Berätta om behandlingen för den registrerade
Kraven för informationspraxis för personuppgiftsansvariga fastställs i den allmänna dataskyddsförordningen. Dataombudsmannens byrå uppmuntrar de olika branscherna att skapa gemensam informationspraxis till exempel som en del av uppförandekodsarbetet.
Informationens begriplighet och transparens
Den personuppgiftsansvarige ska ge den registrerade alla uppgifter som gäller behandlingen av personuppgifter i en koncis, klar och tydlig, begriplig och lätt tillgänglig form.
Dataskyddsförordningen ålägger personuppgiftsansvariga att bedöma om deras information är begriplig och konsekvent. Bedömningen borde göras ur den potentiella målgruppens synvinkel. Syftet är att en snittperson i målgruppen får en övergripande och tydlig bild av den helhet som behandlingen av personuppgifter utgör.
Bestämmelserna om principen om transparens ingår i principen om lagenlig och lämplig behandling. Personuppgifter ska behandlas på ett transparent sätt ur den registrerades synvinkel, och den personuppgiftsskyldige ska kunna visa att man förfarit på detta sätt (ansvarsskyldighet).
Läs mer om den registeransvariges ansvarsskyldighet
WP29:s riktlinjer har gett mer detaljerad anvisning och exempel på öppen information.
Läs WP29:s riktlinjer om transparens på finska (pdf)
Vilken information kräver information?
Den registrerade måste informeras bland annat
- vem registratorn är
- i vilket syfte den registrerades personuppgifter behövs
- hur länge personuppgifter behövs
- om personuppgifter vidarebefordras eller överförs utanför EES-länder
- hur den registrerade kan utöva sina rättigheter avseende personuppgifter
- risker för den registrerades rättigheter och frihet
Kolla in tabellen: Information som krävs för informationsskyldigheten (pdf)
Varifrån ska vi starta?
För infomation ska ni skapa och dokumentera en övergripande bild av nuläget för behandlingen av personuppgifter.
Med tanke på informationen är det väsentligt att den personuppgiftsansvarige har en tydlig bild av de i artikel 13 och 14 artikel föreskrivna omständigheterna som gäller behandling av personuppgifter: till exempel vems uppgifter som behandlas, för vilka syften och på vilken grund, överlåtelse eller överföring av personuppgifter utanför organisationen och förvaringstiden för dessa.
Kartläggningen av behandlingen av personuppgifter är en del av fullgörandet av ansvarsskyldigheten.
Informationen omfattas av följande kriterier:
- Informationen ska vara koncis, transparent, begriplig och lättillgänglig.
- Ett tydligt och enkelt språk ska användas i informationen. Detta är synnerligen viktigt då barn informeras.
- Informationen ska ges skriftligt och från fall till fall i elektroniskt form. På begäran av den registrerade kan uppgifterna också ges muntligen.
- Uppgifterna ska ges avgiftsfritt.
Kriterierna för principen om transparens i behandlingen av personuppgifter gäller all kommunikation mellan den personuppgiftsansvarige och den registrerade under hela livscykeln för behandlingen av personuppgifter.
Rikta särskild uppmärksamhet mot definieringen av syftet med behandlingen. Den registrerade ska ha en tydlig uppfattning om för vilka alla syften hans eller hennes personuppgifter behandlas. En organisation kan behandla personuppgifter för flera olika syften. Dessa kan utgöras av till exempel rekrytering, hantering av ett arbetsförhållande, marknadsföring, administrering av kundförhållanden och partnerskap samt evenemang.
Den personuppgiftsansvarige också bedöma de risker som riktar sig mot de registrerades rättigheter och friheter. Information om dessa risker ska ges på ett så objektivt sätt som möjligt.
Om man i organisationen som en del av den övergripande bedömningen av behandlingen av personuppgifter upprättat et register över behandling enligt artikel 30 i dataskyddsförordningen, är det förnuftigt att använda den i planeringen av informationen.
Om organisationen har gjort upp en registerbeskrivning enligt den gamla personuppgiftslagen, kan planeringen också utgå från den. Observera dock att en registerbeskrivning enligt personuppgiftslagen sannolikt inte motsvarar kraven i dataskyddsbeskrivningen.
