En av de grundläggande principerna i GDPR är principen om öppenhet1, vilken bland annat innebär ett krav på att registrerade får tillgång till information vid personuppgiftsbehandlingen i lättillgängligt format, kommunicerat på ett klart och tydligt sätt. Företag har en långtgående skyldighet att tillhandahålla den registrerade information i skriftlig form.2 EDPB rekommenderar att företag tillhandahåller en s.k. personuppgiftspolicy på sin hemsida,3 i vilken företaget beskriver hur personuppgifterna behandlas. Det här inlägget syftar till att utreda vilka komponenter en personuppgiftspolicy bör innehålla och vad man bör tänka på när man utformar en egen.

 

Publicerad 3 maj 2021

 

Varför behövs en personuppgiftspolicy?

GDPR ålägger företag en långtgående skyldighet att informera den registrerade vid behandling av dennes personuppgifter. Utgångspunkten är att informationen ska tillhandahållas skriftligt.4 Informationen ska lämnas då personuppgifterna samlas in, alternativt inom en månad från det att personuppgifterna erhålls, beroende på om personuppgifterna samlas in från den registrerade eller erhålls från någon annan.5 Vilken information den registrerade har rätt till uppställs i artikel 12–14. GDPR föreskriver att information och kommunikation, liksom villkoren för utövandet av den registrerades rättigheter ska vara klara och tydliga. Av artikel 13 framgår vilken information som ska ges då personuppgifter insamlas från den registrerade. Artikel 14 föreskriver motsvarande men då personuppgifter erhålls från annan än den registrerade, exempelvis från en annan personuppgiftsansvarig. Informationsskyldigheten är långtgående och det är omfattande information som ska lämnas till den registrerade.

GDPR föreskriver inte i vilket format informationen ska hållas tillgänglig men uppställer ett krav på att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att informationsskyldigheten fullgörs.6 Syftet med en personuppgiftspolicy är att presentera en sammanställning av information nödvändig för att uppfylla det stadgade kravet på information. En personuppgiftspolicy är helt enkelt en omfattande beskrivning av hur ett företag behandlar personuppgifter. Notera att begreppet personuppgiftspolicy alltså inte förekommer i GDPR utan har kommit att användas i praktiken för att benämna sammanställningen av information. Synonymt används exempelvis integritetspolicy, privacy statement, Data Protection Notice m.fl. I det här inlägget har vi valt att använda personuppgiftspolicy genomgående.

 

Hur ska en personuppgiftspolicy utformas?

Det finns stor frihet att välja hur en personuppgiftspolicy ska utformas. GDPR uppställer dock krav på att informationen ska tillhandahållas skriftligt i koncis, klar och tydlig, begriplig och lätt tillgänglig form, och författas på ett klart och tydligt språk. Det senare gäller särskilt då informationen är riktad till barn.

Avseende form innebär det att policyn ska vara kärnfull och kortfattad. Det ska vara lätt för den registrerade att ta del av information i sin helhet. Personuppgiftspolicyn bör vara separat och skild från exempelvis allmänna villkor. Den bör vara väl strukturerad. Fördelaktigt är att göra den skiktad, då det underlättar för den registrerade att navigera i texten. Det innebär att policyn delas upp i olika s.k. lager. Det första lagret ger en översikt över den mest relevanta informationen, och följs därefter av lager som innehåller mer utförliga redogörelse. Det första lagret bör innehålla den mest relevanta informationen så som uppgifter om ändamålet med behandlingen, vem som är personuppgiftsansvarig samt den registrerades rättigheter. Vidare bör det ge en överblick över innehållet i policyn och upplysningar om var mer detaljerad information finns att tillgå.7 Övriga lager kan exempelvis delas upp utefter de olika kategorier information som ska tillhandahållas den registrerade.

Vad gäller kravet på begriplig beror det delvis av vilken målgrupp personuppgifterna är hänförliga till. Exempelvis kan professionellt yrkesverksamma generellt antas ha större förmåga att tillgodogöra sig information än barn. Informationen ska vara så preciserad som möjligt, och inte lämna utrymme för frågetecken. De registrerade bör på förhand kunna avgöra syftet med och konsekvenserna av behandlingen, vilket inte ska komma som en överraskning för dem i ett senare skede. Likväl bör registrerade i enlighet med rättviseprincipen i art 5.1. göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen.8

 

Vad ska ingå i en personuppgiftspolicy?

