Personvernordbok
Få en oversikt over de viktigste personvernrelaterte begrepene her
Ad-hoc kontraktsbestemmelse
En ad hoc-kontrakt er en kontrakt som ikke er utformet i overensstemmelse med Kommisjonens standard kontraktsbestemmelser. Overføring av personopplysninger til tredjeland eller internasjonale organisasjoner på grunnlag av ad hoc-kontrakter krever forutgående tillatelser fra Datatilsynet.
Alminnelige personopplysninger
Alminnelige personopplysninger er den folkelige betegnelsen på personopplysninger som ikke er sensitive (i spesielle kategorier). Alminnelige personopplysninger omfatter blant annet informasjon i e-post, telefonnummer, personnummer, økonomiske forhold og IP-adresser.
Opplysninger om straffedommer og lovbrudd hører hjemme i kategorien alminnelige personopplysninger. Denne typen personopplysninger er likevel underlagt noen særregler.
Ansvarlig person for personvern
Virksomheter og myndigheter bør alltid bestemme hvor ansvaret for personvern skal ligge i organisasjonen. Offentlige myndigheter og visse private virksomheter skal dessuten utpeke en såkalt personvernrådgiver (personvernombud). Det kan utnevnes en felles personvernrådgiver for et konsern. På samme måte kan flere offentlige myndigheter gå sammen om en felles personvernrådgiver.
Automatiserte individuelle avgjørelser
Den registrerte har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende. Dette gjelder likevel ikke, dersom avgjørelsen er nødvendg for inngåelsen eller oppfyllelsen av en kontrakt mellom den behandlingsansvarlige og den registrerte, hvis avgjørelsen er hjemlet i rettsregler som gjelder for den behandlingsansvarlige eller hvis den registrerte samtykker uttrykkelig.
Begrensning av behandlingen
Retten til begrensning innebærer en rett for den registrerte til i visse tilfeller å få begrenset den behandlingen som den behandlingsansvarlige gjennomfører. Den behandlingsansvarlige kan for eksempel begrense behandlingen av personopplysninger ved å flytte utvalgte opplysninger midlertidig til et annet IT-system eller gjøre opplysningene utilgjengelige for visse brukere.
Behandling av personopplysninger
En behandling er enhver aktivitet som gjøres med personopplysninger. Behandlingsbegrepet skal forstås bredt. Det dekker f.eks. innsamling, registrering, organisering, systematisering, oppbevaring, tilpasning, endring, gjenfinning, søk, bruk, overføring, formidling eller enhver annen form for overlatelse, sammenstilling eller samkjøring, begrensning eller sletting.
Korrigering
Den behandlingsansvarlige skal sikre at de innsamlede personopplysningene er korrekte og oppdaterte. Det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres. En virksomhet skal f.eks. ha prosedyrer for å løpende sikre at opplysningene som er registrert om de ansatte er korrekte og oppdaterte.
Ved å sende en anmodning til den behandlingsansvarlige har den registrerte i tillegg krav på å få korrigert eller oppdatert uriktige, villedende eller feilaktige opplysninger.
Bindende virksomhetsregler
Bindende virksomhetsregler er regler om beskyttelse av personopplysninger i forbindelse med overføring til tredjeland som er fastsatte av en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats område innen sitt konsern eller gruppe av virksomheter som utøver en felle, økonomisk aktivitet.
Virksomheten skal overholder reglene i forbindelse med overføring av personopplysninger til tredjeland når dette skjer innen et konsern eller grupper av virksomheter og kan kun benyttes i til overføringer innenfor konsern.
Brudd på personopplysningssikkerheten
Behandlingsansvarlig og databehandleren skal benytte tekniske og organisatoriske tiltak som gjør dem i stand til å identifisere brudd på personopplysningssikkerheten (informasjonssikkerheten) - dvs. et brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
Behandlingsansvarlig
Den behandlingsansvarlige er den fysiske eller juridiske person, offentlige myndighet, institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes
Den behandlingsansvarlige kan for eksempel være en myndighet som har blitt pålagt en oppgave av lovgiver som involverer behandling av personopplysninger. Den behandlingsansvarlige vil likeledes kunne være en virksomhet som behandler personopplysninger om sine ansatte eller kunder for egne formål.
Databehandler
En databehandler er den fysiske eller juridiske person, offentlige myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
Databehandleren må kun handle på dokumenterte instrukser fra den behandlingsansvarlige. Databehandleren må derfor ikke behandle personopplysningene til egne formål eller bruke de mottatte opplysningene til andre formål enn utførelsen av den oppgaven som databehandleren utfører på vegne av den behandlingsansvarlige.