Det väsentliga är att identifiera varifrån uppgifterna skaffas: av den registrerade själv eller annanstans ifrån. Om personuppgifterna fås av den registrerade själv, tillämpas artiklarna 12 och 13 i dataskyddsförordningen. Om personuppgifterna fås annanstans ifrån, tillämpas artiklarna 12 och 14 i dataskyddsförordningen.
Varifrån personuppgifterna inhämtats påverkar informationens informationsinnehåll, tidpunkt och begränsningsgrunder.
Informationsinnehållet
Det informationsinnehåll som ska överlämnas till den registrerade beror partiellt på om personuppgifter samlas in av den registrerade själv eller annanstans ifrån. Informationens informationsinnehåll beror också på den rättsliga grunden för behandlingen. Om personuppgifter behandlas till exempel utifrån ett samtycke av den registrerade, ska den registrerade informeras om möjligheten att återkalla ett samtycke.
Tidpunkten
Om personuppgifterna samlas in av den registrerade själv, ska den personuppgiftsansvarige överlämna informationen om behandlingen till den registrerade då uppgifter samlas in.
Om personuppgifterna samlas in från annat håll än av den registrerade själv, ska uppgifterna om behandlingen av personuppgifter överlämnas till den registrerade inom en rimlig tid, men senast inom en månad. Uppgifter ska överlämnas innan den utsatta tiden på en månad i följande situationer:
- Om personuppgifter används för kommunikation med en registrerad innan tidsfristen gått ut, ska uppgifterna om behandlingen av personuppgifter i så fall ges då.
- Om avsikten är att överlåta personuppgifter till en annan mottagare innan den utsatta tidens utgång, ska information om behandlingen ges till den registrerade senast då uppgifter överlåts för första gången.
Begränsningsgrunderna
Då uppgifterna samlas in av den registrerade själv, är det inte nödvändigt att överlämna information om behandlingen av personuppgifter, om den registrerade redan fått informationen. Den personuppgiftsansvarige ska kunna visa att den registrerade verkligen fått uppgifterna och att den överlämnade informationen därefter inte ändrats.
Grunderna för att avvika från informationsplikten är bredare då personuppgifter samlas in från annat håll än av den registrerade själv.
Enligt dataskyddsförordningen är det möjligt att avvika från informationsplikten i följande situationer:
- Om det finns uttryckliga bestämmelser om inhämtande och överlåtelse av uppgifter i unionsrätten eller lagstiftningen i en medlemsstat, vilken ska tillämpas på den personuppgiftsansvarige, i vilka lämpliga åtgärder för att skydda berättigade intressen för den registrerade fastställs.
- Om uppgifterna ska ses som konfidentiella, på grund av att de omfattas av tystnadsplikt enligt unionsrätten eller en medlemsstats lagstiftning, såsom en lagstadgad sekretessplikt.
- Också i den nationella lagstiftning som kompletterar dataskyddsförordningen är det möjligt att införa begränsningar som gäller informationsplikten.
Den personuppgiftsansvarige borde kartlägga målgruppen, det vill säga registrerade och potentiella registrerade: Omfattar målgruppen till exempel barn, då den information som riktas till dem om behandlingen av personuppgifter ska vara särskilt tydlig? Hur är det med andra grupper som behöver särskilt skydd?
Ett bedömningskriterium för transparensen i informationen är att en snittperson i målgruppen borde förstå informationen.
En omsorgsfull identifiering av målgruppen har i allmänhet en positiv inverkan på kundupplevelsen. Information om behandlingen av personuppgifter är en lagstadgad plikt, men framför allt en viktig del av kundbetjäningen och uppbyggandet av ett förtroligt kundförhållande.
Dataskyddsförordningen innehåller inte bestämmelser om en viss form (t.ex. en beskrivning) för att ge de uppgifter som är underkastade informationsplikten till den registrerade.
