Dataskyddsförordningen ställer strikta krav på den information som personuppgiftsansvariga ska lämna till de registrerade. Utöver att behöva förstå vilken information som ska utlämnas måste den personuppgiftsansvarige även förstå hur informationen ska och får presenteras. Det finns större utrymme att anpassa tillhandahållandet av information till de registrerade än många tror.

Enligt öppenhetsprincipen ska all information till allmänheten eller den registrerade vara kortfattad, lättåtkomlig och lättbegriplig. Det är viktigt att göra en avvägning mellan att texten ska vara tydlig nog utan att den blir för komplex. Undvik till exempel branschspecifika begrepp som inte är nödvändiga i kontexten. En alldeles för detaljerad text är inte alltid mer lättillgänglig. Informationen ska tillhandahållas skriftligen och kan lämnas i elektronisk form, vilket har visat sig vara ett mycket populärt distributionssätt för samtliga aktörer på marknaden. I de flesta fall levereras information genom en så kallad integritetspolicy.

Integritetspolicy är ett begrepp som tillämpas för den information personuppgiftsansvariga ger online i större standardiserade dokument. Används en policy för att tillhandahålla information till registrerade måste den uppfylla de innehålls- och formkrav som GDPR ställer på informationen.

Det är viktigt att det i förväg har avgjorts vilka kategorier av registrerade och insamlingar som integritetspolicyn ska omfatta för att säkerställa att ingen information utelämnas. Dokumentet delas lämpligen in i kapitel efter olika kategorier av registrerade så att den registrerade lätt förstår vilken del av informationen som gäller just denne. Det är viktigt att tänkta på att information till registrerade vars personuppgifter samlats in från annan källa enbart under vissa omständigheter kan tillhandahållas via standarddokument med tanke på att kategorierna av personuppgifter och källorna varifrån de inhämtas ofta är olika från registrerad till registrerad. Det är därför enbart lämpligt att ge informationen i standardform om det alltid rör sig som samma kategorier av registrerade och personuppgifter samt att källan alltid är densamma.

Precis som med de flesta texter som publiceras på företags hemsidor inkluderas marknadsföringstext i integritetspolicys. Kravet på att information till den registrerade ska vara kortfattad, lättåtkomlig och lättbegriplig begränsar utrymmet för att använda integritetspolicys i PR-syfte. Det är därför viktigt att göra en bedömning huruvida integritetspolicyns utformning och innehålla uppfyller kraven enligt GDPR innan publicering.

Läs mer om informationsskyldigheten här

Beatrice Edineus
Biträdande jurist