Berätta om behandlingen för den registrerade
Kraven för informationspraxis för personuppgiftsansvariga ändrades i och med EU:s dataskyddsförordningen. Dataombudsmannens byrå uppmuntrar de olika branscherna att skapa gemensam informationspraxis till exempel som en del av uppförandekodsarbetet.
Dataskyddsarbetsgruppen WP29:s anvisning innehåller mer detaljerade anvisningar och exempel på transparent information
Läs WP29:s anvisning här (pdf).
Hur ändrar dataskyddsförordningen informationspraxis i förhållande till personuppgiftslagen?
Den i dataskyddsförordningen föreskrivna informationsplikten avviker till vissa delar från kravet på att upprätta och publicera en registerbeskrivning enligt 10 § i personuppgiftslagen och upplysningsplikten enligt 24 § i samma lag. De viktigaste ändringarna har beskrivits nedan.
Registerbeskrivning
Dataskyddsförordningen innehåller inte bestämmelser om registerbeskrivningar. En registerbeskrivning enligt personuppgiftslagen har upprättats enligt personregister. I personuppgiftslagen avses med personregister alla personuppgifter som ska behandlas för samma syfte, oberoende av i vilka informationssystem uppgifterna behandlas eller om den del av uppgifterna behandlas manuellt (t.ex. ett kundregister, ett arbetsgivarregister eller ett direktmarknadsföringsregister).
Med stöd av personuppgiftslagen har en personuppgiftsansvarig i praktiken kunnat fullgöra sina upplysningsplikt genom att upprätta en dataskyddsbeskrivning. Det handlar om en handling som kombinerar de uppgifter som den i 24 § i personuppgiftslagen föreskrivna upplysningsplikten förutsätter och de uppgifter som förutsätts i en registerbeskrivning enligt 10 § i personuppgiftslagen.
Om den personuppgiftsansvarige planerar att också i fortsättningen använda beskrivningar som kategoriserats enligt syfte, är det viktigt att bedöma hur förfaringssättet uppfyller det i dataskyddsförordningen föreskrivna kravet om att till den registrerade överlämna alla uppgifter om behandlingen av personuppgifter i en koncis, transparent, lättbegriplig och tillgänglig form. Det ska särskilt bedömas om den registrerade på så sätt enkelt och entydigt får en övergripande bild av behandlingen av egna personuppgifter då personuppgifter behandlas för fler än ett syfte.
Informationens begriplighet
Dataskyddsförordningen ålägger personuppgiftsansvariga att bedöma också om deras information är begriplig och konsekvent. Bedömningen borde göras ur den potentiella målgruppens synvinkel. Syftet är att en snittperson i målgruppen får en övergripande och tydlig bild av den helhet som behandlingen av personuppgifter utgör.
Det är inte tillräckligt att uppgifterna om behandlingen av personuppgifter är tillgängliga för den registrerade, utan informationen ska erbjudas till den registrerade i en koncis och tydlig form.
Informationsinnehåll
I motsats till personuppgiftslagen beror det informationsinnehåll som ska överlämnas till den registrerade enligt dataskyddsförordningen partiellt på om personuppgifter samlas in av den registrerade själv eller annanstans ifrån.
Transparens
Bestämmelserna om principen om transparens ingår i principen om lagenlig och lämplig behandling. Personuppgifter ska behandlas på ett transparent sätt ur den registrerades synvinkel, och den personuppgiftsskyldige ska kunna visa att man förfarit på detta sätt (ansvarsskyldighet).
Varifrån ska vi starta?
Informationspraxis ska uppdateras som en del av förberedelserna inför dataskyddsförordningen. För detta ska ni först skapa och dokumentera en övergripande bild av nuläget för behandlingen av personuppgifter, vilket är en del av fullgörandet av ansvarsskyldigheten.
Med tanke på informationen är det väsentligt att den personuppgiftsansvarige har en tydlig bild av de i artikel 13 och 14 artikel föreskrivna omständigheterna som gäller behandling av personuppgifter: till exempel vems uppgifter som behandlas, för vilka syften och på vilken grund, överlåtelse eller överföring av personuppgifter utanför organisationen och förvaringstiden för dessa.
Med tanke på bestämmelserna i dataskyddsförordningen är överlämningssättet och det språk som använts i informationen lika viktigt som att överlämna information om behandlingen av personuppgifter till den registrerade.
Informationen omfattas av följande kriterier:
- Informationen ska vara koncis, transparent, begriplig och lättillgänglig.
- Ett tydligt och enkelt språk ska användas. Detta är synnerligen viktigt då barn informeras.
- Informationen ska ges skriftligt och från fall till fall i elektroniskt form. På begäran av den registrerade kan uppgifterna också ges muntligen.
- Uppgifterna ska ges avgiftsfritt.
Kriterierna för principen om transparens i behandlingen av personuppgifter gäller all kommunikation mellan den personuppgiftsansvarige och den registrerade under hela livscykeln för behandlingen av personuppgifter.
