GDPR-relaterade dokument
Integritetsmeddelande är ett obligatoriskt GDPR-relaterat dokument
Ett integritetsmeddelande är ett obligatoriskt GDPR-relaterat dokument som företaget ska upprätta för att informera de registrerade om företagets behandling av deras personuppgifter.
Vad ett integritetsmeddelande är
Ett integritetsmeddelande är ett obligatoriskt GDPR-relaterat dokument och det vanligaste GDPR-relaterade dokumentet som företag har. Där informerar företaget de registrerade om behandlingen av deras personuppgifter.
Exempelvis den rättsliga grunden för behandlingen, syftet med behandlingen, de registrerades rättigheter, kontaktuppgifterna till företaget och dess eventuella dataskyddsombud samt den nationella dataskyddsmyndigheten m.m. Innehållet i ett integritetsmeddelande är reglerat i artikel 13 i GDPR och artikel 14 i GDPR. Det är viktigt att minimikraven är uppfyllda.
Företag måste informera de registrerade om behandlingen
Registrerade har rätt att få information om behandling av deras personuppgifter. Det gäller både innan behandlingen börjar och under behandlingen om den registrerade begär det. Dessutom är det ett krav i GDPR att företag måste vara transparenta gällande all sin behandling av personuppgifter. Det brukar ske genom att företaget beskriver behandlingarna i ett integritetsmeddelande som presenteras för de registrerade. Informationen om behandlingen ska enligt artikel 13 ges till den registrerade när personuppgifterna erhålls eller insamlas. Ett integritetsmeddelande är ett obligatoriskt GDPR-relaterat dokument.
Vad är skillnaden mellan en integritetspolicy och integritetsmeddelande
Det är många som blandar ihop en integritetspolicy med ett integritetsmeddelande. Här är den främsta skillnaden mellan en integritetspolicy och ett integritetsmeddelande:
Integritetspolicy
En policy utgör ett internt styrdokument som ofta framtagits av styrelsen eller ledningen, och detta gäller även för en integritetspolicy. Policyn handlar om hur företaget ska arbeta med dataskydd och riktar sig till medarbetarna.
Integritetsmeddelande
Ett integritetsmeddelande är ett externt dokument med information till de registrerade om hur företaget behandlar personuppgifterna. Ett integritetsmeddelande är ett obligatoriskt GDPR-relaterat dokument som bör vara publicerat på företagets webbplats, samt även länkad i slutet av de e-postmeddelanden företaget skickar.
Många företag glömmer att informera om behandlingen vid kontaktformulär på webbplatsen
Det är vanligt för företag att ha kontaktformulär på sin webbplats som besökarna kan använda för att ställa frågor eller beställa tjänster/produkter från företaget. Ofta behöver besökaren fylla i sina kontaktuppgifter för att företaget ska kunna besvara meddelandet. Därmed behandlar företaget personuppgifter när de mottagit förfrågan via kontaktformuläret. Ett vanligt misstag som många företag gör är att inte informera om behandlingen i anslutning till kontaktformuläret, innan insamlingen av personuppgifterna sker. Det kan exempelvis ske genom att länka till företagets integritetsmeddelande i kontaktformuläret, före “skicka-knappen” i kontaktformuläret.
Om de registrerade är barn
Om ett företag behandlar personuppgifter som tillhör barn, är reglerna striktare än om de vore myndiga. Det innebär bland annat att språket i ett integritetsmeddelande ska vara förståeligt för barn. Dessutom måste det vara formulerat på det nationella språket samt vara relativt kortfattat med enkla meningar att läsa och förstå.
Ett stort företag fick betala sanktionsavgift för att språket i integritetsmeddelandet var på engelska
I Nederländerna fick ett stort internationellt företag betala en sanktionsavgift för att bland annat ha formulerat sitt integritetsmeddelande på engelska. Företaget har många barn som användare och därför borde integritetsmeddelandet för de registrerade (barnen) ha varit på holländska. Sanktionsavgiften uppgick till 750 000 euro.
Exempel på innehåll som ett integritetsmeddelande bör ha
Personuppiftsansvarig (Artikel 13(1)(a-b) GDPR
Integritetsmeddelandet ska innehålla vem som är personuppgiftsansvarig (organisationsnummer, namn), kontaktuppgifter till ansvarig hos företaget och eventuellt dataskyddsombud.
