Artikkel 12, 13 og 14 i GDPR

Rett til informasjon

Når et selskap behandler personopplysninger, har de registrerte rett til å motta informasjon om behandling, innsamling og bruk. Artikkel 12, 13 og 14 i EUs personvernforordning (GDPR) regulerer denne rettigheten. Dette er en av de grunnleggende åtte (8) rettighetene som de registrerte har under GDPR.

Grunnleggende rettigheter – Rett til informasjon

Hvis selskapet har mottatt personopplysninger om den registrerte direkte fra den registrerte selv, gjelder artikkel 13 i GDPR. Hvis selskapet har mottatt personopplysningene fra noen andre enn den registrerte, gjelder artikkel 14 GDPR. Disse artiklene regulerer minimumsinnholdet i informasjonen.

Tid til å informere registrerte

Artikkel 13 GDPR: Når selskapet har mottatt personopplysningene direkte fra den registrerte, skal selskapet gi informasjon om behandlingen i forbindelse med mottak av personopplysningene av selskapet.
Artikkel 14 i GDPR: Når selskaper samler inn personopplysninger fra en annen kilde enn den registrerte, skal selskapet gi informasjonen:

Innen en rimelig frist fra mottak, som ikke skal overstige 1 måned. Ved vurdering av rimelig tid skal foretaket ta hensyn til de særlige omstendighetene ved behandlingen av personopplysningene som foreligger. Det kreves derfor en vurdering fra sak til sak.
Dersom foretaket skal behandle personopplysningene for å kommunisere med den registrerte, skal opplysningene om behandlingen gis senest når den første kommunikasjonen finner sted, eller
Dersom foretaket har til hensikt å utlevere personopplysningene til en annen mottaker, skal opplysningene om behandlingen framlegges senest ved første offentliggjøring av personopplysningene.

Dersom de registrerte er barn

Det er tillatt i visse tilfeller for selskaper å behandle personopplysninger om barn uten samtykke fra innehaveren av foreldreansvaret. På den annen side er reglene strengere når det gjelder behandling av personopplysninger om barn. For eksempel må selskapet sørge for at informasjonen om behandlingen er lett forståelig for barna som er de registrerte. I tillegg må personvernerklæringen utarbeides på samme språk som den nasjonale i landet. Et stort internasjonalt selskap, som driver en mobilapplikasjon med mange barn som brukere, informerte brukerne om behandling av personopplysninger på engelsk i Holland. Dette var ikke tillatt, og derfor måtte selskapet betale en bot.

Informere datasubjekter via en personvernmelding

Det er viktig å sikre at selskapet gir minimumsinformasjonen som kreves av GDPR. Opplysningene skal uttrykkes skriftlig i en såkalt «personvernmelding». Det er vanlig for bedrifter å publisere deres personvernerklæring på deres offisielle nettside. Denne typen melding er ofte publisert i bunnteksten på et nettsted, slik at det alltid er lett å finne. Vær oppmerksom på at selskapet skal ha sin personvernerklæring separat fra andre dokumenter. Dette betyr at en personvernerklæring ikke skal inkluderes i for eksempel generelle vilkår og betingelser eller lignende.

Innhold i en personvernerklæring

For eksempel bør en personvernerklæring inneholde følgende informasjon til registrerte om selskapets behandling av personopplysninger:

Kontroller og prosessor

Den behandlingsansvarliges identitet og kontaktopplysninger, I tillegg skal det angis om selskapet engasjerer en prosessor.

Rettslig grunnlag

Det rettslige grunnlaget som foretaket baserer behandlingen på, For eksempel samtykke, kontrakter med registrerte eller legitim interesse.

Formål

Formålet med behandlingen. Formålet skal være konkret og klart for de registrerte.

Lagringstid

Varigheten av behandling og lagring av personopplysninger av selskapet. Det er viktig å huske på at selskaper bør slette personopplysningene når de ikke lenger er nødvendige for formålet de ble samlet inn for.

Tredjestat

Når selskapet overfører personopplysninger til et tredjeland. Med andre ord et land utenfor EU/EØS. Når et selskap overfører personopplysninger til et tredjeland, er reglene strengere.

Rettigheter

Rettighetene til de registrerte. For eksempel retten til tilgang til data og retten til å slette data.

Kilder

Bedrifter som mottar personopplysninger på annen måte enn direkte fra den registrerte, skal informere de registrerte om hvordan de samlet inn personopplysningene.

Et selskap trenger ikke alltid å gi informasjon til registrerte

Eksempler på situasjoner der et selskap ikke trenger å gi informasjon om behandlingen til registrerte inkluderer:

Dersom en registrert allerede har tilgang til informasjonen. For eksempel, hvis informasjonen blir presentert hver gang en person logger inn på hans eller hennes konto på en betalingstjeneste.
Dersom foretaket samler inn personopplysninger fra en annen kilde, og det vil være uforholdsmessig eller umulig å gi tilgang til opplysningene. Dette gjelder særlig når behandlingen av personopplysninger utføres for formål knyttet til vitenskapelig forskning, historisk forskning eller arkivering i allmennhetens interesse.
Dersom utlevering eller innhenting av personopplysninger er uttrykkelig basert på en lov som den registrerte er underlagt, forutsatt at loven fastsetter egnede tiltak for å verne den registrertes berettigede interesser. Eller
Når et selskap må holde de aktuelle personopplysningene konfidensielle på grunn av en lov som selskapet er underlagt. Det vil si at foretaket er bundet av en lovbestemt taushetsplikt med hensyn til personopplysningene som behandles.

Flere rettigheter i GDPR

Rett til innsyn

En person har rett til å be om tilgang til hans eller hennes personopplysninger som behandles av et selskap. På anmodning skal foretaket gi slik tilgang. Foretaket skal blant annet underrette om hvilke kategorier av personopplysninger det behandler, formålet med behandlingen, varigheten av oppbevaringsperioden og hvordan innsamlingen har funnet sted. I tillegg skal selskapet gi en kopi av de behandlede personopplysningene til den registrerte som sendte inn tilgangsforespørselen.