GDPR › GDPR dokumentation og compliance

Oplysningspligt

Oplysningspligten kræver, at du som dataansvarlig informerer de registrerede om, hvordan du behandler deres persondata. GDPR artikel 13 og 14 specificerer, hvilke oplysninger du skal give, og hvornår.

Tilbage til ordbog

Hvad er oplysningspligten?

Oplysningspligten er en central del af gennemsigtighedsprincippet i GDPR. Den sikrer, at registrerede ved, hvad der sker med deres persondata, og kan udøve deres rettigheder.

GDPR skelner mellem to situationer:

Artikel 13: Data indsamles direkte fra den registrerede (fx via en formular, tilmelding eller køb).
Artikel 14: Data modtages fra en tredjepart (fx fra en dataleverandør, offentligt register eller anden organisation).

Kravene er næsten identiske, men ved artikel 14 skal du også oplyse om, hvilken kilde data stammer fra.

Hvad skal du oplyse?

Følgende oplysninger skal som minimum gives:

Identiteten på den dataansvarlige og kontaktoplysninger
Kontaktoplysninger på DPO’en (hvis du har en)
Formålet med behandlingen og behandlingsgrundlaget
Ved legitim interesse: den specifikke interesse
Modtagere eller kategorier af modtagere
Om der overføres data til tredjelande og det anvendte overførselsgrundlag
Opbevaringsperioden eller kriterierne for at fastsætte den
Den registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, portabilitet, indsigelse)
Retten til at trække samtykke tilbage (hvis relevant)
Retten til at klage til Datatilsynet
Om der foretages automatiske afgørelser eller profilering

Hvornår og hvordan?

Tidspunkt:

Artikel 13 (direkte indsamling): På indsamlingstidspunktet.
Artikel 14 (fra tredjeparter): Inden en rimelig frist, senest inden en måned, ved første kontakt eller ved videregivelse.

GDPR kræver, at oplysningerne gives i en "kortfattet, gennemsigtig, letforståelig og lettilgængelig form med brug af et klart og enkelt sprog" (artikel 12). Du skal undgå juridisk fagsprog, som registrerede ikke forstår.

I praksis kombinerer de fleste organisationer en generel privatlivspolitik med korte, kontekstspecifikke meddelelser ved hvert indsamlingspunkt (fx "Ved tilmelding behandler vi dit navn og din e-mail til...").

Oplysningspligt i praksis

Sådan implementerer du oplysningspligten:

Udarbejd en klar og opdateret privatlivspolitik, der dækker alle behandlingsaktiviteter
Brug "layered notices": korte opsummeringer ved indsamlingspunkter med link til den fulde privatlivspolitik
Sørg for, at privatlivspolitikken er let tilgængelig (synlig i footer, ved formularer osv.)
Opdatér ved ændringer i behandlingsaktiviteter og informér de registrerede om væsentlige ændringer
Tilpas sproget til målgruppen (du-tiltale, undgå legalese)

Oplysningspligten er en af de oftest overtrådte GDPR-bestemmelser. Datatilsynet kontrollerer regelmæssigt, om privatlivspolitikker lever op til kravene.

Manglende overholdelse kan medføre bøder på op til 20 mio. euro eller 4 % af den globale årsomsætning.

Ofte stillede spørgsmål om oplysningspligt

Hvad er oplysningspligten?

Oplysningspligten er din forpligtelse som dataansvarlig til at informere registrerede om, hvordan du behandler deres persondata. Det omfatter formålet, behandlingsgrundlaget, modtagere, opbevaringsperiode og den registreredes rettigheder.

Hvornår skal oplysningspligten opfyldes?

Hvis du indsamler data direkte fra den registrerede, skal du informere på indsamlingstidspunktet. Hvis du modtager data fra en tredjepart, skal du informere inden en rimelig frist og senest inden en måned, ved første kontakt med den registrerede eller ved videregivelse.

Hvor skal oplysningerne gives?

Der er ingen formkrav i GDPR, men oplysningerne skal gives i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form. I praksis bruges typisk en privatlivspolitik på hjemmesiden, kombineret med korte meddelelser ved specifikke indsamlingspunkter.

Hvad sker der, hvis man ikke overholder oplysningspligten?

Manglende overholdelse af oplysningspligten kan medføre bøder på op til 20 mio. euro eller 4 % af den globale årsomsætning. Datatilsynet kan også udstede påbud og advarsler. Det er en af de hyppigste overtrædelser, tilsynsmyndighederne konstaterer.