Begreper
Personopplysninger
Personopplysninger er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, enten direkte eller indirekte, se personvernforordningen artikkel 4 nr 1. Dette kan f.eks være navn, telefonnummer, e-postadresse, alder, vurderinger, lokasjonsdata, eksamensbesvarelser, helseopplysninger, video, bilder, lydopptak, adferdsmønster m.m.
Det er uten betydning om opplysningene er objektivt verifiserbare, subjektive, betydningsfulle, trivielle, offentlig tilgjengelige, sanne eller usanne. Hvis de kan knyttes til en person (direkte eller indirekte) er det personopplysninger.
Særlig kategorier personopplysninger
I personvernforordningen er enkelte kategorier personopplysninger skilt ut, jf artikkel 9. Disse kalles "særlige kategorier personopplysninger" og behandling av slike opplysninger krever særskilt lovgrunnlag for å kunne behandles.
Kategorier som omfattes er behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion,filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person,helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.Vær også oppmerksom på at behandling av personopplysninger om straffedommer og lovovertredelser er særskilt regulert, jf artikkel 10.
Behandling
Behandling er enhver operasjon (enkeltstående eller sammensatt) som gjøres med personopplysningene, se personvernforordningen artikkel 4 nr 2. Dette kan f.eks være innsamling, lagring, bruk, organisering, utlevering, strukturering, sammenstilling, registrering, sletting mv. Hvorvidt ulike operasjoner med samme opplysninger regnes til én og samme behandling, eller flere, kommer an på formålet. Ekspempler på dette kan være innsamling, lagring eller sammenstilling. Hvis alle operasjonene er for å oppnå ett og samme formål så regnes det som én behandling, eksempel på dette er opptak til et emne.
Behandlingsansvar
Behandlingsansvarlig er den som står ansvarlig for behandling av personopplysninger, fastsetter formålet med behandlingen, samt bestemmer hvilke midler som skal benyttes. Den behandlingsansvarlige er ansvarlig for at personopplyningsloven og personvernforordningen overholdes. Dette ansvaret kan også innehas i fellesskap med andre, dette kalles "felles behandlingsansvar". Hvis man er to eller flere behandlingsansvarlige som fastsetter "formålet med og midlene for behandlingen" i fellesskap, er det tale om felles behandlingsansvar, jf artikkel 26 nr 1
Eksempel på dette er felles forskningsprosjekt mellom ulike institusjoner.
Behandlingsgrunnlag
Personvernforordning artikkel 6 reguler hvilke vilkår som må oppfylles ved behandling av personopplysninger. Dette kan være f.eks samtykke, oppfyllelse av en avtale med personen(e) det gjelder, utøvelse av offentlig myndighet, berettiget interesse mv. For særlige kategorier personopplysninger må man også oppfylle vilkårene om behandlingsgrunnlag etter artikkel 9.
Databehandler:
En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. En databehandler kan være "en fysisk eller jurisk person, offentlig myndighet, institusjon eller ethvert annet organ", jf artikkel 4 nr 8. Særlige krav til databehandlere fremkommer av artikkel 28 og 29.
Databehandleren må være et selvstendig rettssubjekt og har fått delegert oppgave fra den behandlingsansvarlige. F.eks vil ikke ansatte hos den behandlingsansvarlige være databehandler.
Når dine personopplysninger behandles i fagsystem som ligger hos ekstern leverandør, har høgskolen databehandleravtale med leverandøren for å regulere sikkerheten rundt behandlingen, og sikre at personvernet blir ivaretatt i tråd med lov og forskrift.
I noen tilfeller vil dine personopplysninger bli overført til eksterne mottakere. Det kan for eksempel være NAV, politi, helsetjenester med flere.
De registrerte
De registrerte er den/de enkeltperson(ene) opplysningene omhandler.
Personvernforordningen
Persovernforordningen forkortes ofte til "GDPR". Denne forordningen er gjennomført i norsk rett gjennom personopplysningsloven.