Som tidigare nämnts framgår den registrerades rätt till information framförallt av artikel 13 och 14. Artiklarna uppräknar vad informationen till den registrerade ska innefatta.

Uppräknat ska följande uppgifter inkluderas:

  • identitet och kontaktuppgifter till den personuppgiftsansvariga,
  • eventuella kontaktuppgifter till dataskyddsombud,
  • ändamålet med behandlingen och vilket lagstöd som finns för behandling,
  • om behandlingen är baserad på berättigat intresse,
  • mottagarna av personuppgifterna,
  • huruvida uppgifterna kommer att överföras till tredjeland och i sådant fall uppgifter om adekvat skyddsnivå och eventuella skyddsåtgärder,
  • behandlingstid,
  • den registrerades rättigheter,
  • att samtycke när som helst kan återkallas om behandlingen grundas på samtycke,
  • rätten att inge klagomål till tillsynsmyndigheten,
  • om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav alternativt ett krav som är nödvändigt för att ingå ett avtal,
  • huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämna, samt
  • förekomsten av automatiserat beslutsfattande.

Erhålls uppgifterna från annan än den registrerade ska informationen även innefatta vilka kategorier personuppgiftsbehandlingen gäller. Sammanfattat kan sägas att policyn i princip ska innehålla all information som kan vara relevant för den registrerade att veta vid en personuppgiftsbehandling.

 

Hur och när ska personuppgiftspolicyn tillhandahållas?

Kravet på att informationen ska hållas lätt tillgänglig innebär i princip att den registrerade inte ska behöva leta efter informationen. Det ska vara uppenbart var och hur informationen kan tillgås. Utöver att personuppgiftspolicyn bör finnas publicerad på hemsidan krävs att den tillhandahålls den registrerade. Som ovan nämnts ska den registrerade informeras vid tidpunkten för insamlandet av personuppgifter. En god utgångspunkt bör vara att personuppgiftspolicyn går att nå från samma sida som personuppgifterna samlas in antingen bifogad eller via länk. Exempelvis kan man använda sig av ett pop-up-meddelande när registrerade fyller i online-formulär.9 Insamlas inte personuppgifterna direkt från den registrerade ska den registrerade förses med information inom en rimlig period efter att personuppgifterna har erhållits, dock senast inom en månad, alternativt, om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kontakten.10

 

Sammanfattning

En personuppgiftspolicy syftar till att säkerställa att företaget fullgör den långtgående informationsskyldigheten som stadgas i GDPR. En policy är en beskrivning över hur ett företag behandlar och hanterar personuppgifter. I GDPR föreskrivs uttryckligen vilka uppgifter som ska inkluderas i den information som tillhandahålls den registrerade. Vidare krävs att informationen hålls lätt tillgänglig för den registrerade samt att den förmedlas på ett klart och tydligt språk. Den registrerade ska genom att ta del av informationen på förhand kunna avgöra syftet med och konsekvenserna av behandlingen samt göras medveten om vilka risker och rättigheter som aktualiseras i samband med behandlingen. GDPR föreskriver en tidsfrist för när informationen ska tillhandahållas. Insamlas uppgifterna från den registrerade ska informationen ges i samband med insamlingen. Erhålls uppgifterna från någon annan än den registrerade ska den registrerade förses med information inom en månad, alternativt vid första tillfället då den registrerades kontaktas.

 

Frågor?

GDPR Hero är ett verktyg för att på ett smidigt sätt uppfylla olika krav som finns i GDPR. Boka gärna en demo här för att få se hur!

Har ni några GDPR-frågor i er verksamhet? Ring oss gärna på 046 – 273 17 17 eller mejla oss på info@gdphero.se!

 

Johanna Wetterberg

info@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Kontakta oss om ni vill ha konkret rådgivning för just er situation.

Fotnoter

  1. Se art 5.1.a GDPR.
  2. Se art 12.1 GDPR.
  3. Se p. 11 WP260 rev. 01.
  4. Se art 12.1 GDPR.
  5. Se art 13 och 14 GDPR.
  6. Se art 12 GDPR.
  7. p. 36 WP260 rev. 01.
  8. p.10 WP260 rev. 01.
  9. Se p. 11 WP260 rev. 01.
  10. Se art 14.3.a-b.
Share This