Databehandleren kan for eksempel være en virksomhet som drifter IT-systemet for en annen virksomhet eller offentlig myndighet. Databehandleren vil også kunne være et inkassobyrå som tar hånd om gjeldsinndrivelsen på vegne av behandlingsansvarlig og i den forbindelse mottar personopplysninger om de skyldnerne som har gjeld som skal inndrives.
Databehandleravtaler
Databehandleravtalen er kontrakt eller et annet rettslig dokument som er binde databehandleren overfor den behandlingsansvarlige. Databehandleravtalen skal være skriftlig (herunder elektronisk) og oppfylle en rekke krav til til innhold som fremgår av artikkel 28 nr. 3 i personvernforordningen.
Personvernrådgiver (personvernombud)
Offentlige myndigheter og visse private virksomheter skal utpeke en såkalt personvernrådgiver (personvernombud). Det kan utnevnes en felles personvernrådgiver for et konsern. På samme måte kan flere offentlige myndigheter gå sammen om en felles personvernrådgiver. En slik ressurs kan også leies inn fra eksterne.
Personvernrådgiveren skal utpekes på grunnlag av vedkommendes faglige kvalifikasjoner og ekspertise innen personvernrett og -praksis. Det skal også tas høyde for rådgiverens evne til å utføre arbeidsoppgavene som personvernrådgiver.
Den registrerte
Den registrerte er den fysiske personen som personopplysningene behandles om. Når en virksomhet oppbevarer kontaktopplysninger om de ansatte i et elektronisk register, regnes eksempelvis de ansatte som de registrerte.
Folkehensyn
Hensynet til folkehelse omfatter blant annet hensynet til å beskytte mot alvorlige helserisiki eller sikring av kvalitets- og sikkerhetsstandarder for helsehjelp og legemidler eller medisinsk utstyr. Folkehelse skal tolkes vidt og omfatter alle forhold knyttet til helse.
Forpliktelser og rettigheter
Behandling av personopplysninger kan skje på bakgrunn av både den registrertes og den behandlingsansvarliges forpliktelser og rettigheter. Herunder siktes det til enhver form for forpliktelse eller rettighet som følger av lov eller avtale på det relevante området.
Protokoll (oversikt) over behandlingsaktiviteter
Både den behandlingsansvarlige og databehandleren skal føre en oversikt over behandlingsaktivitetene (såkalt protokoll). De innholdsmessige kravene varierer avhengig av om man er behandlingsansvarlig eller databehandler. Protokollen er et dokument som gir oversikt over behandlingsaktivitetene. Den danner blant annet grunnlaget for å kunne oppfylle kravet til å påvise/dokumentere at behandlingen er lovlig.
Sensitive personopplysninger (særlige kategorier personopplysninger)
Sensitive personopplysninger (særlige kategorier) omfatter opplysninger om helse, rase eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, seksuelle forhold, seksuelle orientering samt genetiske og biometriske opplysninger. På grunn av deres følsomme karakter er særlige kategorier personopplysninger underlagt særlige krav og skjerpet regulering.
Gjenopprette tilgjengeligheten og tilgangen til personopplysninger
Den behandlingsansvarlige og databehandleren skal være i stand til å raskt kunne gjenopprette tilgjengeligheten og tiltangen til personopplysninger i tilfelle en fysisk eller teknisk hendelse. En slik gjenopprettelse kan for eksempel skje gjennom datarekonstruksjon
Hjemmel/Behandlingsgrunnlag
Behandlingsgrunnlaget er det rettslige grunnlaget som gir noen lov til å behandle personopplysninger. Den behandlingsansvarlige kan f.eks. lovlig behandle personopplysninger dersom det er nødvendig for å beskytte den registrertes vitale interesser eller den registrerte har gitt et gyldig samtykke.
Involvering av personvernrådgiver
Både den behandlingsansvarlige og databehandleren har plikt til å involvere personvernrådgiveren på riktig måte og i rett tid i alle spørsmål som gjelder vern av personopplysninger. De skal dessuten støtte personvernrådgiveren ved å stille til rådighet de ressurser som er nødvendig for å utføre sine oppgaver. Den behandlingsansvarlige skal dessuten bidra til å opprettholder rådgiverens dybdekunnskap samt sikre tilgang til personopplysninger og behandlingsaktiviteter.
