendelse dersom avgjørelsen

a.er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig,

b.er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og der det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, eller

c.er basert på den registrertes uttrykkelige samtykke.

3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen.

4. Avgjørelsene nevnt i nr. 2 skal ikke bygge på særlige kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 4 juni 2023 00:00

https://nettvett.no/veiledninger/sikkerhet-i-virksomheter/sikkerhetsledelse/

Sikkerhetsledelse

Håndbok for informasjonssikkerhet

Dette er et eksempel på hvordan du kan lage en enkel håndbok for informasjonssikkerhet til bruk i små og mellomstore virksomheter. Dokumentet kan brukes av bedrifter, kommuner og frivillige organisasjoner for å lage et eget sikkerhetsregelverk. Bytt da ut “Virksomheten” med navnet på din virksomhet.

Slik beskytter du virksomheten mot de vanligste digitale truslene

Lammende løsepengevirus, ødeleggende verdikjedeangrep, altfor vanlige kontokapringer og utspekulert økonomisk svindel. Slik beskytter du din virksomhet mot de vanligste digitale truslene.

Krise- og beredskapsplan

En krise for en virksomhet er når det skjer en hendelse som kan føre til en stor fare for virksomhetens eksistens. Det kan eksempelvis være store økonomiske tap, tap av omdømme eller skade på ansatte. Virksomheter som best kommer gjennom en krise er de som på forhånd har en krise- og beredskapsplan, som trener på denne så de får erfaring med at den virker.

Jobb trygt på hjemmekontoret

I det øyeblikket noen tar med en jobb-PC ut av kontoret, men fortsetter å jobbe mot virksomhetens løsninger, oppstår det en rekke sikkerhetsutfordringer. Vi vet at mange virksomheter ikke har regler for hjemmekontor eller har gitt sine ansatte god nok opplæring i hvordan de skal jobbe utenfor kontoret. Hvordan bør en arbeidsgiver tilrettelegge for hjemmekontor og hva må en ansatt huske på når han eller hun jobber hjemmefra?

Cyberforsikring

Flere forsikringsselskaper gir tilbud om å etablere cyberforsikring til sine bedriftskunder. For personkunder er det ikke like stort utvalg, og de fleste forsikringsselskaper har for personkunder inkludert noe dekning for cyberhendelser i sine innbo-forsikringer.

Mal for informasjonssikkerhetspolicy

Denne veiledningen er en mal for hvordan små og mellomstore bedrifter kan lage sin informasjonssikkerhetspolicy.

Hendelseshåndtering

Alle vil før eller siden oppleve en uønsket hendelse knyttet til sine digitale enheter eller systemer. Da er det viktig å ha tenkt gjennom hvordan man skal håndtere slike hendelser. De som har en strukturert tilnærming til hendelseshåndtering kommer raskere tilbake til normaltilstand, og får redusert konsekvensene av hendelsen sammenlignet med andre.

Sikkerhet på reise i utlandet

Når du er på reise i utlandet er trusselbildet litt annerledes en det er på reise i Norge. De vanlige reiserådene kan også brukes i utlandet, men det er mer å tenke på. I denne veiledningen forklarer vi hvorfor, og hvordan du håndterer det.

Sikkerhetssjekk for virksomheter

Nettvett.no sin Sikkerhetssjekk gir deg muligheten til å sjekke hvilke sikringstiltak din virksomhet har iverksatt innen informasjonssikkerhet

Digital sikkerhetskultur

Den kulturen vi er en del av til enhver tid gir oss et sett av verdier…

Verdt å vite om personvern

Retten til privatliv har en verdi som er vanskelig å måle. Mange av oss ser verdien først når opplysninger om oss havner på avveier og vi opplever at integriteten vår er truet.

Virksomheters sikkerhet i sosiale medier

Alle virksomheter i Norge har en viss tilstedeværelse på nett, og mange velger å være aktive på sosiale medier. I denne veiledningen forklarer vi hva virksomheter bør være oppmerksomme på for å holde seg sikre på sosiale medier.

Økonomisk svindel rettet mot bedrifter

Norske virksomheter, spesielt små og mellomstore bedrifter, er yndede mål for cyberkriminelle som er ute etter penger. I denne veiledningen går vi gjennom noen av de vanligste svindelmetodene for tiden, og hva du kan gjøre for å beskytte deg og din virksomhet.

