Artikel 12, 13 & 14 i GDPR
Rätt till information
När ett företag behandlar personuppgifter har de registrerade rätt att få information om behandlingen, insamlingen och användningen. Artiklarna 12, 13 och 14 i EU:s allmänna dataskyddsförordning (GDPR) reglerar denna rättighet. Detta utgör en av de centrala åtta (8) rättigheter som registrerade har enligt GDPR.
Grundläggande rättigheter - Rätt till information
Om företaget har fått personuppgifter om den registrerade direkt från den registrerade själv, gäller artikel 13 i GDPR. Om företaget har fått personuppgifterna från någon annan än den registrerade, gäller artikel 14 i GDPR. Dessa artiklar reglerar vad informationen minst ska innehålla.
Tidpunkten för att informera de registrerade
- Artikel 13 GDPR: Om företaget har fått personuppgifterna direkt från den registrerade, ska företaget informera om behandlingen i samband med att företaget tar emot personuppgifterna.
- Artikel 14 GDPR: Om företag samlar in personuppgifterna från en annan källa än den registrerade, ska företaget ge informationen:
- Inom en rimlig tid räknat från och med mottagandet, dock maximalt inom 1 månad. Vid bedömningen av rimlig tid ska företaget beakta de särskilda omständigheterna för behandlingen av personuppgifterna som föreligger. Det krävs således en specifik bedömning i varje enskilt fall;
- Ifall företaget ska behandla personuppgifterna för att kommunicera med den registrerade, ska informationen om behandlingen ges senast när den första kommunikationen sker; eller
- Om företaget avser att lämna ut personuppgifterna till någon annan mottagare, ska informationen om behandlingen ges senast i samband med den första gången personuppgifterna blir utlämnade.
Om de registrerade är barn
Det är tillåtet i vissa fall för företag att behandla personuppgifter som tillhör barn utan att vårdnadshavaren ger sitt godkännande. Däremot är reglerna striktare när det gäller behandling av personuppgifter som tillhör barn. Till exempel måste företaget se till att informationen om behandlingen är lättförståelig för barnen som är de registrerade. Dessutom ska integritetsmeddelandet vara formulerat på samma språk som det nationella i landet. Ett stort internationellt företag, som bedriver en mobilapplikation med många barn som användare, informerade användarna om personuppgiftsbehandlingen på engelska i Holland. Detta var inte tillåtet och därför fick företaget betala en sanktionsavgift.
Informera de registrerade via ett Integritetsmeddelande
Det är viktigt att säkerställa att företaget ger informationen som GDPR minst kräver. Informationen bör formuleras skriftligen i ett så kallat “integritetsmeddelande”. Det är vanligt att företag publicerar sitt integritetsmeddelande på sin officiella webbplats. Denna typ av meddelande finns ofta publicerad i sidfoten på en webbplats, så att den alltid är enkel att hitta. Observera att företaget bör ha sitt integritetsmeddelande separat från andra dokument. Detta innebär att ett integritetsmeddelande inte ska vara inkluderat i exempelvis allmänna villkor eller liknande.
Innehåll i ett integritetsmeddelande
Exempelvis ska ett integritetsmeddelande innehålla information om följande till de registrerade om företagets behandling av personuppgifter:
Vem som är personuppgiftsansvarig och kontaktuppgifter. Dessutom ska det framgå om företaget anlitar något personuppgiftsbiträde.
Vilken rättslig grund som företaget grundar behandlingen på. Till exempel samtycke, avtal med registrerade eller berättigat intresse.
Vad syftet med behandlingen är. Syftet måste vara specifikt och tydligt för de registrerade.
Hur länge företaget ska behandla och spara personuppgifterna. Det är viktigt att tänka på att företag ska radera personuppgifterna när de inte längre är nödvändiga för syftet de blev inhämtade för.
Om företaget överför personuppgifter till ett tredjeland. Med andra ord ett land utanför EU-EES-området. När ett företag överför personuppgifter till ett tredjeland, är reglerna striktare.
Vilka rättigheter som de registrerade har. Till exempel rätten till tillgång till uppgifter och rätten att radera uppgifter.
Företag som får personuppgifter på ett annat sätt än direkt från den registrerade, ska informera de registrerade om hur de samlat in personuppgifterna.
Ett företag behöver inte alltid överlämna information till registrerade
Här är exempel på några situationer där ett företag inte behöver överlämna information om behandlingen till registrerade:
- Ifall en registrerad redan har tillgång till informationen. Till exempel om informationen blir presenterad varje gång en person loggar in på sitt konto på en betaltjänst.
- Om företaget samlar in personuppgifter från en annan källa och det skulle vara oproportionerligt, alternativt omöjligt att ge tillgång till informationen. Detta gäller framförallt när en behandling av personuppgifter sker för vetenskapliga forskningsändamål, historiska forskningsändamål eller arkivändamål som är av allmänt intresse.
- Om utlämnande eller erhållande av personuppgifter uttryckligen har sin grund i en lag som den registrerade omfattas av, under förutsättning att den lagen fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen; eller
- I det fall ett företag måste hålla personuppgifterna i fråga konfidentiella på grund av en lag som företaget omfattas av. Det vill säga, att företaget är bunden av en lagstadgad förpliktelse att iaktta sekretess avseende de behandlade personuppgifterna i fråga.
Fler rättigheter i GDPR
Rätt till tillgång
En individ har rätt att begära att få tillgång till sina personuppgifter som ett företag behandlar. Vid en sådan begäran, ska företaget tillhandahålla sådan tillgång. Företaget ska bland annat informera vilka kategorier av personuppgifter som företaget behandlar, syftet med behandlingen, hur länge lagringstiden är och hur insamlingen har skett. Dessutom ska företaget överlämna en kopia av de behandlade personuppgifterna som tillhör den registrerade som lämnade in begäran om tillgången.