Innsigelsesrett
Den registrerte har til enhver tid rett til å protestere mot behandling av personopplysninger om vedkommende, hvis behandlingsgrunnlaget knytter seg til at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse, utøvelsen av offentlig myndighet behandlingen baserer seg på en interesseavveiing. Dette omfatter også profilering med grunnlag i de samme bestemmelsene. Dersom den registrerte protesterer skal den behandlingsansvarlige ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Innsynsrett
Den registrerte har rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles. Dersom dette er tilfellet har den registrerte også rett til å motta de aktuelle personopplysningene samt informasjon om behandlingen. Dette omfatter blant annet informasjon om formålet med behandlingen, hvilke kategorier personopplysninger behandlingen omfatter, hvem som har mottatt opplysningene, hvor lenge de blir lagret og hvor opplysningene stammer fra.
Instrukser
Den behandlingsansvarlige skal sikre at opplysninger som er overlatt til en databehandler, blir behandlet i overensstemmelse med kravene til personvernsikkerhet og den behandlingsansvarliges instrukser. Den behandlingsansvarlige må dermed aktivt sikre at databehandleren overholder de påkrevde sikkerhetstiltakene. Det kan i denne sammenheng bl.a. være relevant å innhente en årlig revisjonsrapport fra en uavhengig tredjepart.
Interesseavveining
Behandlingen kan skje hvis den er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter ikke overstiger den berettigete interessen. Det er den behandlignsansvarliges oppgave å foreta interessavveiingen.
Personvernkonsekvensvurdering (DPIA)
Ved enhver form for behandling av personopplysninger skal den dataansvarlige foreta en såkalt risikovurdering med sikte på å sikre et passende sikkerhetsnivå. Dersom det er trolig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres, i skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. Dette er særlig relevant ved bruk av ny teknologi. Kravet innebærer at den behandlingsansvarlige analyserer hvilke konsekvenser de planlagte behandlingsaktivitetene får sett fra den registrertes ståsted forut for behandlingen.
Konsekvensanalysen skal som et minimum inneholde en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen. Den skal også inneholde en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene, samt en vurdering av risikoen for for de registrertes rettigheter samt informasjon om de tiltak som er nødvendig for å bøte på denne risikoen. Dersom konsekvensvurderingen viser at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen, skal den behandlingsansvarlige rådføre seg med Datatilsynet før behandlingen tar til (såkalt forhåndsdrøftelse).
Kryptering
Kryptering er en betegnelsen på en prosess der leselig data omdannes til uforståelig informasjon/kode basert på matematikk. På denne måten sikres opplysningenes konfidensialitet. Kryptering reduserer også risikoen for at opplysningenes integritet, tilgjengelighet og robusthet kompromiteres. Kryptering gjør dataene ubrukelige, medmindre de kan omdannes til et forståelig format ved hjelp av den korrekte krypteringsnøkkelen. Dersom data dekryptes, vil de igjen kunne ansees for å være personopplysninger.
Legitime interesser
Behandlingen kan skje hvis den er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter ikke overstiger den berettigete interessen. Det er den behandlignsansvarliges oppgave å foreta interessavveiingen.
Nødvendige personopplysninger ("Dataminimering")
Innsamlede personopplysninger skal være være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette bygger på et prinsipp om dataminimering og proporsjonalitet som i praksis innebærer at det skal behandles så få personoplysninger som mulig.
Opplysningene skal være "relevante", noe som innebærer at behandlingen ikke må omfatte personopplysninger som ikke henger sammen med formålet med behandlingen.
At opplysningene skal være "adekvate" må sees i sammenheng med kravet om at opplysningene skal være begrenset til det som er nødvendig ut fra formålet med behandlingen.
Om behandlingen av personopplysninger er nødvendig for å oppfylle de angitte formålene må det vurderes konkret basert på om behandlingen av opplysningene går utover hva som er nødvendig for å oppfylle de formål som den behandlingsansvarlige har rett til å forfølge.
Offentlig myndighetsutøvelse
Offentlige myndigheter kan behandle alminnelige personopplysninger hvis dette er nødvendig for at myndigheten eller en tredjemann som mottar opplysningene kan utføre en pålagt oppgave som omfattes av offentlig myndighetsutøvelse. Dette er normalt tilfellet når offentlig myndighet treffer vedtak. Som oftest vil også faktisk forvaltningsvirksomhet også være omfattet.