Internkontroll i praksis – informasjonssikkerhet

Systematisk internkontroll er pålagt offentlige virksomheter. Det er en forutsetning for at virksomhetene skal nå sine mål.

Planlegging og gjennomføring av IKT-øvelser

I denne veiledningen ser vi nærmere hvordan man kan gå fram for å øve på håndtering av IKT-hendelser.

Veiledning for IT-outsourcing

IT-outsourcing innebærer å sette ut en eller flere IT-funksjoner og/eller tjenester i en virksomhet til en eller flere eksterne leverandører isteden for å drive disse selv.

Retningslinjer for Internett og E-post

Denne veiledningen gir eksempler på retningslinjer som kan benyttes internt i en virksomhet. Det anbefaler at punktene gjennomgås med tanke på endringer og tillegg, slik at de tilpasses virksomheten best mulig.

Personellsikkerhet

Lojale medarbeidere er en forutsetning for å oppnå tilfredsstillende sikkerhet. Målet med personellsikkerhet er å sikre at ansatte, kontraktører og konsulenter forstår sitt ansvar og er egnet for rollen de er tiltenkt, og å redusere risikoen for tyveri, svindel eller misbruk av utstyr.

Eksempel på risikoanalyse for bedrift

OppOgFram er en mellomstor norsk produksjonsbedrift. Virksomheten er underleverandør til større virksomheter som igjen krever at alle sine underleverandører skal ha god sikkerhet. Som et ledd av det forlanges det at OppOgFram skal gjennomføre en risikovurdering mtp. informasjonssikkerhet.

Eksempel på risikoanalyse for en kommune

Hjemstedet er en gjennomsnittlig norsk kommune. Informasjonssikkerhet har en ikke spesielt fokus på i det daglige, men IT-avdelingen til kommunen har snakket en stund om at man burde gjøre en risikovurdering i tråd med kravet fra internkontrollforskriften. Rådmannen er ansvarlig for informasjonssikkerheten i kommunen, og er også den som skal ta avgjørelser når det gjelder hvor mye risiko man kan akseptere, og dertil hvilke sikkerhetstiltak en skal prioritere. Lederen for IT-avdelingen tar imidlertid jobben med å starte arbeidet med risikovurderingen. Ansatte i administrasjonen og fagsystemene blir involvert sporadisk i arbeidet.

Informasjonssikkerhetspolicy

Denne veiledningen gir en forklaring på hva en informasjonssikkerhetspolicy er og hva en bør tenke på når en virksomhet skal lage en informasjonssikkerhetspolicy.

Risikostyring

I denne veiledningen viser vi til formålet med risikostyring, hva risikostyring er og hvordan risikovurderinger kan gjennomføres og følges opp.

Sikkerhetsledelse

I denne veiledningen ser vi nærmere på ledelse av informasjonssikkerhetsarbeidet.

https://nettvett.no/veiledninger/

Redd Barnas nettvettregler

Jeg er blitt utsatt for ID-tyveri

Slik lager du sterke passord

Tips for sikrere PC-bruk

Veiledninger

Nettvett.no er et nettsted hvor man finner informasjon, råd og veiledninger om sikrere bruk av Internett. Informasjonen er rettet både mot enkeltpersoner fra barn til voksne, forbrukere og små og mellomstore bedrifter.

Sosiale medier

Facebook (Vis alle)

Instagram

Google

Snapchat

Sikring av datamaskin, mobil og nettbrett

Windows (Vis alle)

Apple (Vis alle)

Android (Vis alle)

Svindel på nett / ID-tyveri

ID-tyveri

Svindel (Vis alle)

Sikrere bruk

Internett (Vis alle)

Hjemme (Vis alle)

På reise

Sikkerhet i virksomheter

Drift (Vis alle)

Sikkerhetsledelse (Vis alle)

Nettbank og netthandel

Nettbank (Vis alle)

Netthandel

Foresatte og de som jobber med barn

Foresatte (Vis alle)

Jobber med barn (Vis alle)

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 28 maj 2023 00:00

https://nettvett.no/personvern/

Verdt å vite om personvern

Retten til privatliv har en verdi som er vanskelig å måle. Mange av oss ser verdien først når opplysninger om oss havner på avveier og vi opplever at integriteten vår er truet.

