Senast uppdaterad: Dec. 2, 2021
De flesta organisationer behandlar personuppgifter och faller därmed under EUs dataskyddsförordning, the EU General Data Protection Regulation – vanligtvis kallad GDPR. GDPR kräver transparens kring behandling av personuppgifter – att informera och kommunicera om hur de hanteras. De som behandlar personuppgifter är ansvariga för det och att de vars personuppgifter behandlas ska vara medvetna om och känna sig bekväma med behandlingen av personuppgifter.
Kravet på transparens möts ofta genom upprättande av en integritetspolicy som ger specifik information om hur personuppgifter behandlas till de vars personuppgifter behandlas.
GDPR anger vad som ska ingå i en sådan integritetspolicy samt när denna information ska lämnas. Vi kommer i denna blogg att förklara när och hur en integritetspolicy ska upprättas samt ge en checklista över vilken information som ska ingå däri.
När ska en integritetspolicy upprättas?
Tidpunkten för när en integritetspolicy ska upprättas beror på om personuppgifterna har erhållits direkt från en individ eller indirekt från annan källa, exempelvis från köpta marknadsföringslistor.
Personuppgifter erhållna direkt från individen
Informationen i en integritetspolicy bör lämnas vid den tidpunkt då personuppgifterna samlas in.
Personuppgifter som erhållits indirekt
Där personuppgifter inte erhålls direkt från en individ utan från annat håll bör informationen i integritetspolicyn lämnas till individen efter att personuppgifterna tagit emot men innan de används för vidare behandling. Detta ska ske inom rimlig tid och senast 1 månad från mottagandet av personuppgifterna.
Vill däremot en organisation använda personuppgifter för att kommunicera med individen ska informationen i en integritetspolicy ges när den första kommunikationen sker. Om personuppgifterna kommer att lämnas ut ytterligare måste integritetspolicy delas dessförinnan. Detta måste ske inom 1 månad från mottagandet av personuppgifterna.
Personuppgifter som erhålls direkt men ska behandlas för ett nytt ändamål
Om en personuppgiftsansvarig som behandlar personuppgifter för ett specifikt ändamål vill använda dem för ett annat ändamål, ska den personuppgiftsansvarige informera den person vars personuppgifter behandlas om det nya syftet innan personuppgifterna behandlas för det nya ändamålet.
Innehåll i en integritetspolicy
Innehållet i en integritetspolicy är beroende av om personuppgifterna samlas in direkt från individen eller indirekt.
Vid insamling av information direkt från en individ måste en integritetspolicy innehålla nedanstående punkter. Observera att nedanstående endast innehåller den information som krävs enligt GDPR. Det finns ingen särskild ordning som informationen ska presenteras i, utan all relevant information ska finnas med.
- Personuppgiftsansvarigs identitet och kontaktuppgifter
Personuppgiftsansvarig är den person eller organization som bestämmer varför och hur personuppgifter behandlas. - Där så tillämpligt, personuppgiftsbiträdes identitet och kontaktuppgifter
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. - Kontaktuppgifter för personuppgiftsansvarigs dataskyddsombud
Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. - Syftet med behandlingen av personuppgifterna.
- Den lagliga grunden för behandlingen av personuppgifterna.
GDPR kräver att alla organisationer som behandlar personuppgifter har en rättslig grund därför. Lagen tillhandahåller 6 rättsliga grunder för behandling: samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning eller uppgift av allmänt intresse.
.
- När intresseavvägning används som laglig grund får personuppgiftsansvarig behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
- När samtycke används som laglig grund har den registrerade sagt ja till personuppgiftsbehandlingen. Då måste information ges om att ett samtycke kan återkallas samt att det inte påverkar behandling som skett innan återkallandet. Ofta är det inte lämpligt att använda samtycke varför de andra rättsliga grunderna först bör övervägas.
- När avtal används som laglig grund har den registrerade ett avtal med den personuppgiftsansvarige eller ska inga ett.
- Vem som är mottagare av personuppgifterna
- Avsikter att föra personuppgifter utanför EES eller till en internationell organisation samt vilka skyddsåtgärder som vidtas.
- Hur länge personuppgifter sparas eller de kriterier som används för att bestämma tidsperioden.
- Beskrivning av den registrerades rättigheter, inklusive den registrerades rätt att begära tillgång till, rättelse eller radering av personuppgifter.
- Beskrivning av en registrerads rätt att lämna klagomål till integritetskyddsmyndigheten.
