Hvad er oplysningspligten?
Din virksomhed har en oplysningspligt jf. GDPR-reglerne, som kræver, at du skal informere om behandlingen af personoplysninger til dem, du behandler oplysninger omkring..
Denne oplysningspligt skal efterleves inden, at behandlingen af personoplysninger påbegyndes, og gælder for alle behandlingerne, som din organisation foretager sig.
Oplysningspligten er derfor et betydeligt krav i GDPR-reglerne, som du skal sikre dig, at din organisation efterlever.
Hvorfor denne oplysningspligt?
Det er et centralt princip inden for databeskyttelse, at man informerer sine brugere om hvilke personoplysninger man vil behandle, samt med hvilke midler, og til hvilke formål. Med denne information kan brugeren træffe en oplyst beslutning om hvorvidt, at de accepterer denne behandling.
Derfor er det også inkluderet, som et krav i GDPR i artikel 13 og 14.
Artikel 13 beskriver kravene til din oplysningspligt, hvis du behandler data, som brugeren selv har givet dig fx ved at sende oplysninger til brug for udarbejdelsen af en kontrakt eller ved at tilmelde sig et nyhedsbrev.
Artikel 14 beskriver kravene til din oplysningspligt for de tilfælde, hvor du indhenter data om brugeren via andre midler fx en offentligt tilgængelig database.
Den primære forskel mellem direkte og indirekte indsamling ligger således i, hvor dataene kommer fra, og hvornår informationen skal gives.
Direkte indsamling (artikel 13)
Artikel 13 omhandler situationer, hvor persondata indsamles direkte fra den registrerede.
Dette sker typisk, når en person selv afgiver sine oplysninger, for eksempel ved udfyldning af en kontaktformular på en hjemmeside, tilmelding til et nyhedsbrev eller ved køb af en vare.
I disse tilfælde skal organisationen på tidspunktet for indsamlingen give den registrerede en række oplysninger. Disse inkluderer formålet med databehandlingen, kontaktoplysninger på den dataansvarlige, modtagere af persondata, opbevaringsperiode samt information om de registreredes rettigheder, såsom retten til indsigt, berigtigelse og sletning af data.
Indirekte indsamling (artikel 14)
Artikel 14 gælder, når persondata indsamles fra en anden kilde end den registrerede selv. Dette kan være tilfældet, når en organisation får adgang til persondata gennem en tredjepart fx et offentligt register med dårlige betalere, helbredsdata til brug for en videnskabelig undersøgelse, mv.
I sådanne situationer skal du informere den registrerede inden for en rimelig tidsramme, men senest inden for en måned efter modtagelsen af dataene. Informationen skal indeholde de samme elementer som ved direkte indsamling, men også oplyse om kilden til denne indhentning af personoplysninger.
Oplysningspligt ved ændringer i en behandling
Oplysningspligten er ikke kun begrænset til det tidspunkt, hvor persondata først indsamles.
Hvis du senere ønsker at behandle personoplysningerne til andre formål, så har du også en oplysningspligt.
Et eksempel på dette kunne være, at behandlingen af helbredsdata til en videnskabelig undersøgelse ændrer karakter undervejs, da man identificerer en forretningsmulighed, som man ønsker at forfølge. Dermed ændrer behandlingen af personoplysningerne karakter, og man skal derfor forfølgelsen af forretningsmuligheden, som en ny behandling af personoplysninger, hvormed oplysningspligten også skal efterleves på ny.
Dette sikrer en fortsat gennemsigtighed og giver de registrerede mulighed for at tage stilling til hvordan deres personlige oplysninger bruges.
Tjekliste: oplysningspligten
Du kan selv finde alle kravene for at efterleve oplysningspligten i GDPR-reglernes artikel 13 og 14, men du kan også anvende tjeklisten herunder.
