Mer
Navigasjon
KAPITTEL I Alminnelige bestemmelser (1-4)
Artikkel 1. Formål og målArtikkel 2. Saklig virkeområdeArtikkel 3. Geografisk virkeområdeArtikkel 4. Definisjoner
KAPITTEL II Prinsipper (5-11)
Artikkel 5. Prinsipper for behandling av personopplysningerArtikkel 6. Behandlingens lovlighetArtikkel 7. Vilkår for samtykkeArtikkel 8. Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenesterArtikkel 9. Behandling av særlige kategorier av personopplysningerArtikkel 10. Behandling av personopplysninger om straffedommer og lovovertredelserArtikkel 11. Behandling som ikke krever identifikasjon
KAPITTEL III Den registrertes rettigheter (12-23)
Artikkel 12. Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheterArtikkel 13. Informasjon som skal gis ved innsamling av personopplysninger fra den registrerteArtikkel 14. Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerteArtikkel 15. Den registrertes rett til innsynArtikkel 16. Rett til rettingArtikkel 17. Rett til sletting («rett til å bli glemt»)Artikkel 18. Rett til begrensning av behandlingArtikkel 19. Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandlingArtikkel 20. Rett til dataportabilitetArtikkel 21. Rett til å protestereArtikkel 22. Automatiserte individuelle avgjørelser, herunder profileringArtikkel 23. Begrensninger
KAPITTEL IV Behandlingsansvarlig og databehandler (24-43)
Artikkel 24. Formål og målArtikkel 25. Innebygd personvern og personvern som standardinnstillingArtikkel 26. Felles behandlingsansvarligeArtikkel 27. Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i UnionenArtikkel 28. DatabehandlerArtikkel 29. Behandling som utføres for den behandlingsansvarlige eller databehandlerenArtikkel 30. Protokoller over behandlingsaktiviteterArtikkel 31. Samarbeid med tilsynsmyndigheten
Artikkel 32. Sikkerhet ved behandlingen
Artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerhetenArtikkel 34. Underretning av den registrerte om brudd på personopplysningssikkerhetenArtikkel 35. Vurdering av personvernkonsekvenserArtikkel 36. ForhåndsdrøftingerArtikkel 37. Utpeking av et personvernombudArtikkel 38. Personvernombudets stillingArtikkel 39. Personvernombudets oppgaverArtikkel 40. AtferdsnormerArtikkel 41. Kontroll av godkjente atferdsnormerArtikkel 42. SertifiseringArtikkel 43. Sertifiseringsorganer
KAPITTEL V Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner (44-50)
Artikkel 44. Generelt prinsipp for overføringArtikkel 45. Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivåArtikkel 46. Overføringer som omfattes av nødvendige garantierArtikkel 47. Bindende virksomhetsreglerArtikkel 48. Overføring eller utlevering som ikke er tillatt i henhold til unionsrettenArtikkel 49. Unntak for særlige situasjonerArtikkel 50. Internasjonalt samarbeid om vern av personopplysninger
KAPITTEL VI Uavhengige tilsynsmyndigheter (51-59)
Artikkel 51. TilsynsmyndighetArtikkel 52. UavhengighetArtikkel 53. Generelle vilkår for medlemmer av tilsynsmyndighetenArtikkel 54. Regler om opprettelse av tilsynsmyndighetenArtikkel 55. KompetanseArtikkel 56. Den ledende tilsynsmyndighets kompetanseArtikkel 57. OppgaverArtikkel 58. MyndighetArtikkel 59. Årsrapporter
KAPITTEL VII Samarbeid og ensartet anvendelse (60-70)
Artikkel 60. Samarbeid mellom ledende tilsynsmyndighet og andre berørte tilsynsmyndigheterArtikkel 61. Gjensidig bistandArtikkel 62. Tilsynsmyndighetenes felles aktiviteterArtikkel 63. KonsistensmekanismeArtikkel 64. Uttalelse fra PersonvernrådetArtikkel 65. Tvisteløsning gjennom PersonvernrådetArtikkel 66. Framgangsmåte for behandling av hastesakerArtikkel 67. Utveksling av informasjonArtikkel 68. Det europeiske personvernrådArtikkel 69. UavhengighetArtikkel 70. Personvernrådets oppgaverArtikkel 71. RapporterArtikkel 72. FramgangsmåteArtikkel 73. LederArtikkel 74. Lederens oppgaverArtikkel 75. SekretariatArtikkel 76. Konfidensialitet
KAPITTEL VIII Rettsmidler, ansvar og sanksjoner (77-84)
Artikkel 77. Rett til å klage til en tilsynsmyndighetArtikkel 78. Rett til et effektivt rettsmiddel overfor en tilsynsmyndighetArtikkel 79. Rett til et effektivt rettsmiddel overfor en behandlingsansvarlig eller databehandlerArtikkel 80. Representasjon av registrerteArtikkel 81. Utsettelse av en sakArtikkel 82. Rett til erstatning og erstatningsansvarArtikkel 83. Generelle vilkår for ilegging av overtredelsesgebyrArtikkel 84. Sanksjoner
KAPITTEL IX Bestemmelser om særlige behandlingssituasjoner (85-91)
Artikkel 85. Behandling og ytrings- og informasjonsfrihetArtikkel 86. Behandling og allmennhetens innsyn i offentlige dokumenterArtikkel 87. Behandling av nasjonalt identifikasjonsnummerArtikkel 88. Behandling i forbindelse med ansettelsesforholdArtikkel 89. Garantier og unntak ved behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formålArtikkel 90. TaushetspliktArtikkel 91. Eksisterende regler om vern av personopplysninger for kirker og religiøse sammenslutninger
KAPITTEL X Delegerte rettsakter og gjennomføringsrettsakter (92-93)
Artikkel 92. Utøvelse av delegert myndighetArtikkel 93. Komitéprosedyre
KAPITTEL XI Sluttbestemmelser (94-95)
Artikkel 94. Oppheving av direktiv 95/46/EFArtikkel 95. Forhold til direktiv 2002/58/EFArtikkel 96. Forhold til tidligere inngåtte avtalerArtikkel 97. Kommisjonens rapporterArtikkel 98. Gjennomgåelse av andre EU-rettsakter om vern av personopplysningerArtikkel 99. Ikrafttredelse og anvendelse
GDPR > Artikkel 32. Sikkerhet ved behandlingen
Last ned PDF