Vi har alle noe vi ikke vil dele med andre. Ikke fordi det er ulovlig eller noe vi må skjule, men rett og slett fordi det er privat. Enkelt sagt handler personvern om retten til et privatliv og om retten til å bestemme over egne personopplysninger.

Hva er personopplysninger?

En personopplysning er en opplysning eller en vurdering som kan knyttes til en enkeltperson, slik som for eksempel (ikke uttømmende liste):

navn,
adresse,
telefonnummer,
e-postadresse,
IP-adresse,
bilnummer,
bilder,
fingeravtrykk,
irismønster,
DNA-profil,
hodeform (for ansiktsgjenkjenning), og
fødselsnummer (både fødselsdato og personnummer).

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.

Sensitive personopplysninger er opplysninger om:

rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
helseforhold,
seksuelle forhold, eller
medlemskap i fagforeninger.

Les mer her: Hva er personvern?

Felles europeisk personvernregelverk fra 2018

For å styrke tilliten til digitale tjenester og den individuelle innbyggers rettigheter, samt å gjøre det lettere å utveksle personopplysninger over landegrenser, startet EU i 2012 arbeidet med et felles europeisk personvernregelverk. Stikkordene de jobbet utfra var tillit, kontroll, sikkerhet og forenkling. I april 2016 vedtok EU sin personvernforordning; General Data Protection Regulation (GDPR). Den er EØS-relevant som betyr at den også er innført i Norge i 2018. Den norske Personopplysningsloven ble i 2018 justert slik at den innbefatter det europeiske regelverket.

Les mer her: Datatilsynet

De ti viktigste lovendringene fra 2018

Selv om mange av prinsippene i dagens lovverk videreføres, får norske virksomheter flere og strengere plikter enn før. Brudd på reglene kan også gi større økonomiske konsekvenser enn i dag. Dette er de ti viktigste endringene:

1. Alle norske virksomheter får nye plikter

Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.

2. Alle skal gi god informasjon om hvordan de behandler personopplysninger

Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

3. Alle skal vurdere risiko og personvernkonsekvenser

Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

4. Alle skal bygge personvern inn i nye løsninger

De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

5. Mange virksomheter må opprette personvernombud

Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

6. Reglene gjelder også virksomheter utenfor Europa

Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

7. Alle databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

8. Alle bør samarbeide i egne nettverk og følge bransjenormer

De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

9. Alle får nye krav til avvikshåndtering

Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.

10. Alle må kunne oppfylle borgernes nye rettigheter

Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles “retten til å bli glemt”. Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles “dataportabilitet”. De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

Mer informasjon

Hva betyr de nye personvernreglene for din virksomhet?

Hvilke rettigheter har man som enkeltperson?

(Kilde: Datatilsynet)

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/rad-for-analyse-og-sporing-pa-nettsted/

Internett, teknologi og apper

Råd for analyse og sporing på nettsted

Det finnes mange analyse- og sporingsverktøy på markedet, men det betyr ikke nødvendigvis at det er lovlig å ta dem i bruk på nettstedet ditt. Her er noen råd på veien.

Forhold deg til personvernforordningen (GDPR)

Når du tar i bruk verktøy for analyse og sporing på nettstedet, må du være forberedt på å følge reglene i personvernforordningen (GDPR). Dette gjelder selv om du ikke kjenner navnet eller identiteten til de som besøker nettstedet ditt. Analyseverktøyene samler nemlig inn mye informasjon om de besøkende som enten alene eller i kombinasjon kan utgjøre personopplysninger.

En IP-adresse vil som regel i seg selv regnes som en personopplysning. Cookie-ID, lokasjonsdata eller detaljert informasjon om brukernes enheter kan også utgjøre personopplysninger. Ofte blir slik informasjon kombinert med informasjon om de besøkendes adferd på nettstedet, og da regnes også dette som personopplysninger.
Les mer om personopplysninger.
Minimer datainnsamlingen

Det er ikke lov å samle inn flere personopplysninger enn du faktisk har behov for. Dersom du i dag har et analyseverktøy som samler inn opplysninger som du ikke bruker til noe, bryter du loven. Velg et analyseverktøy som bare gir deg den informasjonen du trenger og faktisk har nytte av.