Ändamålen med behandlingen (Artikel 13(1)(c) GDPR
Alla behandlingar av personuppgifter måste ha ett syfte. Med andra ord ett ändamål. Det måste vara tydligt och specifikt. Till exempel “leverans av tjänst”. Observera att det inte är tillåtet att behandla personuppgifter för att ”det kan vara bra inför framtiden”.
Rättsliga grunder Syfte (Artikel 13(1)(c) GDPR
Vilken rättslig grund som gäller för respektive behandling ska framgå. Till exempel att “avtal med registrerad” enligt Artikel 6(1)(b) GDPR används när kunderna köper en tjänst från företaget, och företaget behandlar kundens personuppgifter för att leverera tjänsten och fullgöra avtalet. Vidare kan “samtycke” enligt Artikel 6(1)(a) GDPR användas som rättslig grund för att behandla personuppgifter för statistiska ändamål genom cookies på webbplatsen osv. Observera, vid samtycke måste integritetsmeddelandet enligt Artikel 13(2)(c) GDPR innehålla information om att den registrerade kan återkalla samtycket när som helst.
Ange det berättigade intresset (Artikel 13(1)(d) GDPR)
Om ett företag använder den rättsliga grunden “berättigat intresse” enligt Artikel 6(1)(f) GDPR, ska även det berättigade intresset anges i integritetsmeddelandet. Vid sådana fall bör även en hänvisning till att den registrerade har rätt att begära att få se den utförda och dokumenterade intresseavvägningen framgå.
Mottagarna av personuppgifterna (Artikel 13(1)(e) GDPR)
Det är viktigt att informera om personuppgifterna kommer att delas till någon tredje part, såsom leverantör eller myndighet, eller företag inom samma koncern. Integritetsmeddelande måste innehålla information om mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.
Överföring av personuppgifterna (Artikel 13(1)(f) GDPR
Om företaget avser att överföra personuppgifterna till ett trejde land, eller en internationell organisation, ska det framgå i integritetsmeddelandet. Det ska också anges om ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas. Vidare måste en hänvisning till lämpliga skyddsåtgärder och hur en kopia av dem kan erhållas framgå.
Kategorier av personuppgifter (Artikel 14(1)(d)
Om företaget har fått personuppgifterna från någon annan än den registrerade, måste integritetsmeddelandet innehålla information om vilka kategorier av personuppgifter som behandlas. Vissa personuppgifter är viktigare och känsligare än andra. Det är bra att ha en övergripande lista av kategorierna som företaget behandlar. Till exempel namn på kunder, ekonomiska uppgifter såsom kreditkortsnummer, känsliga personuppgifter såsom sjukfrånvaro från anställda osv.
Ursprunget (Artikel 14(2)(f)
Om företaget inte får in personuppgifterna från den registrerade direkt, ska det framgå hur företaget fått dem. Till exempel från offentliga register.
Rättigheterna (Artikel 13(2)(b) GDPR
Företag måste informera de registrerade om deras rättigheter. Till exempel rätten till att göra invändningar när den rättsliga grunden är berättigat intresse, rätten att få sina personuppgifter rättade, raderade osv.
Lagringstiden (Artikel 13(2)(a) GDPR
Företag får inte behandla personuppgifter hur länge som helst. De ska raderas eller anonymiseras när de inte längre är nödvändiga för syftet de blev inhämtade för. Lagringstiden ska framgå till de registrerade.
Klagomål till tillsynsmyndighet (Artikel 13(2)(d) GDPR)
Kontaktuppgifter till den nationella dataskyddsmyndigheten dit de registrerade kan lämna klagomål, ska framgå i integritetsmeddelandet.
Mer info
Kontinuitetsplan
För att förbereda företaget och medarbetarna inför en eventuell kris, så att de vet hur de ska agera då, är det bra att upprätta en kontinuitetsplan. Med andra ord en plan för hur företaget ska agera vid en eventuell allvarlig störning eller kris. Dessutom är det bra att upprätta en katastrofåterställningsplan (Disaster Recovery Policy) som utgör den tekniska delen av en kontinuitetsplan. Genom att vara förberedd på en kris och ha instruktioner för medarbetarna samt testa och förbättra dem regelbundet, kan det underlätta hanteringen av en kris samt minimera konsekvenserna.