Hva skal virksomheten gi informasjon om?

Når en virksomhet behandler personopplysninger, skal den gi informasjon til de som er berørt.

Informasjonen skal inneholde følgende:

Om virksomheten

  • virksomhetens kontaktdetaljer
  • kontaktdetaljene til virksomhetens representant dersom virksomheten kun er etablert utenfor EU/EØS
  • personvernombudets konktaktdetaljer dersom virksomheten har dette

Om behandlingen

  • dersom personopplysningene ikke blir innhentet fra den enkelte skal det informeres om
    • hvilke kategorier av personopplysninger virksomheten behandler
    • hva kilden for de ulike opplysningene er og
    • om de kom fra en offentlig tilgjengelig kilde ,
  • hvilke formål hver av de ulike personopplysningene behandles for
  • hvilket behandlingsgrunnlag de ulike behandlingene av personopplysninger har (etter personvernforordningen artikkel 6 og eventuelt også artikkel 9)
    • dersom behandlingsgrunnlaget er personvernforordningen artikkel 6 nr. 1 bokstav f (en såkalt «interesseavveining») skal det informeres om hvilke legitime interesser behandlingen er nødvendig for
  • hvor lenge de ulike personopplysningene lagres, eller hvis ikke det er mulig å fastslå nøyaktig, hva som påvirker lagringstiden

Der behandlingsgrunnlaget er en interesseavveining, skal virksomheten også kunne fremlegge informasjon om interesseavveiningen ved forespørsel, og dette bør kommuniseres til den enkelte. Dette er nødvendig etter det lovfestede prinsippet om åpenhet.

Når det gjelder informasjon om lagringstid, må informasjonen være utfyllende nok til at den enkelte kan vurdere hva som vil gjelde i hennes situasjon. Å for eksempel bare skrive at opplysningene lagres så lenge som er nødvendig for formålet, er ikke tilstrekkelig.

Om forholdet til andre virksomheter

  • navn på hver enkelt mottaker eller angivelse av kategorier av mottakere av de ulike personopplysningene. (Mottager er enhver som mottar personopplysninger, for eksempel en ny behandlingsansvarlig eller en databehandler. Offentlige myndigheter regnes ikke som mottaker når de utøver tilsynsvirksomhet med hjemmel i lov.)
  • om de ulike opplysningene skal overføres til en mottaker i et tredjeland (dvs. et land utenfor EU/EØS) eller en internasjonal organisasjon (dvs. en organisasjon som er underlagt folkeretten eller et organ opprettet etter avtale mellom to eller flere stater)
  • dersom opplysningene skal overføres til tredjeland eller internasjonal organisasjon med grunnlag i personvernforordningen artikkel 46, 47 eller 49 nr. 1 annet ledd:
    • hvilke garantier som ligger til grunn for overføringen
    • hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelige
  • i andre tilfeller der opplysningene skal overføres til tredjeland eller internasjonal organisasjon, hvorvidt EU-kommisjonen har fastslått at landet eller organisasjonen har et tilstrekkelig beskyttelsesnivå for personopplysninger

Om virksomheten skal navngi hver enkelt mottaker eller bare henvise til kategorier av mottakere, må tolkes i lys av prinsippene om rettferdighet og åpenhet. Virksomheten skal velge det alternativet som er mest meningsfylt for den enkelte i den konkrete situasjonen. Som regel vil dette innebære at mottakerne navngis. I motsatt fall må kategoriene være klart formulerte, særlig med tanke på hva slags aktiviteter virksomhetene utfører, hvilke sektorer de tilhører og hvor de geografisk befinner seg.

Når det gjelder overføring til tredjeland eller internasjonal organisasjon, bør virksomheten spesifisere hvilket grunnlag i personvernforordningen kapittel 5 den bruker for å overføre personopplysningene. Prinsippene om rettferdighet og åpenhet tilsier at de aktuelle tredjelandene normalt skal navngis.

Om den enkeltes rettigheter

  • den enkeltes rett til innsyn, retting, sletting, begrensning, dataportabilitet og å protestere Les mer om disse rettighetene
  • den enkeltes rett til å trekke tilbake samtykke dersom behandlingsgrunnlaget er samtykke
  • retten til å klage til Datatilsynet
  • dersom opplysningene blir innhentet fra den enkelte:
    • om det å oppgi personopplysninger er et krav etter lov eller avtale eller nødvendig for å kunne inngå en avtale
    • om det er frivillig å oppgi personopplysningene
    • konsekvensene av ikke å oppgi dem

Informasjon om den enkeltes ulike rettigheter skal være tilpasset til den aktuelle behandlingen av personopplysninger. Virksomheter kan for eksempel ikke nøye seg med å ramse opp alle rettighetene generelt, men må si noe om hvilke rettigheter og begrensninger som gjelder i den konkrete situasjonen. For eksempel gjelder ikke retten til dataportabilitet og å protestere i alle tilfeller. Virksomheten må også ha informasjon om hvordan den enkelte kan utøve sine rettigheter.

