Företag som behandlar personuppgifter måste vara transparenta gentemot de registrerade och informera dem om behandlingen. Principen om lagenlighet, korrekthet och transparens utgör en av de sju (7) grundläggande dataskyddsprinciperna i GDPR, men består av tre olika delar.
Företag som behandlar personuppgifter måste vara transparenta om behandlingen och informera om den
Artiklarna 13-14 i GDPR reglerar detta närmare. Detta är information som företaget ska ge den registrerade:
- Personuppgiftsansvarig: Vem som är personuppgiftsansvarig och eventuella personuppgiftsbiträden och dataskyddsombud.
- Personuppgifter: Vilka personuppgifter som företaget behandlar.
- Syftet: Vad syftet med behandlingen är.
- Hur: Hur företaget kommer att behandla personuppgifterna.
- Källa: Hur företaget har samlat in personuppgifterna.
- Rättigheter: Vilka rättigheter den registrerade har enligt GDPR.
- Lagringstid: Hur länge företaget behandlar personuppgifterna.
- Tredjeland: Huruvida företaget överför personuppgifter till tredjeland (land utanför EU/EES-området).
- Klagomål: Det ska framgå information om tillsynsmyndigheten som den registrerade kan vända sig till vid klagomål.
Informationen ska vara förståelig
Informationen till de registrerade ska vara förståelig. Det är extra viktigt att anpassa språket när de registrerade är barn, så att de förstår innehållet. Till exempel ska det vara skrivet på samma språk som det nationella i landet.
Ett internationellt företag som bedriver en mobilapplikation med många barn som användare fick betala en sanktionsavgift, eftersom de informerade de registrerade om behandlingen på engelska istället för holländska i Holland.