Det er heller ikke lov å lagre personopplysninger lenger enn nødvendig.
Les mer om dataminimering, lagringsbegrensning og de andre personvernprinsippene.
Ikke stol på at cookie-banneret redder deg

Det er ulike regler for henholdsvis plassering av nettkapsler/cookies og behandling av personopplysninger. Et cookie-banner som bare oppfyller minimumskravene etter de norske cookie-regelverket, gir deg ikke lov til å bruke personopplysningene til de besøkende etter personvernforordningen. Du må da ha et såkalt behandlingsgrunnlag for å behandle personopplysninger. Det vil si at det ikke er fritt fram å behandle brukernes personopplysninger.
Les mer om behandlingsgrunnlagene.

Dersom du baserer analyse og sporing på samtykke, må du huske at personvernforordningen setter mange krav for at et samtykke skal være gyldig. For eksempel kreves det en aktiv handling (slik som å trykke på en knapp eller lignende). Det må være like lett å takke nei som å takke ja, og brukere som ikke samtykker, må ikke bli utsatt for negative konsekvenser. Brukerne må forstå hva de eventuelt samtykker til, og det må være mulig å trekke tilbake samtykket. Hvis nettstedet skal bruke personopplysninger til flere formål, skal det også være mulig å samtykke til hvert formål separat.
Les mer om samtykke.
Unngå at andre kan bruke personopplysninger fra nettstedet

Ofte må du lese tjenestevilkårene nøye for å forstå hva slags verktøy du har med å gjøre. Noen verktøy behandler bare personopplysninger på virksomhetens vegne og slik eieren av nettstedet bestemmer. Andre verktøy tar forbehold om at de selv kan bestemme over personopplysningene eller kan bruke dem for sine egne formål.

Det krever nøye vurderinger for å at bruk av verktøy i den sistnevnte situasjonen blir lovlig. Med andre ord er det stor fare for å trå feil hvis du ikke vet hva du holder på med. Vår anbefaling er derfor å velge verktøy som lover å bare behandle personopplysninger på dine vegne og slik du bestemmer.
Noen nettsider krever mer forsiktighet enn andre

Noen personopplysninger har særlig beskyttelse etter personvernforordningen. Det kan være opplysninger om noens helse, legning, seksuelle forhold, religion, etnisitet, politiske oppfatning eller filosofiske overbevisning. Dette kaller vi «særlige kategorier personopplysninger». Det skal mer til for å kunne behandle denne typen opplysninger lovlig nettopp fordi de er sensitive.

På noen nettsteder kan de besøkendes adferd i seg selv avsløre særlige kategorier personopplysninger. Det kan for eksempel være nettsteder som tilbyr tjenester innen psykisk helsehjelp, som selger medisiner eller som er rettet mot visse minoriteter. Vår klare anbefaling er at slike nettsteder unngår sporings- og analyseverktøy som behandler personopplysninger, siden det skal lite til for å bryte loven i slike tilfeller.

Datatilsynet er også bekymret over bruk av sporingsverktøy på offentlige nettsteder. En undersøkelse gjennomført av Teknologirådet (tekologiradet.no) viste at mange offentlige nettsider bruker sporingsverktøy som er inngripende og/eller som kan tillate tredjeparter å bruke personopplysningene til egne formål. Undersøkelsen tyder på at flere offentlige organer ikke følger loven i dag. Det offentlige bør imidlertid gå foran som et godt eksempel. Dessuten er det i samfunnets interesse at alle tør å oppsøke viktig informasjon fra offentlige organer, uten frykt for overvåking og sporing.
Unngå at personopplysninger flyter til utrygge land

Mange verktøy har kontor eller underleverandører i land utenfor EU/EØS. Dette må du undersøke før du tar i bruk verktøyet. I utgangspunktet er det nemlig ikke lov å overføre personopplysninger ut av EU/EØS. Fjerntilgang fra et land utenfor EU/EØS regnes som en overføring.

Sjekk tjenestevilkårene og se etter følgende:
- Kan data sendes til eller behandles i et land utenfor EU/EØS?
- Tilbyr verktøyet fjernsupport fra et land utenfor EU/EØS?
- Tar verktøyet forbehold om at det kan utlevere data til myndighetene i et land utenfor EU/EØS?