Når det gjelder retten til å protestere, skal virksomheten gjøre den enkelte uttrykkelig oppmerksom på denne rettigheten senest den første gangen virksomheten kommuniserer med vedkommende. Informasjon om rettigheten skal fremlegges på en klar måte og adskilt fra annen informasjon.

Den enkelte har rett til å klage til datatilsynsmyndigheten i landet der vedkommende bor, jobber eller der den påståtte overtredelsen fant sted.

Om automatiserte individuelle avgjørelser

  • om automatiserte individuelle avgjørelser finner sted
  • meningsfull informasjon om logikken i dataprogrammet
  • betydningen og de forventede konsekvensene av avgjørelsen

Disse punktene er minimumskrav. I enkelte situasjoner kan prinsippene om åpenhet og rettferdighet tilsi at man gir mer informasjon, særlig der avgjørelsen er særskilt viktig. For eksempel sier fortalen til personvernforordningen at den enkelte kan kreve en forklaring av en bestemt avgjørelse.

Om nye formål

Det er som hovedregel ikke lov å bruke personopplysninger til nye formål som er uforenlige med det opprinnelige formålet. Det er imidlertid tillatt å behandle personopplysninger til nye, forenlige formål. I disse tilfellene oppstår det en egen informasjonsplikt.

Virksomheten skal informere den enkelte om det nye formålet i rimelig tid før den nye behandlingen begynner. Dette sikrer at den enkelte er informert og har muligheten til å utøve rettighetene sine før endringene inntrer. Jo mer inngripende, virkningsfull eller uventet den nye behandlingen av personopplysninger er, desto lenger tid i forveien bør virksomheten informere.

I tillegg skal virksomheten gi en del informasjon om behandlingen på nytt. Litt forenklet er det snakk om relevant informasjon om behandlingen, den enkeltes rettigheter og automatiserte individuelle avgjørelser. . Den eksakte oppramsingen over hva som skal informeres om på nytt står i personvernforordningen artikkel 13 (hvis opplysningene er innhentet fra den
enkelte) og 14 (hvis opplysningene er innhentet fra andre kilder). Endringer i forbindelse med det nye formålet må fremheves særskilt.

Les mer om plikten til  fastsette formål

Om konsekvenser

Prinsippet om åpenhet tilsier at den enkelte ikke skal bli overrasket over hva en behandling av personopplysninger innebærer eller hvilke følger den kan ha. Derfor bør virksomheten kommunisere hva de viktigste konsekvensene av behandlingen er og hvilken effekt den kan ha på den enkelte. Dersom behandlingen utgjør en særskilt risiko for den enkeltes rettigheter og friheter, bør dette fremgå av informasjonen.

Om endringer

Dersom en virksomhet gjør viktige eller materielle endringer i personvernerklæringen eller personverninformasjonen sin, må dette kommuniseres til den enkelte.

Når virksomheten skal vurdere hvorvidt endringen er så stor at man må si fra om den, må man blant annet se på hvordan endringen påvirker den enkelte, hvorvidt den påvirker den enkeltes rettigheter og hvor uventet endringen er for den enkelte.

Eksempel

Virksomheten har gjort endringer i formålet med behandlingen av personopplysninger. Den må kommunisere endringen til den enkelte.

Virksomheten har oppdaget ubetydelige skrive- og stilfeil. Den trenger ikke å kommunisere disse rettingene til den enkelte.

Når virksomheten sier fra om endringer, skal det skje på en slik måte at den enkelte faktisk får det mer seg, for eksempel gjennom e-postvarsel eller pop-up-vinduer. Dessuten må det som er nytt fremheves særskilt og skilles fra annen informasjon (for eksempel markedsføringsinnhold). Informasjonen bør inneholde hvilke konsekvenser endringen kan ha for den enkelte.

Å skrive i personvernerklæringen at den enkelte selv har ansvar for å sjekke etter endringer, er ikke i tråd med loven.

Endringene må kommuniseres tilstrekkelig tid i forveien for å etterleve prinsippene om åpenhet og rettferdighet. Den enkelte må også ha mulighet til å benytte seg av rettighetene sine, for eksempel retten til å protestere. Jo mer inngripende, virkningsfull eller uventet endringen er, desto lenger tid i forveien bør virksomheten informere.

21