Innhold

Personvernerklæring - Informasjon til de registrerte om behandling av personopplysninger

Personvern og GDPR

Et av grunnkravene for behandling av personopplysninger er at behandlingen skal være rettferdig ("fair") og åpent. Dette betyr blant annet at bedriften skal informere de registrerte om behandlingen av personopplysninger og om de rettighetene de registrerte har.

Før man kan gi informasjon er det nyttig å ha svar på en del spørsmål, som bedriften vil finne igjen i skjemaet der personopplysninger er kartlagt.

Hva slags personopplysninger har bedriften? Hvem innhenter opplysningene? Hvordan blir opplysningene innhentet? Hvorfor blir opplysningene hentet inn? Hvordan blir opplysningene brukt? Hvem blir opplysningene utlevert til? Hva er konsekvensene for de registrerte? Vil bruken av opplysningene føre til protester eller klager fra de registrerte? 

  1. Unntak fra plikten til å informere
  2. Når skal bedriften gi informasjon?
  3. Kommer opplysningene fra den registrerte eller fra andre?
  4. Hva skal man informere om?
  5. Hvordan skal man gi informasjon?

Unntak fra plikten til å informere

Det gjelder noen få unntak fra plikten til å informere de registrerte. Unntakene er ganske snevre. Bedriften bør vurdere det nøye hvis den vurderer å benytte unntakene.

Det er ikke nødvendig å informere en person som allerede har fått informasjonen. Det kan for eksempel gjelde en eksisterende kunde bedriften får opplysninger fra eller ansatte, som arbeidsgiver løpende har flere opplysninger om, eksempelvis ved månedlige lønnsutbetalinger.

Når opplysningene ikke kommer fra den registrerte selv gjelder det dessuten unntak fra plikten til å informere så langt

  • det er umulig eller uforholdsmessig vanskelig
  • informasjonspliktene trolig vil gjøre det umulig eller i alvorlig grad vil hindre at man når målene med behandlingen av personopplysningene
  • innsamling eller utlevering uttrykkelig følger av lovforpliktelser som gjelder for den behandlingsansvarlige, når reglene inneholder egnede tiltak for å verne den registrertes berettigede interesser
  • personopplysningene må holdes fortrolige som følge av lovpålagt taushetsplikt

Når skal bedriften gi informasjon?

Det enkleste vil ofte være å ha all informasjonen tilgjengelig til enhver tid. De formelle kravene er slik:

  • Når opplysningene kommer fra den registrerte selv, skal den gi informasjon samtidig med innsamlingen.
  • Når opplysningene kommer fra noen andre enn den registrerte selv, skal bedriften gi informasjonen til den registrerte innen rimelig tid – men senest innen én måned – etter at bedriften har samlet inn opplysningene.

Et par særregler gjelder: Hvis bedriften skal kommunisere med den registrerte, må informasjonen likevel gis samtidig med den første kommunikasjonen. Og skal bedriften utlevere personopplysningene til noen, skal de registrerte ha informasjon når dette skjer.

Kommer opplysningene fra den registrerte eller fra andre?

Hva bedriften må videre må informere om avhenger litt av hvor opplysningene kommer fra.

Når personopplysningene kommer fra den registrerte selv, skal bedriften informere om det er frivillig for den registrerte å gi opplysningene.

Hvis det den registrerte har plikt til å gi opplysningene, må bedriften informere om hva som er grunnlaget: Følger plikten av en lov eller av en avtale, eller er det en betingelse for at bedriften vil inngå en avtale? Bedriften må også informere om mulige konsekvenser av å nekte å gi opplysningene.

Hvis opplysningene ikke kommer fra den registrerte selv må bedriften informere om:

  • De kategorier av opplysninger det er snakk om.
  • Hvor opplysningene kommer fra og om kilden er offentlig tilgjengelig

Når man skal utforme en personvernerklæring kan det være lurt å ha foran seg de seks grunnkravene som gjelder for all behandling av personopplysninger.

Les mer om grunnkravene i vår innføringsartikkel.

Hva skal man informere om?

Bedriften skal alltid informere om:

1. Foretaksnavn og kontaktopplysninger

Slik at den registrerte kan kontakte bedriften. Har
bedriften personvernombud, skal man oppgi hvordan ombudet kan kontaktes.

