Informasjon og åpenhet

Hvordan skal virksomheten gi informasjon?

Loven sier at informasjon skal gis, men den sier ikke så mye om hvordan den skal gis. Virksomheten må derfor selv finne en passende måte å gi informasjonen på, innenfor visse rammer.

Hva som er passende må sees i lys av prinsippene om åpenhet og rettferdighet – jo mer inngripende eller uventet behandlingen av personopplysninger er, desto bedre og tydeligere må virksomheten informere. Virksomheten kan også ta i betraktning hva slags medium eller enhet informasjonen skal gis på og arten av interaksjonen med den enkelte.

Krav til form

Utgangspunktet er at informasjonen skal gis skriftlig. Virksomheten kan imidlertid også informere på andre måter, for eksempel gjennom illustrasjoner, videoer, flytskjemaer og liknende.

Informasjonen kan også gis muntlig, særlig dersom den enkelte spør om det. I så fall er det viktig at virksomheten kan dokumentere at personen har fått informasjon og hvilken informasjon som ble gitt.

Oppbygging

Kravet om å skrive kort kan være vanskelig å forene med kravene til alt man skal gi informasjon om. En mulig fremgangsmåte er å gi informasjonen lagvis, særlig når virksomheten kommuniserer gjennom elektroniske medier.

I en elektronisk personvernerklæring kan for eksempel den viktigste informasjonen oppsummeres kort i det første laget, samtidig som brukerne har mulighet til å klikke seg videre til de andre lagene dersom det er ønskelig med mer utfyllende informasjon. En lagvis personvernerklæring må være godt strukturert og oversiktlig slik at det er lett å finne frem til informasjonen. En personvernerklæring som forsøker å gjemme viktig informasjon er i strid med loven.

Lagvis informasjon kan også være nyttig selv når kommunikasjon ikke skjer gjennom digitale flater.

Eksempel

Kommunikasjonen med den enkelte skjer gjennom telefon. I løpet av telefonsamtalen får den enkelte den viktigste informasjonen om behandling av personopplysninger. Utfyllende informasjon kan virksomheten sende per e-post.

Vi anbefaler at det første laget inneholder informasjon om formålet med behandlingen, virksomhetens identitet og den enkeltes rettigheter. I tillegg bør det første laget inneholde informasjon om behandling av personopplysninger som kan ha særskilt stor innvirkning på den enkelte eller fremstå som overraskende. Virksomheten må vurdere, i tråd med rettferdighetsprinsippet, hva annet som er viktig for den enkelte å vite i det første laget.

Hvordan gi informasjonen?

Virksomheten må aktivt gi den enkelte informasjonen. Det finnes to måter å gjøre dette på:

  • «Dytt-informasjon» («push notice» på engelsk) innebærer at informasjonen blir vist direkte til den enkelte.
  • «Dra-informasjon» («pull notice» på engelsk) innebærer at den enkelte blir henvist til å gå inn et sted og lese informasjonen, for eksempel gjennom en lenke.

Eksempler

Idet en person skal registrere en brukerkonto hos en nettbutikk, dukker det opp informasjon om behandling av personopplysninger på skjermen. Dette er en form for dytt-informasjon som kalles «akkurat-i-tide-informasjon» («just in time notice» på engelsk). Personen får bare informasjon som er relevant for den konkrete situasjonen, altså hva som skjer med personopplysninger hun skriver inn i feltene. Dette gjør det lettere for henne å få oversikt over hva som skjer med opplysningene.

En tjeneste tilbyr et personvernkontrollpanel («privacy dashboard» på engelsk). I kontrollpanelet kan den enkelte endre personverninnstillingene. Kontrollpanelet kan gi informasjon om behandling av personopplysninger tilpasset den enkeltes innstillinger. Dette er en form for dra-informasjon.

Der informasjon gis elektronisk, kan virksomheten bruke ulike tekniske løsninger for å fremheve informasjonen på en smidig måte, for eksempel «mouseover» og «3D Touch».

Datatilsynet anbefaler at virksomheten i tillegg har all informasjon om behandling av personopplysninger tilgjengelig på ett sted. Dette er viktig dersom kunder eller brukere i etterkant trenger å gå gjennom informasjonen.

Hvis virksomhetens tjenester er tilgjengelige elektronisk, forventer Datatilsynet at informasjon om behandling av personopplysninger også er tilgjengelig digitalt. Informasjonen kan imidlertid også gis på andre måter i tillegg (eller i stedet, dersom virksomheten ikke har en digital tilstedeværelse).

Veileder navigasjon

4. Hvordan skal virksomheten gi informasjon?