Hvis ja: Dersom det aktuelle landet står på lista over land og områder med et tilstrekkelig beskyttelsesnivå, er det OK å bruke verktøyet. Se oversikten her. Dersom landet det er snakk om er USA, sjekk om virksomheten står på lista over godkjente virksomheter.

Dersom det aktuelle landet derimot ikke står på lista over land og områder med tilstrekkelig beskyttelsesnivå, er situasjonen adskillig mer komplisert. Det krever grundige vurderinger og eventuelt tekniske tiltak for å bruke løsningen lovlig i slike tilfeller. Dersom du ønsker å begi deg ut på dette arbeidet, har vi laget en veileder som forklarer hva reglene krever. Hvis ikke, bør du se deg om etter et annet verktøy.
Vær åpen

De besøkende har rett til informasjon om hvordan du behandler personopplysningene deres. Pass på at du gir ærlig og enkelt forståelig informasjon om dette. Hvis du synes det er ubehagelig å fortelle hva du faktisk gjør med de besøkendes data, er det et tegn på at du kanskje burde endre praksis.
Les mer om hva du må gi informasjon om.
Respekter de besøkendes rettigheter

Når du behandler de besøkendes personopplysninger, har de en rekke rettigheter. For eksempel har de rett til innsyn i egne data, og de kan noen ganger også be om sletting. Du må være i stand til å behandle slike forespørsler innen én måned. Det kan være at de registrerte må oppgi tilleggsinformasjon for at du skal være i stand til å finne igjen dataene deres i verktøyet.
Les mer om plikten din til å legge til rette for at de besøkende skal kunne ivareta rettighetene sine
Vi har også laget en oversiktsside med enkeltpersonenes rettigheter.
Les deg opp – og ikke vær redd for å spørre om hjelp

Det finnes flere plikter i personvernforordningen som ikke er nevnt her – for eksempel når det gjelder hvilke formål du kan bruke personopplysninger til eller informasjonssikkerhet og avvikshåndtering.
Vi har laget en samleside med alle virksomhetens plikter etter GDPR som kan være til hjelp i arbeidet.

Dersom du synes det er vanskelig å forstå veiledningene, kan du eventuelt ringe veiledningstjenesten vår.

Åndsverkloven skal sikre inntekter til kunstnere og opphavere, og er vår viktigste kulturlov.

Ny åndsverklov trådte i kraft 1. juli 2018.

▼

https://lovdata.no/dokument/NL/lov/2018-06-15-40

Norske myndigheter har trappet opp kampen mot piratkopiering og varemerkeforfalskning.

Nettstedet velgekte.no skal bidra til å redusere spredning av piratkopierte og varemerkeforfalskede produkter blant forbrukere og næringsliv.

Opphavsretten beskytter kreativt og skapende arbeid. Beskyttelsen innebærer at rettighetshaverne selv bestemmer hvordan arbeidet skal brukes, og gjør det mulig å leve av kreativt arbeid. Ulovlig kopiering og tilgjengeliggjøring av opphavsrettslig beskyttede produkter utgjør en alvorlig trussel mot inntektsgrunnlaget til alle som jobber innenfor kreative næringer.

Nettstedet velgekte.no ble opprettet i 2015 av Patentstyret, Kulturdepartementet og Tollvesenet etter oppdrag fra Nærings- og fiskeridepartementet, og gir blant annet informasjon om regelverket knyttet til nedlasting og deling av digitale produkter som musikk, film og programvare.

Hvorfor er piratkopiering problematisk?

Piratkopiering og varemerkeforfalskning er bevisst etterlikning av et varemerke, et opphavsrettslig beskyttet verk, et design eller et patent.

Opphavsrettigheter, varemerker, design og patenter kalles "immaterielle rettigheter". Det engelske uttrykket er "intellectual property rights" (IPR). Immaterielle rettigheter gir innehaveren en enerett til å produsere, markedsføre, importere og selge produktene. Eneretten varer i en viss tidsperiode, og kan anses som en belønning for kreativ innsats.