Uppgifter avsedda för allmänheten kan ges i elektronisk form till exempel på en webbplats. Uppgiften bör publiceras på webbplatsen med ett allmänt känt namn, som ”dataskydd”, ”dataskyddsbeskrivning”, ”integritetspolicy” eller ”integritetsskydd” (fi. ”tietosuoja”, ”tietosuojaseloste”, ”yksityisyys”, ”yksityisyyden suoja”, eng. ”privacy”, ”privacy policy”, ”data protection notice”). Uppgifter som gäller behandling av personuppgifter ska ges tydligt åtskilt från annan information.
I regel ska uppgifterna ges skriftligt. Det redskap som används för att samla in personuppgifter kan dock ställa begränsningar för sättet som informationen tillhandahålls på (t.ex. när personuppgifter insamlas per telefon eller med skärmlösa enheter). Dessutom kan målgruppen inverka på sättet som informationen tillhandahålls på (t.ex. personer med nedsatt syn).
Försäkra dig om att informationen finns tillgänglig när personuppgifterna insamlas. Planera också hur du lämnar uppgifterna till den registrerade i en situation där personuppgifterna fås någon annanstans ifrån än hos den registrerade själv till exempel per e-post eller brev.
Exempel: skiktad information
I skiktad information spjälks den övergripande informationen om behandling av personuppgifter i mindre delar. Målet ska vara att ge information till den registrerade i helheter som är enkla att tillägna sig, på så sätt att man från den allmänna beskrivningen av behandlingen av personuppgifter går mot en mer detaljerad beskrivning av behandlingsåtgärderna. Olika informationsinnehåll och -helheter spjälks i mindre delar och sammanlänkas med varandra i skikt. De viktigaste uppgifterna och eventuella överraskande villkor borde finnas i det första skiktet. Med skiktning är det möjligt att öka tydligheten och begripligheten i informationen och bekämpa överflöde av information.
Informationsinnehållet ska beskrivas på ett enkelt och tydligt sätt. Rikta särskild uppmärksamhet mot att syftet med och följderna av behandlingen har beskrivits på ett sätt som är lätt att förstå.
Som en del av den riskbaserade approachen ska den personuppgiftsansvarige också bedöma de risker som riktar sig mot de registrerades rättigheter och friheter. Information om dessa risker ska ges på ett så objektivt sätt som möjligt.
Vad gäller principen om transparens innebär ansvarsskyldigheten att de personuppgiftsansvariga ska dokumentera hur personuppgifterna behandlas på ett transparent sätt ur den registrerades synvinkel. Förvissa dig om att organisationen till sitt förfogande har förfaringssätt för att säkerställa att ansvarsskyldigheten fullgörs.
De personuppgiftsansvariga borde säkerställa att åtminstone följande omständigheter dokumenteras:
- begäran om informationen begärts muntligen
- sättet att identifiera den registrerade i situationer där identifiering krävs (i samband med fullgörande av informationsplikten enligt artikel 13 och 14)
- uppgift om att informationen erbjudits till den registrerade
- orsaken till eventuellt avvikande från informationsplikten och detaljer gällande detta.
Gör en prövning av den bästa användartestningen för att uppnå bästa transparens och dokumenteringen av denna. Observera att om du använder personuppgifter om registrerade i testningen, ska också testanvändningen nämnas som ett behandlingssätt.
Principen om transparens och dess inverkan på informationsplikten ska beaktas under uppgifternas hela livscykel. Bedöm med jämna mellanrum om informationen motsvarar det faktiska läget för behandlingen av personuppgifter.
Ge information om eventuella ändringar på ett tydligt sätt och i god tid. Ju viktigare ändring, desto tidigare ska information om den ges. Kom ihåg att syftet med behandlingen av personuppgifter inte kan ändras så att det inte överensstämmer med det ursprungliga syftet utan samtycke av den registrerade eller en bestämmelse i lagen.
Transparent kommunikation är viktigt också vid kommunikation om uppgifter som är underkastade informationsplikten, då den registrerades rättigheter tillhandahålls eller vid kommunikation om eventuella dataskyddsincidenter som gäller personuppgifter.
Vilka uppgifter förutsätter informationsplikten?
Bekanta dig med tabellen: De uppgifter som informationsplikten förutsätter (pdf)