Alle personopplysninger omfattes av GDPR. Det som først kommer på tale er ofte navn og fødselsnummer, men det omfatter mye mer enn det. Noen andre eksempler er ansattnummer, bilder av mennesker og informasjonskapsler. Noen opplysninger er mer sensitive enn andre. Følsomheten spiller en rolle for hvordan de kan brukes og hvor sterk beskyttelse som kreves.
I samsvar med GDPR er det kun tillatt for en virksomhet å behandle personopplysninger dersom det foreligger et formål med behandlingen. Det er ikke tillatt å lagre opplysninger "i tilfelle" de skulle kunne være nyttige i fremtiden; personopplysningene må ha et spesifikt formål på det tidspunktet de samles inn. For eksempel må en bedrift som driver med e-handel samle inn adresse - og kontaktinformasjon for å kunne varsle om og sende ut pakker, men har ingen grunn til å samle inn bilder av sine kunder.
I tillegg til et tydelig formål kreves det også et såkalt rettslig grunnlag, også kalt et behandlingsgrunnlag, for at det skal være tillatt å behandle personopplysninger. De rettslige grunnene er oppført i artikkel 6 i GDPR. Mange tror at det alltid kreves samtykke, men samtykke er bare ett av flere alternativer som man kan basere behandlingen på.
Andre eksempler er en avtale, en rettslig forpliktelse eller en berettiget interesse.
Ved behandling av personopplysninger er det alltid noen som er behandlingsansvarlig. Virksomheten som bestemmer hva personopplysningene skal brukes til og hvordan de skal behandles, er også ansvarlig for personopplysningene. I de fleste tilfeller er det en juridisk person som er behandlingsansvarlig, selv om det også kan skje at enkeltpersoner i visse tilfeller er behandlingsansvarlige.
Les mer: 3 smarte tips for å gjøre jobben med behandlingsprotokollen enklere
Den som behandler personopplysninger skal ha en behandlingsprotokoll på plass i henhold til GDPR. Med Privacy Records blir prosessen enklere - Verktøyet tar dere gjennom hver behandling av personopplysninger steg for steg. Systemet stiller relevante spørsmål underveis om blant annet formål, overføringer, samtykke og særlige kategorier av personopplysninger.