Oppbevaring av personopplysninger
Lagring av personopplysninger utgjør en behandling av personopplysninger. Av sikkerhetsmessige grunner skal behandlingsansvarlig ha kontroll på hvor opplysningene lagres. I forlengelse av dette, må behandlingsansvarlig utvise forsiktighet dersom det engasjeres cloud-leverandører som har datasentre både i og utenfor EU/EØS-området.
Informasjonsplikt
Den behandlingsansvarlige skal gi den registrerte informasjon i forbindelse med innsamling og behandling av personopplysninger. Den behandlingsansvarlige skal blant annet informere om formålet med behandlingen, behandlingsgrunnlaget, lagringstiden, eventuelle mottakere samt den underliggende logikken som ligger til grunn for automatiserte avgjørelser (algoritmer) samt de forventede konsekvensene av en slik behandling for den registrerte.
Overføring til tredjeland
En overføring skal ikke utelukkende forstås som en fysisk overføring av personopplysninger til et annet land der opplysningene blir lagret. Det kan f.eks. også være snakk om en overføring hvis det gis tilgang til personopplysninger lagret innenfor EØS/EU fra et annet land.
Personopplysninger
En personopplysning er enhver opplysning om en identifisert eller identifiserbar fysisk person ("den registrerte").
Profilering
Profilering dekker enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser.
Pseudonymisering
Pseudonymisering er behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person.
Rett til dataportabilitet
Retten til dataportabilitet innebærer en rett for den registrerte til å motta de personopplysninger om seg selv, som vedkommende har gitt til den behandlingsansvarlige. Dataene må gis til den registrerte i et strukturert, alminnelig anvendt og maskinlesbart format.
Den registrerte har rett til å overføre opplysningene til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene først ble gitt til kan motsette seg dette.
Retten til dataportabilitet gjelder bare når behandlingen baserer seg på samtykke eller kontrakt og når behandlingen skjer automatisk.
Rettslig forpliktelse
Uttrykket rettslig forpliktelse omfatter forpliktelser som påhviler den behandlingsansvarlige, og som følger av lovgivning, administrative forskrifter fastsatt ved lov, internasjonale og EU-rettslige forpliktelser samt avgørelser truffet av domstolene eller administrative myndigheter. Dette omfatter ikke avtalerettslige forpliktelser.
Retningslinjer for behandling av personopplysninger
For å etablere et egnet sikkerhetsnivå skal den behandlingsansvarlige og databehandleren fastsette retningslinjer for behandling av personopplysninger. Eksempelvis retningslinjer for innsamling av personopplysninger, underretning til de registrerte om behandlingen av deres personopplysninger, tilgang til personopplysninger samt instrukser om bruken av kryptering og back-up.
Rettighetsadministrasjon
Det bør sikres at det kun er personer som har autorisert tilgang som har tilgang til personopplysningene. Dette forutsetter at en formell ordning for autorisering, som sørger for at opplysningene ikke behandles av ikke-autoriserte. Det er nødvendig å gjennomføre tekniske tiltak for å etablere en adgangskontroll i de ulike systemene, herunder for eksempel en løsning som krever brukeridentifikasjon ved hjelp av passord.
Samfunnets interesser
Med uttrykket "oppgave i samfunnets interesse" menes det at det er tale om oppgaver av allmenn interesse, for eksempel behandling av personopplysninger for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål
Samtykke
Den behandlingsansvarlige kan benytte et samtykke fra den registrerte som et rettslig grunnlag for å behandle personopplysninger om den registrerte. Samtykket må være en frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte. Ved å gi samtykke aksepterer vedkommende at hans/hennes personopplysninger behandles.
Med begrepet "viljesytring" menes i utgangspunktet at det er den registrerte selv som gir samtykke. Det er imidlertid ikke noe i veien for at et samtykke kan bli gitt av en person som har fullmakt til å meddele samtykke på vegne av den registrerte.
Ved behandling av sensitive personopplysninger gjelder det et krav om at samtykket er uttrykkelig. Dette innebærer at samykket ikke kan ha blitt avgitt stilltiende eller indirekte.
Den registrerte har til enhver tid rett til å trekke sitt samtykke tilbake.
Sikkerhetsmessig risikovurdering
Ved enhver form for behandling av personopplysninger skal databehandler foreta en såkalt risikovurdering og fastsette et passende sikkerhetsnivå, samt sørge for at behandlingen av personopplysningene skjer i samsvar med dette sikkerhetsnivået.