Rikta särskild uppmärksamhet mot definieringen av syftet med behandlingen. Den registrerade ska ha en tydlig uppfattning om för vilka alla syften hans eller hennes personuppgifter behandlas. Observera att en organisation kan behandla personuppgifter för flera olika syften. Dessa kan utgöras av till exempel rekrytering, hantering av ett arbetsförhållande, marknadsföring, administrering av kundförhållanden och partnerskap samt evenemang.
Som en del av den riskbaserade approachen ska den personuppgiftsansvarige också bedöma de risker som riktar sig mot de registrerades rättigheter och friheter. Information om dessa risker ska ges på ett så objektivt sätt som möjligt.
Om en registerbeskrivning enligt den nuvarande personuppgiftslagen upprättats i organisationen, kan den användas som grund då informationen planeras. Observera dock att en registerbeskrivning enligt personuppgiftslagen sannolikt inte uppfyller de krav som följer av dataskyddsförordningen.
Om man i organisationen som en del av den övergripande bedömningen av behandlingen av personuppgifter upprättat et register över behandling enligt artikel 30 i dataskyddsförordningen, är det förnuftigt att använda den i planeringen av informationen.
Det väsentliga är att identifiera varifrån uppgifterna skaffas: av den registrerade själv eller annanstans ifrån. Om personuppgifterna fås av den registrerade själv, tillämpas artiklarna 12 och 13 i dataskyddsförordningen. Om personuppgifterna fås annanstans ifrån, tillämpas artiklarna 12 och 14 i dataskyddsförordningen.
Varifrån personuppgifterna inhämtats påverkar informationens informationsinnehåll, tidpunkt och begränsningsgrunder.
Inverkan på informationsinnehållet
Det informationsinnehåll som ska överlämnas till den registrerade beror partiellt på om personuppgifter samlas in av den registrerade själv eller annanstans ifrån. Informationens informationsinnehåll beror delvis också på den rättsliga grunden för behandlingen. Om personuppgifter behandlas till exempel utifrån ett samtycke av den registrerade, ska den registrerade informeras om möjligheten att återkalla ett samtycke.
Inverkan på tidpunkten
Om personuppgifterna samlas in av den registrerade själv, ska den personuppgiftsansvarige överlämna informationen om behandlingen till den registrerade då uppgifter samlas in.
Om personuppgifterna samlas in från annat håll än av den registrerade själv, ska uppgifterna om behandlingen av personuppgifter överlämnas till den registrerade inom en rimlig tid, men senast inom en månad. Uppgifter ska överlämnas innan den utsatta tiden på en månad i följande situationer:
- Om personuppgifter används för kommunikation med en registrerad innan tidsfristen gått ut, ska uppgifterna om behandlingen av personuppgifter i så fall ges då.
- Om avsikten är att överlåta personuppgifter till en annan mottagare innan den utsatta tidens utgång, ska information om behandlingen ges till den registrerade senast då uppgifter överlåts för första gången.
Inverkan på begränsningsgrunderna
Då uppgifterna samlas in av den registrerade själv, är det inte nödvändigt att överlämna information om behandlingen av personuppgifter, om den registrerade redan fått informationen. Den personuppgiftsansvarige ska kunna visa att den registrerade verkligen fått uppgifterna och att den överlämnade informationen därefter inte ändrats.
Grunderna för att avvika från informationsplikten är bredare då personuppgifter samlas in från annat håll än av den registrerade själv.
Enligt dataskyddsförordningen är det möjligt att avvika från informationsplikten i följande situationer:
- Om det finns uttryckliga bestämmelser om inhämtande och överlåtelse av uppgifter i unionsrätten eller lagstiftningen i en medlemsstat, vilken ska tillämpas på den personuppgiftsansvarige, i vilka lämpliga åtgärder för att skydda berättigade intressen för den registrerade fastställs.
- Om uppgifterna ska ses som konfidentiella, på grund av att de omfattas av tystnadsplikt enligt unionsrätten eller en medlemsstats lagstiftning, såsom en lagstadgad sekretessplikt.
- Också i den nationella lagstiftning som kompletterar dataskyddsförordningen är det möjligt att införa begränsningar som gäller informationsplikten.
Den personuppgiftsansvarige borde kartlägga målgruppen, det vill säga registrerade och potentiella registrerade: Omfattar målgruppen till exempel barn, då den information som riktas till dem om behandlingen av personuppgifter ska vara särskilt tydlig? Hur är det med andra grupper som behöver särskilt skydd?
Ett bedömningskriterium för transparensen i informationen är att en snittperson i målgruppen borde förstå informationen.
En omsorgsfull identifiering av målgruppen har i allmänhet en positiv inverkan på kundupplevelsen. Information om behandlingen av personuppgifter är en lagstadgad plikt, men framför allt en viktig del av kundbetjäningen och uppbyggandet av ett förtroligt kundförhållande.
Det krävs aktiva åtgärder av den personuppgiftsansvarige för att kunna ge information om behandlingen av personuppgifter till den registrerade.
