Berätta om behandlingen för den registrerade

Alla personuppgiftsansvariga ska se över sin informationspraxis och uppdatera den så att den uppfyller kraven i dataskyddsförordningen senast 25.5.2018.

Dataombudsmannens byrå uppmuntrar de olika branscherna att skapa gemensam informationspraxis till exempel som en del av uppförandekodsarbetet.

Denna anvisning grundar sig på dataskyddsarbetsgruppen WP29:s anvisning om transparens. Den innehåller mer detaljerade anvisningar och exempel på transparent information.

Hur ändrar dataskyddsförordningen informationspraxis i förhållande till personuppgiftslagen?

Den i dataskyddsförordningen föreskrivna informationsplikten avviker till vissa delar från kravet på att upprätta och publicera en registerbeskrivning enligt 10 § i personuppgiftslagen och upplysningsplikten enligt 24 § i samma lag. De viktigaste ändringarna har beskrivits nedan.

Registerbeskrivning

Dataskyddsförordningen innehåller inte bestämmelser om registerbeskrivningar. En registerbeskrivning enligt personuppgiftslagen har upprättats enligt personregister. I personuppgiftslagen avses med personregister alla personuppgifter som ska behandlas för samma syfte, oberoende av i vilka informationssystem uppgifterna behandlas eller om den del av uppgifterna behandlas manuellt (t.ex. ett kundregister, ett arbetsgivarregister eller ett direktmarknadsföringsregister).

Med stöd av personuppgiftslagen har en personuppgiftsansvarig i praktiken kunnat fullgöra sina upplysningsplikt genom att upprätta en dataskyddsbeskrivning. Det handlar om en handling som kombinerar de uppgifter som den i 24 § i personuppgiftslagen föreskrivna upplysningsplikten förutsätter och de uppgifter som förutsätts i en registerbeskrivning enligt 10 § i personuppgiftslagen.

Om den personuppgiftsansvarige planerar att också i fortsättningen använda beskrivningar som kategoriserats enligt syfte, är det viktigt att bedöma hur förfaringssättet uppfyller det i dataskyddsförordningen föreskrivna kravet om att till den registrerade överlämna alla uppgifter om behandlingen av personuppgifter i en koncis, transparent, lättbegriplig och tillgänglig form. Det ska särskilt bedömas om den registrerade på så sätt enkelt och entydigt får en övergripande bild av behandlingen av egna personuppgifter då personuppgifter behandlas för fler än ett syfte.

Informationens begriplighet

Dataskyddsförordningen ålägger personuppgiftsansvariga att bedöma också om deras information är begriplig och konsekvent.  Bedömningen borde göras ur den potentiella målgruppens synvinkel. Syftet är att en snittperson i målgruppen får en övergripande och tydlig bild av den helhet som behandlingen av personuppgifter utgör.

Det är inte tillräckligt att uppgifterna om behandlingen av personuppgifter är tillgängliga för den registrerade, utan informationen ska erbjudas till den registrerade i en koncis och tydlig form.

Informationsinnehåll

I motsats till personuppgiftslagen beror det informationsinnehåll som ska överlämnas till den registrerade enligt dataskyddsförordningen partiellt på om personuppgifter samlas in av den registrerade själv eller annanstans ifrån. 

Transparens

Bestämmelserna om principen om transparens ingår i principen om lagenlig och lämplig behandling. Personuppgifter ska behandlas på ett transparent sätt ur den registrerades synvinkel, och den personuppgiftsskyldige ska kunna visa att man förfarit på detta sätt (ansvarsskyldighet).

Varifrån ska vi starta?

Vilka uppgifter förutsätter informationsplikten?

Bekanta dig med tabellen: De uppgifter som informationsplikten förutsätter