Informasjon om behandling av personopplysninger

De registrerte har krav på informasjon om hvordan virksomheter behandler personopplysninger. 

Det viktigste med informasjonsplikten er at den skal sikre at de registrerte forstår hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Først da vil vedkommende være i stand til å benytte rettighetene sine. Ved å informere, legger den behandlingsansvarlig til rette for at de registrerte kan benytte sine øvrige rettigheter som retten til innsyn, retting, sletting, trekke samtykke og så videre. 

Informasjon som gis til den registrerte skal:

  • være lett tilgjengelig
  • være i et klart språk tilpasset målgruppen

Dersom behandlingen innebærer automatiserte avgjørelser eller profilering skal den registrerte også informeres om konsekvenser, ulemper og risiko ved behandlingen.

Er det informasjon som skal rettes mot barn er det særlig viktig at språket er klart og enkelt og at informasjonen er tilpasset barnets forståelsesnivå. 

Informasjon skal være skriftlig og helst også tilgjengelig elektronisk.

Informasjon kan gjerne fremstilles grafisk om det bidrar til å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over behandlingen. Hvis den grafiske fremstillingen er elektronisk må den også være maskinleselig.

Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte

Følgende informasjon skal gis:

  • identiteten og kontaktopplysningene til den behandlingsansvarlige eller en representant for den behandlingsansvarlige
  • kontaktopplysninger til personvernombudet
  • formålene med behandlingen, samt det rettslige grunnlaget
  • hvilke legitime interesser den behandlingsansvarlige eller en tredjepart har dersom behandlingen er basert på interesseavveining
  • mottakere av personopplysninger eller kategorier av slike mottakere
  • informasjon om eventuell overføring av personopplysninger til et tredjeland eller internasjonal organisasjon
  • det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke 

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis: 

  • hvor lenge personopplysningene vil bli lagret, hvis dette ikke er mulig, skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • at den registrerte har følgende rettigheter:
    • innsyn i personopplysninger registrert om seg selv
    • korrigering av personopplysninger om seg selv
    • sletting av personopplysninger om seg selv
    • begrensning av behandlingen som gjelder seg selv
    • innsigelsesrett (rett til å protestere på behandlingen)
    • å få ta med seg personopplysninger om seg selv (dataportabilitet)
  • retten til når som helst å trekke tilbake samtykke
  • retten til å klage til en tilsynsmyndighet
  • om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det
  • om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette. Da må informasjonen til den registrerte oppdateres. Det skal da gis informasjon om det nye formålet og annen relevant informasjon for eksempel om og hvordan man kan protestere på behandlingen til det nye formålet eller om man er forpliktet til å akseptere behandlingen. Det er ikke nødvendig å gi ovennevnte informasjon dersom den registrerte har informasjonen fra før.

Informasjon som skal gis når personopplysningene ikke er samlet inn fra den registrerte selv

Følgende informasjon skal gis:

  • identiteten og kontaktopplysningene til den behandlingsansvarlige, eller en representant for den behandlingsansvarlige
  • kontaktopplysninger til personvernombudet
  • formålene med behandlingen, samt det rettslige grunnlaget
  • hva slags personopplysninger som er samlet inn
  • mottakere eller kategorier av mottakere av personopplysningene
  • informasjon om at personopplysninger skal overføres til et tredjeland eller internasjonal organisasjon
  • det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis: 

  • hvor lenge personopplysningene blir lagret, hvis dette ikke er mulig skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • de berettigede interessene som den behandlingsansvarlige eller en tredjepart har når behandlingsgrunnlaget er interesseavveining
  • at den registrerte har følgende rettigheter:
    • innsyn i personopplysninger registrert om seg selv
    • rett til å korrige egne personopplysninger
    • sletting av egne personopplysninger
    • begrensning av behandlingen som gjelder seg selv
    • å motsette seg behandlingen
    • å få ta med seg egne personopplysninger (dataportabilitet)
  • retten til når som helst å trekke tilbake et samtykke 
  • retten til å klage til en tilsynsmyndighet
  • fra hvilken kilde personopplysningene stammer og dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder
  • om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Frist for å gi informasjon

Informasjonen må gis innen følgende frister:

  • innen rimelig tid etter innsamling, men senest innen en måned
  • dersom formålet med innsamling er å kommunisere med den registrerte, skal informasjonen gis senest ved den første kommunikasjonen med vedkommende
  • dersom det er planlagt å utlevere personopplysningene til en annen mottaker, skal informasjonen gis senest når opplysningene utleveres første gang
  • dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette

Når gjelder ikke informasjonsplikten?

Informasjonsplikten gjelder ikke i følgende tilfeller:

  • når informasjonen er allerede kjent for de registrerte
  • når det er umulig eller uforholdsmessig vanskelig å informere
  • når iformasjonsplikt vil gjøre det umulig eller i alvorlig grad hindre at formålene med behandlingen kan nås
  • når innsamling eller utlevering av personopplysningene er uttrykkelig fastsatt ved lov
  • når unntak er begrunnet i taushetsplikt