Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Hva betyr de nye personvernreglene for din virksomhet?

Alle skal gi god informasjon om hvordan de behandler personopplysninger

Når dere behandler personopplysninger, plikter dere å informere de registrerte. Kravene til denne informasjonen blir strengere når forordningen trer i kraft.

Form og språk

Forordningen stiller krav til informasjonens form og språk. Informasjonen skal være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. Dette gjelder særlig informasjon rettet mot barn. Virksomheter som behandler personopplysninger om barn må altså utforme informasjonen sin slik at barna kan forstå den.

Reglene står i artikkel 12 i forordningen.

Hva slags informasjon skal gis

Dagens regler for når informasjon skal gis og unntak fra informasjonsplikten videreføres i stor grad, men virksomheter skal gi mer informasjon enn tidligere. Kravene til hva slags informasjon man må gi er litt ulike hvis dere samler inn opplysningene fra den registrerte selv, eller om dere henter dem fra noen andre.

Du skal informere om følgende:

  1. Kontaktdetaljer til den behandlingsansvarlige virksomheten.
  2. Kontaktdetaljer til et eventuelt personvernombud.
  3. Hva som er formålet med behandlingen av personopplysninger.
  4. Hva slags personopplysninger som behandles.
  5. Grunnlaget for behandlingen av personopplysninger (behandlingsgrunnlaget):
    • Dersom behandlingsgrunnlaget for behandlingen er samtykke, skal dere informere om retten til å trekke samtykket tilbake.
    • Dersom behandlingsgrunnlaget for behandlingen er en interesseavveining (dagens personopplysningslov § 8 bokstav f), skal dere informere om hvilken berettiget interesse virksomheten ivaretar ved denne behandlingen.
  6. Hvem personopplysningene eventuelt skal utleveres til.
  7. Hvis personopplysningene skal utleveres til et land utenfor EU-/EØS-området eller en internasjonal organisasjon, må det vises til beskyttelsestiltakene som er satt i verk for å sikre opplysningene. Det må også opplyses om hvordan man kan få informasjon om tiltakene.
  8. Hvor lenge opplysningene skal oppbevares. Dersom det ikke er mulig å angi nøyaktig tid, skal det opplyses om hvilke kriterier som bestemmer lagringstiden.
  9. At den registrerte har rett til innsyn, retting, sletting, dataportabilitet, å kreve at behandlingen av personopplysninger begrenses, og å motsette seg visse former for behandling.
  10. At den registrerte har rett til å klage til Datatilsynet på behandling i strid med reglene.
  11. Om det forekommer automatiske avgjørelser, som for eksempel profilering. I så fall må virksomheten som et minimum gi meningsfylt informasjon om logikken bak,betydningen av, og de forutsette konsekvensene av behandlingen for den registrerte.
  12. Dersom opplysningene innhentes fra den registrerte selv, skal de få informasjon om innhentingen av personopplysninger er lovpålagt, følger av kontraktsforpliktelser eller er nødvendig for å inngå en kontrakt. Det skal også opplyses om den registrerte har plikt til å oppgi opplysningene og om hva som er de eventuelle følgene av å la være eller nekte.
  13. Dersom opplysningene innhentes fra andre den registrerte, skal de få vite hvor personopplysningene er hentet fra og eventuelt om de stammer fra en offentlig kilde.
  14. Dersom personopplysninger skal behandles for et annet formål enn de ble samlet inn for, inntrer informasjonsplikten på nytt. Det betyr at virksomheten må opplyse hva det nye formålet er, og gi deler av informasjonen ovenfor på nytt.

Disse reglene følger av forordningen artikkel 13 og 14.