Der er betydelige overlap mellem oplysningspligten angivet artikel 13 og 14, men der er også nogle mindre forskelle ift. hvordan, at du skal efterleve den alt efter om du indsamler personoplysningerne direkte fra brugeren eller via andre kilder.
|
Punkt
|
Beskrivelse
|
Oplysningspligt
|
Kortlagt i fortegnelsen
|
|
Dataansvarliges identitet og kontaktoplysninger
|
Angiv navn, adresse og kontaktoplysninger på den dataansvarlige.
|
Artikel 13, stk. 1, litra a; Artikel 14, stk. 1, litra a
|
Artikel 30, stk. 1, litra a
|
|
Kontaktoplysninger på databeskyttelsesrådgiveren (DPO)
|
Hvis en DPO er udpeget, skal kontaktoplysningerne oplyses.
|
Artikel 13, stk. 1, litra b; Artikel 14, stk. 1, litra b
|
Artikel 30, stk. 1, litra a
|
|
Formålene med behandlingen og retsgrundlaget herfor
|
Beskriv, hvorfor personoplysningerne behandles, og hvilket juridisk grundlag der er for behandlingen.
|
Artikel 13, stk. 1, litra c; Artikel 14, stk. 1, litra c
|
Artikel 30, stk. 1, litra b
|
|
De legitime interesser, der forfølges
|
Forklar de legitime interesser, hvis behandlingen er baseret på disse.
|
Artikel 13, stk. 1, litra d; Artikel 14, stk. 2, litra b
|
Artikel 30, stk. 1, litra b
|
|
Kategorier af personoplysninger
|
Angiv, hvilke typer personoplysninger der behandles.
|
Artikel 14, stk. 1, litra d
|
Artikel 30, stk. 1, litra c
|
|
Modtagere eller kategorier af modtagere
|
Oplys, hvem der modtager personoplysningerne, hvis de videregives.
|
Artikel 13, stk. 1, litra e; Artikel 14, stk. 1, litra e
|
Artikel 30, stk. 1, litra d
|
|
Overførsel til tredjelande eller internationale organisationer
|
Oplys, om personoplysningerne overføres til lande uden for EU/EØS, og hvilke sikkerhedsforanstaltninger der er truffet.
|
Artikel 13, stk. 1, litra f; Artikel 14, stk. 1, litra f
|
Artikel 30, stk. 1, litra e
|
|
Opbevaringsperiode eller kriterier herfor
|
Angiv, hvor længe personoplysningerne vil blive opbevaret, eller de kriterier, der anvendes for at fastlægge perioden.
|
Artikel 13, stk. 2, litra a; Artikel 14, stk. 2, litra a
|
Artikel 30, stk. 1, litra f
|
|
Den registreredes rettigheder
|
Oplys om retten til indsigt, berigtigelse, sletning, begrænsning af behandling, indsigelse og dataportabilitet.
|
Artikel 13, stk. 2, litra b; Artikel 14, stk. 2, litra c
|
Ej relevant
|
|
Retten til at trække samtykke tilbage
|
Oplys om muligheden for at trække samtykke tilbage til enhver tid.
|
Artikel 13, stk. 2, litra c; Artikel 14, stk. 2, litra d
|
Ej relevant
|
|
Retten til at indgive klage til en tilsynsmyndighed
|
Oplys om retten til at klage til Datatilsynet eller en anden relevant tilsynsmyndighed.
|
Artikel 13, stk. 2, litra d; Artikel 14, stk. 2, litra e
|
Ej relevant
|
|
Pligt til at give personoplysninger og konsekvenser af ikke at gøre det
|
Forklar, om den registrerede er forpligtet til at give personoplysninger, og hvilke konsekvenser det kan have, hvis dette ikke gøres.
|
Artikel 13, stk. 2, litra e;
|
Ej relevant
|
|
Kilde til personoplysningerne
|
Oplys, hvor personoplysningerne stammer fra, og om de kommer fra offentligt tilgængelige kilder.
|
Artikel 14, stk. 2, litra f
|
Ej relevant
|
|
Automatiske afgørelser, herunder profilering
|
Oplys, om der foretages automatiske afgørelser, betydningen af disse og de forventede konsekvenser for den registrerede.
|
Artikel 13, stk. 2, litra f; Artikel 14, stk. 2, litra g
|
Ej relevant
|
|
Formål med viderebehandling
|
Hvis personoplysningerne skal behandles til et andet formål end det oprindeligt indsamlet til, skal dette oplyses.
|
Artikel 13, stk. 3; Artikel 14, stk. 4
|
Artikel 30, stk. 1, litra b (nyt formål → ny behandlingsaktivitet)
|
Fortegnelse
I din fortegnelse har du oplysningerne til at kunne efterleve din oplysningspligt.