I vurderingen skal det tas hensyn til det tekniske sikkerhetsnivået, implementeringskostnader, behandlingens karakter, omfang, sammenheng og formål, samt risiko og varierende sannsynlighet for krenkelse fysiske personers rettigheter.
Hvis en type behandling vil innebære høy risiko for krenkelse av fysiske personers rettigheter og friheter, vil den behandlingsansvarlige, forut for behandlingen, være pålagt å gjennomføre en såkalt konsekvensanalyse.
Sikre tredjeland
Et sikkert tredjeland er en stat hvor Kommisjonen har fastslått at et territorium, eller en eller flere angitte sektorer i nevnte tredjestat, sikrer et tilstrekkelig beskyttelsesnivå.
Sletting
Den behandlingsansvarlige skal etablerer rutiner eller tekniske tiltak som sørger for at personopplysninger blir slettet løpende når de ikke lengre er nødvendige for å oppfylle det formålet de ble samlet inn for
Den registrerte har i visse tilfeller rett til å få sine personopplysninger slettet. Dette uten unødig opphold. Opplysningene skal for eksempel slettes hvis de ikke lengre er nødvendige for de formål de ble samlet inn eller behandlet for, eller hvis den registrerte velger å trekke sitt samtykke, som var det rettslige grunnlaget for behandlingen, tilbake.
Med "sletting" forstås at personopplysningene blir fjernet fra alle lagringsmedier, og at opplysningene ikke kan gjenopprettes.
Standardinnstillinger
Den behandlingsansvarlige skal via standardinnstillinger etablere passende tekniske og organisatoriske foranstaltninger. Formålet med dette er å sikre at det kun er de personopplysninger som er nødvendige sett opp mot det konkrete formålet som behandles.
Statistiske formål
Personopplysninger kan behandles for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Med statistiske formål må forstås innsamling og behandling av personopplysninger med henblikk på statistiske undersøkelser og frembringelse av statistiske resultater.
Tekniske tiltak
Behandlingsansvarlig og databehandler skal gjennomføre tekniske tiltak med henblikk på å sikre at personvern er bygget inn i IT-systemer og lignende.
Tredjeland
Et tredjeland er en stat som ikke er en del av EU/EØS.
Uttrykkelig angitte formål
Behandlingsansvarlig kan kun samle inn personopplysninger for spesifikke, uttrykkelig angitte og berettigede formål. Innsamlingen kan knytte seg til flere formål. Med "utrykkelig angitte" formål må forstås at den behandlingsansvarlige skal angi et formål i forbindelse med innsamlingen av opplysningene. Dette formålet må være tilstrekkelig definert og avgrenset slik at det skaper åpenhet og klarhet rundt behandlingen av opplysningene. En generell, for åpen eller vag beskrivelse av formålet med behandlingen, som for eksempel "til administrative formål", er derfor ikke tilstrekkelig.
En senere behandling av personopplysninger må ikke være uforenelig med det opprinnelige formålet. Dette betyr at den behandlingsansvarlige ikke fritt kan gjenbruke eller utlevere allerede innsamlede personopplysninger.
Underdatabehandler
Ved en forutgående godkjennelse fra behandlingsansvarlig kan databehandler velge å ta i bruk en annen databehandler - en såkalt underdatabehandler.
Underdatabehandlere er underlagt de samme forpliktelsene som den opprinnelige databehandleren. Dersom underdatabehandleren ikke oppfyller disse forpliktelsene, er den opprinnelige databehandleren fullt ut ansvarlig for underdatabehandlerens forpliktelser.
Varsling innen 72 timer
Hvis behandlingsansvarlig blir kjent med at det har skjedd et brudd på personopplysningssikkerheten, skal behandlingsansvarlig uten ugrunnet opphold og senest innen 72 timer melde bruddet til Datatilsynet. Behandlingsansvarlig trenger ikke å melde bruddet dersom det kan bevises at det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter.
Varsling av de registrerte
Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet. Denne underretningen skal inneholde en klar og tydelig beskrivelse av arten av bruddet.
Usikre tredjeland
Et usikkert tredjeland er en stat hvor Kommisjonen ikke har fastslått at et territorium, eller en eller flere angitte sektorer i nevnte tredjestat, sikrer et tilstrekkelig beskyttelsesnivå.
Vitale interesser
Det kan behandles personopplysninger dersom det er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Som et eksempel nevnes det tilfelle at den registrerte som følge av sykdom ikke er i stand til å samtykke til behandlingen, og behandlingen er av avgjørende betydning for den registrerte.