I kølvandet på persondataforordningen (GDPR) har vi set en betydelig styrkelse af privatpersoners rettigheder over egne data. Et vigtigt element i GDPR er Artikel 13, som omhandler pligten til at give den registrerede en række oplysninger om, hvem der indsamler data, hvorfor de indsamles og hvad de skal bruges til.
Artikel 13 sikrer, at den registrerede fra starten er informeret om, hvordan oplysningerne håndteres, hvilket understøtter gennemsigtigheden og individets kontrol over egne data.
Hvad indebærer Artikel 13?
Artikel 13 i GDPR omhandler den situation, hvor du som dataansvarlig indsamler personoplysninger direkte hos den registrerede. Oplysningspligten indebærer, at du på eget initiativ skal give den registrerede følgende informationer i en klar og forståelig form:
- Den dataansvarliges identitet og kontaktoplysninger. Hvis du har udpeget en databeskyttelsesrådgiver (DPO), skal dennes kontaktoplysninger også gives.
- Formålene med den behandling, personoplysningerne er bestemt til, samt det retlige grundlag for behandlingen.
- Hvis behandlingen er baseret på Artikel 6, stk. 1, litra f, der omhandler legitime interesser for dataindsamling, skal den registrerede oplyses som disse legitime interesser.
- Hvis du på tidspunktet for dataindsamlingen ved, at personoplysningerne skal videregives til tredjeperson, skal du oplyse den registrerede herom.
- Hvis personoplysningerne overføres til et tredjeland, skal der oplyses om dette sammen med informationer om, hvorvidt det er et sikkert eller usikkert tredjeland, og hvorfor overførslen finder sted.
For at sikre en fair og gennemsigtig databehandling skal du som databehandler også give den registrerede oplysninger om:
- Det tidsrum, personoplysningerne vil blive opbevaret, alternativt de kriterier der bruges til at fastlægge perioden, hvis det specifikke tidsrum ikke kendes.
- Vedkommendes rettigheder til at anmode om adgang til, rettelse eller sletning af personoplysninger og retten til at begrænse eller gøre indsigelse mod behandlingen.
- Retten til at trække samtykke tilbage når som helst, uden at det påvirker lovligheden af behandling baseret på samtykke før tilbagetrækningen.
- Retten til at indgive en klage til en tilsynsmyndighed.
- Hvorvidt den registrerede er forpligtet til at afgive oplysningerne som følge af lov, kontrakt eller lignende samt mulige konsekvenser af ikke at gøre dette.
- Informationer om brugen af automatiserede beslutningsprocesser, herunder profilering, samt en forklaring om, hvordan processerne fungerer, og hvad betydningen og de mulige konsekvenser er for den registrerede.
For at leve op til oplysningspligten er det vigtigt, at du som dataansvarlig giver oplysningerne til den registrerede. Det er ikke tilstrækkeligt at have oplysningerne liggende på en hjemmeside, hvor den registrerede selv skal finde dem – du skal aktivt give dem til vedkommende. Indsamler du eksempelvis personoplysninger via organisationens hjemmeside, kan de aktuelle oplysninger gives ved hjælp af tekst i en pop-up meddelelse. Her kan de primære informationer være tilgængelige, og derudover kan du tilknytte links til uddybende oplysninger.
Informationer ved nyt formål
Som dataansvarlig er det relevant at forstå, at hvis du ønsker at bruge indsamlede personoplysninger til noget andet end det oprindeligt angivne formål, skal du først informere den registrerede om det nye formål. Det skal gøres, før du påbegynder den nye behandling.
Derudover er det nødvendigt at give alle relevante oplysninger i forhold til denne nye anvendelse for at sikre gennemsigtigheden.
Når det er sagt, skal du som dataansvarlig også være opmærksom på, at ovenstående oplysningspligt frafalder, hvis den registrerede allerede er informeret om de specifikke detaljer vedrørende dataindsamling, formålet med behandlingen og andre relevante oplysninger. Hvis en bruger for eksempel ved tilmelding til en tjeneste er blevet fuldt informeret om, hvordan vedkommendes data vil blive brugt, så er det ikke påkrævet at informere igen om de samme detaljer ved fremtidige behandlinger.