Dataskyddsförordningen innehåller inte bestämmelser om en viss form (t.ex. en beskrivning) för att ge de uppgifter som är underkastade informationsplikten till den registrerade. I regel ska uppgifterna ges skriftligen, men detta kan påverkas till exempel av den apparat som använts för att samla in uppgifter (t.ex. en telefon eller IoT-apparater) eller målgruppen (t.ex. synhindrade).
I allmänhet finns det mycket information om behandlingen av personuppgifter. Den personuppgiftsansvarige ska bedöma hur informationen kan ges till den registrerade på så sätt att den registrerade får en så övergripande och begriplig bild som möjligt av behandlingen. Dessa uppgifter ska tydligt avskiljas från den övriga informationen. Observera att bedömningen ska göras uttryckligen ur den registrerades synvinkel.
I skiktad information spjälks den övergripande informationen om behandling av personuppgifter i mindre delar. Målet ska vara att ge information till den registrerade i helheter som är enkla att tillägna sig, på så sätt att man från den allmänna beskrivningen av behandlingen av personuppgifter går mot en mer detaljerad beskrivning av behandlingsåtgärderna. Med andra ord ska inte all information inkluderas i en blankett, utan olika informationsinnehåll och -helheter spjälks i mindre delar och sammanlänkas med varandra i skikt. De viktigaste uppgifterna och eventuella överraskande villkor borde finnas i det första skiktet. Med skiktning är det möjligt att öka tydligheten och begripligheten i informationen och bekämpa överflöde av information.
Den personuppgiftsansvarige ska också kartlägga med vilka medel personuppgifter samlas in: medför det använda medlet begränsningar för hur information kan erbjudas (t.ex. då personuppgifter samlas per telefon eller via skärmlösa apparater)? Säkerställ att information är tillgänglig då personuppgifter samlas in.
Planera hur du överför uppgifterna till de registrerade i situationer där personuppgifter fås från annat håll än av de registrerade själva, till exempel per e-post eller brev.
Informationen ska avgiftsfritt vara tillgänglig för den registrerade. Den ska också vara tillgänglig på organisationens webbplats.
Dataskyddsarbetsgruppen WP29:s anvisning om transparens (pdf)
Informationsinnehållet ska beskrivas på ett enkelt och tydligt sätt. Rikta särskild uppmärksamhet mot att syftet med och följderna av behandlingen har beskrivits på ett sätt som är lätt att förstå. Till exempel ska ordalydelserna ”vi kan”, ”det är möjligt” och ”ofta” undvikas i definitionen av syftet med behandlingen. Se till att eventuella språkversioner överensstämmer med varandra.
Som en del av den riskbaserade approachen ska den personuppgiftsansvarige också bedöma de risker som riktar sig mot de registrerades rättigheter och friheter. Information om dessa risker ska ges på ett så objektivt sätt som möjligt.
Gör en prövning av den bästa användartestningen för att uppnå bästa transparens och dokumenteringen av denna. Observera att om du använder personuppgifter om registrerade i testningen, ska också testanvändningen nämnas som ett behandlingssätt.
Vad gäller principen om transparens innebär ansvarsskyldigheten att de personuppgiftsansvariga ska dokumentera hur personuppgifterna behandlas på ett transparent sätt ur den registrerades synvinkel.
Förvissa dig om att organisationen till sitt förfogande har förfaringssätt för att säkerställa att ansvarsskyldigheten fullgörs. För att fullgöra ansvarsskyldigheten kan det vara nyttigt att ordna och dokumentera användartestningar, med vilka det tydligaste informationssättet kartläggs. Detta hjälper att visa att det valda informationssättet och det använda språket motsvarar kraven i dataskyddsförordningen.
Förutom att genomföra principen om transparens i praktiken, borde de personuppgiftsansvariga säkerställa att åtminstone följande omständigheter dokumenteras:
- begäran om informationen begärts muntligen
- sättet att identifiera den registrerade i situationer där identifiering krävs (i samband med fullgörande av informationsplikten enligt artikel 13 och 14)
- uppgift om att informationen erbjudits till den registrerade
- orsaken till eventuellt avvikande från informationsplikten och detaljer gällande detta.
Principen om transparens och dess inverkan på informationsplikten ska beaktas under uppgifternas hela livscykel. Bedöm med jämna mellanrum om informationen motsvarar det faktiska läget för behandlingen av personuppgifter.
Ge information om eventuella ändringar på ett tydligt sätt och i god tid. Ju viktigare ändring, desto tidigare ska information om den ges. Kom ihåg att syftet med behandlingen av personuppgifter inte kan ändras så att det inte överensstämmer med det ursprungliga syftet utan samtycke av den registrerade eller en bestämmelse i lagen.
Transparent kommunikation är viktigt också vid kommunikation om uppgifter som är underkastade informationsplikten, då den registrerades rättigheter tillhandahålls eller vid kommunikation om eventuella dataskyddsincidenter som gäller personuppgifter.
Vilka uppgifter förutsätter informationsplikten?
Bekanta dig med tabellen: De uppgifter som informationsplikten förutsätter (pdf)