I kjølvannet av personopplysningsloven (GDPR) har vi sett en betydelig styrking av enkeltpersoners rettigheter over egne data. Et viktig element i GDPR er artikkel 13, som omhandler plikten til å gi den registrerte informasjon om hvem som samler inn opplysningene, hvorfor de samles inn og hva de skal brukes til.
Artikkel 13 sikrer at den registrerte blir informert fra start av om hvordan opplysningene håndteres, noe som bidrar til åpenhet og individuell kontroll over egne opplysninger.
Hva innebærer artikkel 13?
Artikkel 13 i personopplysningsloven omhandler den situasjonen der du som behandlingsansvarlig samler inn personopplysninger direkte fra den registrerte. Plikten til informasjon innebærer at du på eget initiativ må gi den registrerte følgende informasjon i en klar og forståelig form:
- Identitet og kontaktopplysninger til den behandlingsansvarlige. Hvis du har utnevnt et personvernombud, må du også oppgi kontaktinformasjonen til vedkommende.
- Formålet med behandlingen av personopplysningene og det rettslige grunnlaget for behandlingen.
- Hvis behandlingen er basert på artikkel 6, behandlingens lovlighet, nr. 1 bokstav f), som omhandler berettigede interesser for innsamling av opplysninger, må den registrerte informeres om disse berettigede interessene.
- Hvis du på tidspunktet for datainnsamlingen vet at personopplysningene vil bli utlevert til en tredjepart, må du informere den registrerte om dette.
- Hvis personopplysningene overføres til et tredjeland, må dette opplyses sammen med informasjon om hvorvidt det er et trygt eller utrygt tredjeland, og hvorfor overføringen finner sted.
For å sikre en rettferdig og gjennomsiktig databehandling må du som databehandler også gi den registrerte informasjon om:
- Perioden personopplysningene skal lagres, eller alternativt kriteriene som brukes for å fastsette perioden hvis den spesifikke perioden ikke er kjent.
- Den enkeltes rett til å be om innsyn i, retting eller sletting av personopplysninger og retten til å begrense eller motsette seg behandling.
- Retten til når som helst å trekke tilbake samtykket uten at det påvirker lovligheten av behandlingen basert på samtykke før tilbaketrekkingen.
- Retten til å klage til en tilsynsmyndighet.
- Om den registrerte er forpliktet til å gi opplysningene i henhold til lov, avtale eller lignende, og mulige konsekvenser av ikke å gjøre det.
- Informasjon om bruk av automatiserte beslutningsprosesser, inkludert profilering, samt en forklaring på hvordan prosessene fungerer og hvilken betydning og mulige konsekvenser de har for den registrerte.
For å oppfylle opplysningsplikten er det viktig at du som behandlingsansvarlig gir informasjonen til den registrerte. Det er ikke nok å ha informasjonen på et nettsted der den registrerte må finne den selv - du må aktivt gi den til vedkommende. Hvis du for eksempel samler inn personopplysninger via organisasjonens nettsted, kan den faktiske informasjonen gis ved hjelp av tekst i en popup-melding. Her kan den primære informasjonen være tilgjengelig, og du kan også gi lenker til mer detaljert informasjon.
Informasjon ved nytt formål
Som behandlingsansvarlig er det viktig å forstå at hvis du ønsker å bruke innsamlede personopplysninger til noe annet enn det opprinnelig angitte formålet, må du først informere den registrerte om det nye formålet. Dette må gjøres før du påbegynner den nye behandlingen.
I tillegg er det nødvendig å gi all relevant informasjon i forbindelse med denne nye bruken for å sikre åpenhet.
Når det er sagt, bør du som behandlingsansvarlig også være klar over at informasjonsplikten ovenfor fravikes hvis den registrerte allerede har blitt informert om de spesifikke detaljene i datainnsamlingen, formålet med behandlingen og annen relevant informasjon. Hvis en bruker for eksempel har blitt fullt ut informert om hvordan opplysningene vil bli brukt når han eller hun registrerer seg for en tjeneste, er det ikke nødvendig å informere om de samme detaljene på nytt ved fremtidig behandling.
LES OGSÅ: Personopplysningsloven: Plikter og rettigheter