Artikkel 32 GDPR. Sikkerhet ved behandlingen

Article 32 GDPR. Security of processing

1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

Retningslinjer og rettspraksis Relaterte tekster
Retningslinjer og rettspraksis Relaterte tekster

a) pseudonymisering og kryptering av personopplysninger,

(a) the pseudonymisation and encryption of personal data;

ISO 27701 Retningslinjer og rettspraksis
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.


for å få tilgang til hele teksten

Retningslinjer og rettspraksis

b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.


for å få tilgang til hele teksten

c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.


for å få tilgang til hele teksten

d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.


for å få tilgang til hele teksten

2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

ISO 27701 Fortalepunkter
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.


for å få tilgang til hele teksten

Fortalepunkter

83) For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, f.eks. kryptering. Nevnte tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av konfidensialitet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at kravene i nr. 1 i denne artikkel er oppfylt.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

ISO 27701 Relaterte tekster
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


for å få tilgang til hele teksten

Relaterte tekster

4. Den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at enhver fysisk person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, behandler nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at vedkommende gjør dette.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.


for å få tilgang til hele teksten

Generell personvernforordning) [PVF, GDPR]

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar
Fortalepunkter

83) For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, f.eks. kryptering. Nevnte tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av konfidensialitet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

74) Den behandlingsansvarliges ansvar og erstatningsansvar for enhver behandling av personopplysninger som utføres av eller på vegne av vedkommende, bør fastsettes. Den behandlingsansvarlige bør særlig ha plikt til å gjennomføre egnede og effektive tiltak og påvise at behandlingsaktivitetene oppfyller kravene i denne forordning, herunder at tiltakene er effektive. Nevnte tiltak bør ta høyde for behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personers rettigheter og friheter.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

75) Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

76) Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

77) Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den behandlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vurdering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Personvernrådet eller anvisninger fra et personvernombud. Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil innebære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

Retningslinjer og rettspraksis Legg igjen en kommentar
[js-disqus]