Som resultat av dataskyddsförordningen (GDPR) har vi sett ett betydligt starkare skydd av privatpersoners rättigheter över sina egna uppgifter. Ett centralt inslag i GDPR är artikel 13, som ålägger den personuppgiftsansvarige att ge tydlig och begriplig information till den registrerade om vem som samlar in uppgifterna, syftet med insamlingen och hur de ska användas.
Artikel 13 säkerställer att den registrerade från början är informerad om hur uppgifterna hanteras, vilket stödjer transparens och individens kontroll över sina egna uppgifter.
Vad innebär Artikel 13?
Artikel 13 i GDPR behandlar den situation där du som personuppgiftsansvarig samlar in personuppgifter direkt från den registrerade. Informationsplikten innebär att du på eget initiativ ska ge den registrerade följande information i en tydlig och begriplig form:
- Den personuppgiftsansvariges identitet och kontaktuppgifter. Om du har utsett ett dataskyddsombud (DPO) ska även dennes kontaktuppgifter anges.
- Syftet med behandlingen av personuppgifterna samt den rättsliga grunden för behandlingen.
- Om behandlingen baseras på artikel 6.1 f, som handlar om legitima intressen för insamling av data, ska den registrerade informeras om dessa legitima intressen.
- Om du vid tiden för insamlingen av personuppgifterna vet att uppgifterna ska delas med tredje part, ska du informera den registrerade om detta.
- Om personuppgifterna överförs till ett tredjeland, ska du ge information om detta, tillsammans med upplysningar om huruvida det är ett säkert eller osäkert tredjeland och varför överföringen sker.
För att säkerställa en rättvis och transparent databehandling ska du som personuppgiftsansvarig även ge den registrerade information om:
- Den period under vilken personuppgifterna kommer att lagras, eller de kriterier som används för att fastställa perioden om den specifika perioden inte är känd.
- Den registrerades rättigheter att begära tillgång till, rättelse eller radering av personuppgifter samt rätten att begränsa eller göra invändningar mot behandlingen.
- Rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen baserat på samtycke innan återkallelsen.
- Rätten att inge ett klagomål till en tillsynsmyndighet.
- Om den registrerade är skyldig att lämna uppgifterna enligt lag, avtal eller liknande och de möjliga konsekvenserna av att inte lämna dessa uppgifter.
- Information om användning av automatiserade beslutprocesser, inklusive profilering, samt en förklaring av hur processerna fungerar, vad betydelsen är och de möjliga konsekvenserna för den registrerade.
För att uppfylla informationsplikten är det viktigt att du som personuppgiftsansvarig ger informationen till den registrerade. Det är inte tillräckligt att ha informationen på en hemsida där den registrerade själv ska hitta den – du måste aktivt ge den till personen. Om du exempelvis samlar in personuppgifter via organisationens hemsida kan de relevanta uppgifterna ges genom text i en pop-up-meddelande. Här kan de huvudsakliga informationerna vara tillgängliga, och du kan också inkludera länkar till ytterligare detaljerad information.
Information vid nytt syfte
Om du som personuppgiftsansvarig planerar att använda insamlade personuppgifter för ett annat syfte än det ursprungligen angivna, måste du informera den registrerade om detta i förväg. Detta ska göras innan den nya behandlingen påbörjas.
Dessutom är det nödvändigt att ge all relevant information angående den nya användningen för att säkerställa transparens.
Det ska dock påpekas att du som personuppgiftsansvarig inte behöver informera på nytt om den registrerade redan har fått information om de specifika detaljerna för datainsamlingen, syftet med behandlingen och andra relevanta upplysningar. Om en användare till exempel vid registrering till en tjänst redan blivit fullständigt informerad om hur deras uppgifter kommer att användas, är det inte nödvändigt att ge samma information igen vid framtida behandlingar.
LÄS OCKSÅ: Dataskyddsförordningen: Skyldigheter och rättigheter
