Personvernerklæring

Sentio Research Norge AS

I prosjekter der Sentio samler inn data for en oppdragsgiver er vi databehandler. Som databehandler skal vi behandle personopplysninger på en måte som (i) ikke krenker de registrertes (de som svarer på en undersøkelse) personvern og (ii) er i samsvar med reglene i GDPR.

Her følger en kort presentasjon av virkeområdet til GDPR, hva som regnes som personopplysninger og hvilke prinsipper som gjelder for vår behandling av personopplysninger.

Virkeområdet til GDPR

Virkeområdet til GDPR beskriver de aktiviteter og samfunnsaktører som omfattes av reglene i regelverket. Reglene gjelder for alle (offentlige og private virksomheter, samt enkeltpersoner) som behandler personopplysninger elektronisk om andre mennesker. Reglene gjelder også dersom personopplysninger inngår (eller er ment å inngå) i manuelle (papirbaserte) personregistre.

Personopplysninger

Personopplysninger er all informasjon som kan knyttes til en bestemt enkeltperson. Informasjonen kan foreligge som tekst, bilder, video, lydopptak eller elektroniske spor. For at informasjonen skal regnes som personopplysninger, må det være mulig å identifisere den eller de personer som opplysningene knytter seg til.

Prinsipper for behandling av personopplysninger (personvernprinsippene)

Personvernprinsippene omhandler grunnleggende krav som stilles til alle som behandler personopplysninger om andre enn dem selv. Prinsippene skal ligge til grunn for all behandling av personopplysninger som skjer i Sentios arbeid med innsamling, lagring og bruk av personopplysninger.

Følgende personvernprinsipper gjelder for behandling av personopplysninger:

Lovlighet: Innebærer at det må foreligge en lovlig grunn for behandling av personopplysninger (se drøftelsen av lovlig grunn nedenfor).
Rettferdighet: Innebærer blant annet at forventninger om hva opplysningene vil bli brukt til skal respekteres, at rettighetene til de som opplysningene gjelder skal overholdes og at hensynet til balanse mellom partene ivaretas.
Gjennomsiktighet: Innebærer at det skal være åpenhet om hva opplysningene brukes til, og at de som opplysningene gjelder skal kjenne til hva som skjer med deres personopplysninger.
Formålsbegrensning: Innebærer at opplysningene bare skal brukes til legitime og tydelig definerte oppgaver (formål), og at de i utgangspunktet ikke skal gjenbrukes til helt andre oppgaver (formål).
Dataminimering: Innebærer at det ikke skal behandles flere opplysninger enn det som er nødvendig for å utføre den oppgaven (formålet) som opplysningene er samlet inn for å løse.
Riktighet (datakvalitet): Innebærer at opplysningene skal være korrekte og at feilaktige opplysninger skal rettes.
Lagringsbegrensning: Innebærer at opplysningene i utgangspunktet skal slettes eller anonymiseres når det ikke lenger er bruk for dem.
Integritet og konfidensialitet (fortrolighet): Innebærer at opplysningene skal sikres mot uautorisert eller ulovlig tilgang, endring, sletting eller ødeleggelse.
Ansvarlighet: Innebærer at den som behandler personopplysninger må kunne vise at dette skjer i samsvar med reglene i GDPR.

Personvernprinsippene er nærmere forklart i artikkel 5 i GDPR. De øvrige reglene i GDPR bygger på disse prinsippene.

Den registrertes rettigheter

Den registrerte (den som svarer på undersøkelser eller den personen opplysningene gjelder) har en rekke rettigheter når det behandles personopplysninger om dem:

retten til informasjon om hvem som anvender deres personopplysninger og hva som skjer med opplysningene,
retten til å få innsyn i egne personopplysninger,
retten til å kreve retting og sletting av egne personopplysninger,
retten til (i visse tilfeller) å protestere mot bruken av egne personopplysninger (innsigelser),
retten til (i visse tilfeller) å kreve at bruken av egne personopplysninger begrenses,
retten til (i visse tilfeller) å få med seg kopier av egne personopplysninger (dataportabilitet),
særskilte rettigheter som gjelder ved bruk av automatiserte beslutningssystemer og enkelte former for personprofilering.