Att dataskyddsförordningen, GDPR, trädde ikraft den 25 maj i år har gått få förbi. Det arbete och den omställning som förordningen inneburit för många företag kom sannerligen som en överraskning. De krav som dataskyddsförordningen ställer är dock sådana som i praktiken innebär ett löpande och rutinmässigt arbete som syftar till att ständigt utveckla och förbättra behandlingen av personuppgifter. Utan praxis är det i praktiken inte så enkelt som skulle kunna önskas att tillämpa GDPR. Det krävs därför viss vägledning och kunskap för att få översikt över de krav GDPR ställer på företag.
En av de grundläggande åtgärderna företag som är personuppgiftsansvariga måste vidta är att informera de identifierade eller identifierbara fysiska personer, som av förordningen kallas ”registrerade”, om företagets behandling av den registrerades personuppgifter. Den registrerade har rätt att kostnadsfritt erhålla information om behandlingen. Enligt öppenhetsprincipen ska all information till den registrerade vara kortfattad, lättåtkomlig och lättbegriplig.
Det finns vissa skillnader i den information som ska tillhandahållas den registrerade beroende på hur informationen har samlats in. För de fall personuppgifter insamlas direkt från den registrerade ska informationen lämnas i samband med insamlingen. Det är dock inte nödvändning att åt den registrerade tillhandahålla information som den redan har, varför många företag väljer att delge den registrerade information i form av standarddokument.
Den registrerade ska informeras om
- personuppgiftsansvariges och, i tillämpliga fall, dataskyddsombudets identitet och kontaktuppgifter,
- ändamålen med och de lagliga grunderna för behandlingen,
- kategorier av mottagare av personuppgifterna i tillämpliga fall,
- om den personuppgiftsansvarige avser att överföra personuppgifter utanför EU,
- lagringstid eller kriterierna för lagringstiden,
- vilka rättigheter den registrerade har samt hur dessa kan utövas,
- att den registrerade kan återkalla samtycken,
- rätten att inge klagomål till tillsynsmyndighet,
- om det finns krav i lag eller avtal att personuppgifterna överlämnas och konsekvenserna av att så inte sker samt förekomsten av automatiserat beslutsfattande inbegripet profilering.
För de fall personuppgifter insamlas från annan källa än den registrerade ska informationen tillhandahållas den registrerade senast en månad från insamling eller inom en rimlig tidsperiod därefter, beroende på omständigheterna i det enskilda fallet. Utöver informationen ovan ska det även informeras om de kategorier av personuppgifter som insamlats samt från vilken eller vilka källor informationen insamlats.
De krav som GDPR ställer och som redogjorts för ovan kan ofta tillgodoses genom att företaget håller en välformulerad och uppdaterad integritetspolicy samt att i kontakt med registrerade hänvisar till policyn på företagets hemsida.
Beatrice Edineus
Biträdande jurist