Ved piratkopiering kan forbrukere bli lurt til å tro at produktet er fremstilt av den som sitter med rettigheten, for eksempel fordi varen er merket med rettighetshaverens varemerke. Forbrukerne kan også velge å kjøpe en kopivare selv om de forstår at den er falsk. Ved kjøp av en piratkopiert vare vet du ikke hva du kjøper, fordi varene er produsert utenfor varemerkeinnehaveren og myndighetenes kontroll. Piratvirksomhet omfatter også å tilby kopier og nedlastninger av opphavsrettslig beskyttede verk uten at den som sitter med rettighetene har godkjent det.

Piratkopi, replika, fake, vareforfalskninger, kopivarer – ordene brukes litt om hverandre i Norge. På engelsk brukes counterfeiting (varemerkeforfalskninger) om uautorisert kopiering av et originalt produkt, mens piracy brukes om ulovlig nedlastning og kopiering av verk som er beskyttet av opphavsrett, f. eks bøker, filmer, musikk og software. Det er ikke så viktig hvilket begrep man velger å bruke.

Piratkopiering er ulovlig. Det er blitt et samfunnsproblem som utvanner kjente merker, og gjør at de som lager ekte varer mister sine inntekter. Du vil vel ikke at din favorittdesigner skal gi opp eller at det bandet du liker best skal slutte å lage musikk? Det gjelder å støtte de som lager ekte og lovlige varer, og ikke de som bare snylter og hermer etter andre. Noen merker er nærmest blitt synonymer for trygghet og kvalitet. De har kanskje en lang historie og innehaveren av merkenavnet har brukt store summer på tekniske nyvinninger, produktsikkerhet, testing av materialer og et attraktivt design. Kopisten kommer rett inn fra sidelinjen uten å ha brukt penger på annet enn å lage en billig kopi. Dette ødelegger både ryktet og livsgrunnlaget for produsenten av det kjente merket.

Relevant regelverk

Her finner du en oversikt over relevante lover og forskrifter. Lenkene går til Lovdata.

▼

https://www.velgekte.no/fakta-og-regelverk/relevante-regelverk/

Hvorfor er det viktig å beskytte immaterielle rettigheter og verdier?

Immaterielle rettigheter sikrer kreative personer, innovatører og virksomheter avkastning for deres innsats, og er derfor en avgjørende faktor for vekst og innovasjon i Norge.

Ved å gi folk et insentiv til å være kreative og innovative sikrer immaterielle rettigheter økonomisk vekst som også skaper og beskytter et stort antall arbeidsplasser.

▼

https://www.velgekte.no/fakta-og-regelverk/utvalgte-sporsmal/

Om opphavsrett

Hovedregelen er at den enkelte rettighetshaver har rett til å bestemme om og hvordan åndsverket skal gjøres tilgjengelig for andre.

Dette innebærer at rettighetshaveren gis en enerett til å fremstille kopier (eksemplar) av verket og å gjøre det tilgjengelig for andre (allmennheten). Som hovedregel krever slik kopiering og tilgjengeliggjøring at det gis tillatelse fra rettighetshaveren. Eneretten gjelder uavhengig av hvordan kopieringen eller tilgjengeliggjøringen skjer. Bruk av verk ved hjelp av digital teknologi er omfattet.

Kopiering til privat bruk

Et eksempel på dette er adgangen til å kopiere til privat bruk, som utgjør en helt sentral avgrensning av opphavers enerett. Adgangen til slik kopiering følger naturlig av prinsippet om at opphavsrettslig regulering skal avgrenses mot handlinger som skjer innenfor det private området. Muligheten til slik kopiering gjelder imidlertid ikke dersom kilden det kopieres fra er ulovlig, for eksempel ved tilgjengeliggjøring i fildelingsnettverk uten samtykke fra rettighetshaver.

Normal nettlesing kan også skje uten hinder av eneretten.

Hensynene bak loven

Beskyttelsen som opphavsretten gir er bl.a begrunnet i å sikre opphavsmenn og utøvende kunstnere muligheter til å få inntekter av sitt skapende arbeid, samt at de som investerer i slikt innhold skal få betalt. En grunntanke er at opphavsrett vil stimulere til kreativitet og produksjon av nye kulturprodukter i samfunnet. Lovens vern er altså ikke bare begrunnet i hensynet til den enkelte rettighetshaver, men også i at skapende virksomhet er i samfunnets interesse.