Fortegnelsen kortlægger netop alle de behandlinger af personoplysninger, som din organisation foretager sig, fx formålet med behandlingen, slette kriterier, mv., og disse kan du herefter bruge til at lave en privatlivspolitik for de enkelte behandlinger.
Det betyder også, at du ved ændringer i din fortegnelse skal sikre dig, at din oplysning til de registrerede fx brugere eller kunder, stadig er korrekt. Dermed bliver den løbende ajourførelse af din fortegnelse til et værktøj, som du kan bruge til at efterleve de forskellige krav i GDPR-reglene.
Kommunikationskrav
GDPR-reglerne har også stilistiske lovkrav til din efterlevelse af oplysningspligten, jf. GDPR artikel 12.
Oplysningen til den registrerede skal gives i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form. Herudover skal der kommunikeres i et klart og enkelt sprog, som er tilpasset modtageren af budskabet. Hvis oplysningerne gives til børn, så er dette særligt vigtigt.
Kommunikationen bør foregå skriftligt og gerne elektronisk, og hvis det efterspørges af brugeren, så kan du også efterleve oplysningspligten mundtligt.
Kort fortalt: din kommunikation skal være klar, og må ikke være unødigt juridisk, men tilgængelig og tilpasset den målgruppe, som du behandler oplysninger omkring.
Fordelene ved god oplysning
At overholde oplysningspligten er ikke kun et lovkrav – det giver også klare fordele for både din virksomhed og de mennesker, du behandler data om. Når du tydeligt informerer brugere, kunder og medarbejdere om, hvordan deres oplysninger bliver behandlet, gør du det nemt for dem at forstå og acceptere din behandling af deres data.
Med denne åbenhed og gennemsigtighed viser du respekt for deres privatliv, hvilket styrker tilliden og gør relationen mellem din virksomhed og dine interessenter stærkere.
Samtidig hjælper oplysningspligten din virksomhed med at holde styr på, hvordan I arbejder med persondata. Det kan skabe bedre interne processer og gøre jeres databehandling både mere effektiv og mere sikker.
Oplysningspligten i praksis
Med din fortegnelse i hånden, så har du flere af oplysningerne til at efterleve din oplysningspligt for hver af dine behandlingsaktiviteter. Du bør for hver af disse behandlingsaktiviteter identificere, hvordan du vil efterleve oplysningspligten i praksis, dvs. hvilken metode vil du anvende til at kommunikere til de registrerede?
Herefter bør du sikre, at du har dokumentation af din efterlevelse af oplysningspligten, hvilket du passende kan knytte en note omkring til hver af dine behandlingsaktiviteter i din fortegnelse.
Oplysningspligten efterleves typisk ved at udarbejde en privatlivspolitik, som udformes efter kravene i GDPR-reglernes artikel 12, 13 og 14, hvilket vi beskrev tidligere.
Privatlivspolitik
En enkelt privatlivspolitik
For mindre organisationer kan det være praktisk at samle sin kommunikation til den registrerede i en enkelt privatlivspolitik, som publiceres på hjemmesiden. Ved at have denne på hjemmesiden, så kan du nemt henvise hertil i din email-signatur, webformularer, mv., hvilket gør oplysningerne omkring behandlingen af personoplysninger tilgængelige for dem, som du interagerer med, og behandler personoplysninger omkring.
Ved blot at have én privatlivspolitik på hjemmesiden, så har du blot ét gældende dokument, som du skal ajourføre løbende. Det gør det nemt at administrere oplysningspligten i praksis, da du blot skal referere til denne med et link der forbliver uændret over tid.
Flere privatlivspolitiker
For mellemstore og større organisationer med mange behandlingsaktiviteter og mere komplekse organisationer, så kan det overvejes lave flere privatlivspolitikker, som kan bruges til at kommunikere målrettet til de registrerede omkring de forskellige behandlinger af personoplysninger.
Et eksempel på dette kan du se på Bech Bruuns hjemmeside, hvor de anvender 3 forskellige privatlivspolitikker til forskellige formål.