- Om så tillämpligt, beskrivning av automatiserat beslutsfattande och förväntade konsekvenser därav som påverkar den registrerade.
Erhålls personuppgifter indirekt, ska dessutom följande information lämnas:
- Varifrån personuppgifter hämtats
- Vilka personuppgifter som omfattas
Boka in en kostnadsfri konsultation!
Har du ett ärende du behöver hjälp med? Boka in en halvtimmes konsultation, då får du möjligheten att lära känna oss innan du bestämmer dig för om du vill anlita oss och vi får en möjlighet att avgöra om vi är rätt företag för att hjälpa dig annars kanske vi kan peka dig i rätt riktning.
Ställ en fråga
Om du har en juridisk fråga som du känner dig osäker då svarar vi gladeligen på den. Har du tur är den redan ställd och då kan du finna vårt svar här!
Nyhetsbrev
Juridiken utvecklas konstant, vi håller oss uppdaterade och hjälper gärna dig att göra detsamma! I vårt nyhetsbrev finns information om nya direktiv och gratis resurser som avtalsmallar!
Konsultation
Ställ en fråga
Hur ska information lämnas i en integritetspolicy?
Enligt GDPR krävs att information ges i en förståelig och lättillgänglig form.
Skriftligt eller muntligt?
Information kan lämnas skriftligen eller i elektroniskt format där så är tillämpligt. Det kan också ges muntligt och görs vanligtvis när det efterfrågas av någon vars personuppgifter behandlas.
Integritetspolicyn ska den vara lätt att hitta. För organisationer som har digital närvaro bör den synas särskilt på webbplatser, till exempel i sidfoten på varje sida på en webbplats och inkluderas som en länk i e-post.
Om en personuppgiftsansvarig kommunicerar för första gången med en person vars uppgifter mottogs indirekt, ska det inkluderas i huvuddelen av e-postmeddelandet.
Se till att presentera informationen under en rubrik eller titel som tydligt visar vad det är och för att göra det lätt att hitta. Kom ihåg att teckenstorlek, färg och mer kan påverka webbplatsens innehåll.
Informationen i en integritetspolicy ska tillhandahållas på ett tydligt och enkelt språk samt på ett koncist sätt.
Vad som anses vara tydligt och exakt beror på vad avsedda läsaren uppfattar. Språk som används för att tilltala vuxna bör skilja sig från språk som används för att tilltala barn och i vissa fall kan separata integritetspolicys göras för barn och vuxna.
Se till att informationen i din policy kan förstås av de vars personuppgifter du samlar in och använder – du kan till och med be personer som representerar de vars personuppgifter du samlar in och använder att läsa ditt meddelande innan de offentliggörs för att säkerställa att det är förståeligt.
Trots krav på viss, specifik information ska också en integritetspolicy ska vara koncis, det vill säga kort. Detta är lite svårt, särskilt för organisationer som behandlar stora mängder personuppgifter. Avsikten är att göra informationen lätt att förstå för läsaren. Rekommendationer om hur att uppnå detta inkluderar:
- Skapa integritetspolicy i lager – ett meddelande som innehåller lager av information, där varje lager täcker mer detaljerad information. Rekommendationen är att inte skapa fler än 3 lager.
- – Just in time – delge integritetspolicy när det är relevant, exempelvis innan ett erbjudande om en tjänst eller produkt accepteras eller när personuppgifter som har samlats in tidigare kommer att användas för ett annat ändamål eller skäl än att den samlades in för.
Ett sekretessmeddelande bör ges kostnadsfritt. En organisation kan inte debitera en individ för åtkomst till en integritetspolicy.
Sammanfattning
Det är ett krav att vara transparent om behandlingen av personuppgifter och tydlig med individer vars personuppgifter behandlas om vilka uppgifter som behandlas, hur och varför. Integritetspolicys bör skrivas noggrant, med hänsyn till den avsedda läsaren av informationen, kommuniceras på ett så kortfattat och tydligt sätt som möjligt. Informationen kan hämtas från andra aktiviteter som vidtas av en personuppgiftsansvarig – datakartläggning, inventeringsaktiviteter och registrering. Att skriva en integritetspolicy behöver inte vara omständligt, den mesta informationen bör vara lättillgänglig. Använd gärna vår checklista ovan vägledning, men endast i informationssyfte. När du har upprättat en integritetspolicy, se till att göra den tillgänglig och synlig för alla som behöver den. Som alltid, har di några frågor är du välkommen att kontakta oss. En inledande diskussion och utvärdering av ditt ämne är alltid kostnadsfri.