Konsekvenser

Du kan bli straffet med bøter eller fengsel for overtredelse av åndsverkloven. I tillegg kan du komme i erstatningsansvar. Det samme gjelder hvis man medvirker til en overtredelse. Domstolene kan også forby handlinger som medfører fortsatt overtredelse av opphavsretten (forbudsdom).

Ved opphavsrettskrenkelser på internett, kan domstolene bestemme at en rettighetshaver som kan sannsynliggjøre krenkelse av opphavsretten fra en bestemt IP-adresse, skal få utlevert identiteten til det abonnementet som kan knyttes til krenkelsen. Dette gjør det mulig for rettighetshavere å håndheve opphavsretten også på internett.

▼

https://www.velgekte.no/nedlasting/om-opphavsrett/

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

1 2 3 4 5 6 7 8 9 10

interrobangit

Gå till gästboken

Svenn Dybvik presentation ▼

Svenn Dybvik

Visa presentation

Svenn Dybvik

Lenkebenker

KONTAKT

reservoar residuum

2024
2023
- December (5)
- November (4)
- Oktober (5)
- September (4)
- Augusti (4)
- Juli (5)
- Juni (4)
- Maj (4)
- April (5)
- Mars (4)
- Februari (4)

Ovido - Quiz & Flashcards

Engelsk

Databaserte forretningsmodeller

Hva er en personopplysning?

Om veilederen

Markedsføring av digitale tjenester

Avtaleinngåelse og behandling av personopplysninger

1. Behandlingsgrunnlag

Merk!

Nødvendig for å oppfylle en avtale

Eksempel

Nødvendig for å oppfylle en rettslig forpliktelse

Interesseavveining

Eksempel

Samtykke

Husk:

2. Avtalevilkår og personvernerklæring

Husk:

Hva er en informasjonskapsel?

Husk:

Husk:

Tilsyn og sanksjoner

Forbrukervernlovgivningen

Personvernlovgivningen

Kan materiale som er beskyttet av opphavsrett, som fotografier og kunstverk, brukes til såkalt «trening» av kunstig intelligens, som ChatGPT og GPT-4? Spørsmålet er nå kommet opp for amerikanske domstoler, skriver Tove Øymo, Ekin Ince Ersvaer og Oda Grøner i Wikborg Rein i dette innlegget.

Døme

Bordet fangar

Formålet avgjer lagringstida

Virksomhetenes plikter

Husk:

Sikkerhetsledelse

Veiledninger

Sosiale medier

Facebook (Vis alle)

Instagram

Google

Apple

Dropbox

LinkedIn

Outlook/Hotmail

Snapchat

Sikring av datamaskin, mobil og nettbrett

Windows (Vis alle)

Apple (Vis alle)

Android (Vis alle)

Svindel på nett / ID-tyveri

ID-tyveri

Svindel (Vis alle)

Sikrere bruk

Internett (Vis alle)

Hjemme (Vis alle)

På reise

Sikkerhet i virksomheter

Drift (Vis alle)

Sikkerhetsledelse (Vis alle)

Nettbank og netthandel

Nettbank (Vis alle)

Netthandel

Foresatte og de som jobber med barn

Foresatte (Vis alle)

Jobber med barn (Vis alle)

Verdt å vite om personvern

Hva er personopplysninger?

Felles europeisk personvernregelverk fra 2018

De ti viktigste lovendringene fra 2018

1. Alle norske virksomheter får nye plikter

2. Alle skal gi god informasjon om hvordan de behandler personopplysninger

3. Alle skal vurdere risiko og personvernkonsekvenser

4. Alle skal bygge personvern inn i nye løsninger

5. Mange virksomheter må opprette personvernombud

6. Reglene gjelder også virksomheter utenfor Europa

7. Alle databehandlere får nye plikter

8. Alle bør samarbeide i egne nettverk og følge bransjenormer

9. Alle får nye krav til avvikshåndtering

10. Alle må kunne oppfylle borgernes nye rettigheter

Mer informasjon

Råd for analyse og sporing på nettsted

Ny åndsverklov trådte i kraft 1. juli 2018.

▼

Norske myndigheter har trappet opp kampen mot piratkopiering og varemerkeforfalskning.

Nettstedet velgekte.no skal bidra til å redusere spredning av piratkopierte og varemerkeforfalskede produkter blant forbrukere og næringsliv.