Fordelen for den registrerede er, at en målrettet privatlivspolitik i højere grad efterlever kravet om at være kortfattet, gennemsigtig, letforståelig og i en lettilgængelig form. Derudover, så kan det også gøre det lettere at administrere oplysningspligten i en organisation med større kompleksitet og flere behandlinger, da formålet med hver enkelt privatlivspolitik er klarere, hvilket gør vedligeholdelse af informationen simplere
Privatlivspolitik skabelon
Der findes masser af privatlivspolitik skabeloner, som du selv kan finde ved at søge på internettet, men du kan også søge inspiration i andre virksomheders privatlivspolitikker, fx vores egen privatlivspolitik.
Datatilsynet har også lavet en skabelon, som du kan bruge til at efterleve oplysningspligten, hvilket de kalder “Skabeloner til iagttagelse af oplysningspligten og indsigtsretten”. Vær opmærksom på, at der skal foretages flere justeringer til skabelonen, samt at den kan være vanskelig at justere, hvis du ikke allerede har erfaring med GDPR.
Løbende efterlevelse af oplysningspligten
Organisationer ændrer sig løbende, hvilket indebærer ændringer i forretningsgangene og derfor også i behandlingen af personoplysninger.
Dette medfører også, at organisationens efterlevelse af oplysningspligten skal genovervejes og justeres løbende.
I en større organisation identificeres disse ændringer i behandlingen af personoplysninger ved ændringer af fortegnelsen, som formentlig ajourføres af de enkelte medarbejdere, som sidder med ansvaret for forretningsopgaverne (også kaldet procesejere). Det er på tidspunktet for disse ændringer, at det er oplagt at genoverveje om noget skal ajourføres ift. oplysningspligten.
Oplysningspligt eksempel
Lad os slutte denne artikel af med et eksempel om efterlevelsen af oplysningspligten:
En distributionsvirksomhed med 50 ansatte fordelt på to lokationer i Danmark skal til brug for deres GDPR compliance finde en praktisk løsning til at efterleve deres oplysningspligt.
Distributionsvirksomheden har pga. knappe ressourcer i virksomheden uddelegeret GDPR compliance til en medarbejder i HR-afdelingen, som endnu en arbejdsopgave oveni de eksisterende HR-opgaver.
HR-medarbejderen har fået kortlagt alle virksomhedens behandlinger af persondata, herunder data om ansatte, kunder og leverandører. På basis af dette har virksomheden derfor udarbejdet en fortegnelse med behandlingsaktiviteter, jf. kravet i GDPR-reglernes artikel 30.
HR-medarbejderen udarbejder med informationen fra fortegnelsen en privatlivspolitik til at efterleve oplysningspligten, og tager udgangspunkt i tjeklisten i denne artikel.
Da privatlivspolitikken er færdiglavet, så publiceres den på virksomhedens hjemmeside www.example.com/privatlivspolitik. Desuden printes privatlivspolitikken, så den kan udleveres til chauffører, der registreres i logbogen ved indlevering og afhentning af varer.
HR-medarbejderen beslutter sig for at informere alle ansatte om oplysningspligten til næste personalemøde. På personalemødet præsenteres privatlivspolitikken kort og præcist, og medarbejderne orienteres om virksomhedens forpligtelse til at underrette fx chaufførerne om behandlingen af deres personoplysninger. Medarbejderne instrueres i at henvise kunder og samarbejdspartnere til privatlivspolitikken, hvis der er spørgsmål om behandlingen af persondata.
Alle medarbejdere ved nu, at de blot skal henvise til privatlivspolitikken på hjemmesiden, hvis kunder, mv. har spørgsmål til deres behandling af personoplysninger, samt at de kan kontakte HR-medarbejderen, hvis de har yderligere spørgsmål. Dette giver også en tryghed blandt de ansatte, at de har kendskab til denne proces, hvis de skulle få brug for det.
Ved at integrere oplysningspligten i eksisterende processer og kommunikere klart både internt og eksternt, formår distributionsvirksomheden at efterleve oplysningspligten.
Opsummering
I denne artikel har du fået en forståelse af, hvad oplysningspligten er, og hvilke krav der skal opfyldes for at efterleve den. Du har fået en praktisk tjekliste over den nødvendige information, der skal gives i oplysningspligten, og hvordan en privatlivspolitik kan bruges til at opfylde disse krav i praksis.
.jpg)
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