2. Formålet eller formålene med behandlingen av personopplysningene

For eksempel: "Vi behandler opplysninger om … fordi …" Hvis
bedriften senere vil behandle opplysningene med andre formål, må den informere om de nye formålene.

3. Behandlingsgrunnlaget for behandlingen.

For eksempel "Vår behandling av opplysninger om ... er basert på ...". Hvis det er bedriftens berettigede interesse / interesseavveining som er
behandlingsgrunnlag, skal man i tillegg omtale de berettigede interessene.

4. Hvem som eventuelt er mottaker av personopplysningene.

Mottakere kan være for eksempel databehandlere, offentlige myndigheter eller tredjeparter. Som utgangspunkt bør man oppgi navnene på mottakerne. Blir det for omfattende, kan man i stedet karakterisere grupper av mottakere og/eller hva de bruker opplysningene til.

5. Om bedriften vil utlevere opplysninger til en mottaker i et land utenfor EØS-området.

Her gjelder det nærmere regler bedriften må sette seg inn i hvis det er aktuelt.

6. Oppbevaringsperiode for opplysningene.

Hvis bedriften ikke vet dette nøyaktig, skal den i stedet beskrive hvordan oppbevaringsperioden vil bli fastlagt for de ulike opplysningene (en henvisning til "så lenge det er nødvendig" er ikke tilstrekkelig).

7. De registrertes rettigheter til å
  • be om tilgang til opplysningene som er lagret om dem
  • be om retting av opplysninger som er uriktige
  • be om sletting av opplysninger
  • be om begrensning av behandling
  • protestere mot at opplysninger blir behandlet
  • be om utlevering av opplysninger til seg selv eller til andre
  • trekke tilbake eventuelle samtykker til behandling
  • klage til Datatilsynet i Norge (eller tilsvarende organ der den registrerte bor eller der regelbrudd har funnet sted) på behandling av personopplysninger
8. Om det finner sted automatiserte individuelle avgjørelser (blant annet profilering).

I så fall skal bedriften informere om den underliggende logikken og betydning / forventede konsekvenser for de registrerte av slik behandling.

 

Bedriften har ikke noen plikt til å oppgi alle typene av personopplysninger den behandler. Bedriften bør likevel vurdere om det er informasjon de registrerte vil forvente å finne i erklæringen.

Hvordan skal man gi informasjon?

Meningen med informasjonen er at de registrerte skal forstå hva behandlingen av opplysninger går ut på og hvilken risiko behandlingen kan innebære for dem. Informasjonen skal derfor være kortfattet, åpen, forståelig og lett tilgjengelig, og den skal bli gitt på et klart og enkelt språk.

Noen råd er derfor:

  • hold informasjonen om personopplysninger klart atskilt fra annen informasjon, for eksempel om salgsbetingelser eller ansettelsesavtalen
  • tilpass informasjonen målgruppene, for eksempel hvis det er barn eller ungdom er blant de registrerte
  • gjør informasjonen tilgjengelig der det er nærliggende for de registrerte å finne den
  • skriv informasjonen slik at det er mulig for leseren å forstå innholdet i den. Unngå typiske juridiske og tekniske uttrykk og abstrakte ord samt ord som leseren selv må tolke.

For ansatte vil en personalhåndbok (fysisk eller digital) være et nærliggende sted å finne informasjonen. I en nettbutikk vil en tydelig henvisning i bestillingsskjemaet være naturlig. Ved salg over disk kan man bruke et oppslag i butikken eller en brosjyre. Har bedriften egen hjemmeside, er det anbefalt at personvernerklæringen ligger permanent der. Overfor kontaktpersoner hos bedriftskunder og leverandører kan man for eksempel ta inn i e-postsignaturer en tydelig lenke til personvernerklæring på bedriftens hjemmeside.

Ønsker du å sette deg grundigere inn i hva som gjelder om åpenhet og personvernerklæringer, kan du lese Artikkel 29-gruppens "Guidelines on Transparency under Regulation 2016/679", som er under ferdigstillelse.

 

  • Skisse til personvernerklæring

    I dette dokumentet finner du utgangspunkter for tekster til bruk for å informere dem du behandler personopplysninger om. Vi understreker at det er opp til bedriften å tilpasse dokumentet til bedriftens egne forhold