Guide till GDPR & Integritetspolicy

Tidpunkten för när en integritetspolicy ska upprättas beror på om personuppgifterna har erhållits direkt från en individ eller indirekt från annan källa, exempelvis från köpta marknadsföringslistor.

Personuppgifter erhållna direkt från individen

Informationen i en integritetspolicy bör lämnas vid den tidpunkt då personuppgifterna samlas in.

Personuppgifter som erhållits indirekt

Där personuppgifter inte erhålls direkt från en individ utan från annat håll bör informationen i integritetspolicyn lämnas till individen efter att personuppgifterna tagit emot men innan de används för vidare behandling. Detta ska ske inom rimlig tid och senast 1 månad från mottagandet av personuppgifterna.

Vill däremot en organisation använda personuppgifter för att kommunicera med individen ska informationen i en integritetspolicy ges när den första kommunikationen sker. Om personuppgifterna kommer att lämnas ut ytterligare måste integritetspolicy delas dessförinnan. Detta måste ske inom 1 månad från mottagandet av personuppgifterna.

Personuppgifter som erhålls direkt men ska behandlas för ett nytt ändamål

Om en personuppgiftsansvarig som behandlar personuppgifter för ett specifikt ändamål vill använda dem för ett annat ändamål, ska den personuppgiftsansvarige informera den person vars personuppgifter behandlas om det nya syftet innan personuppgifterna behandlas för det nya ändamålet.

Innehållet i en integritetspolicy är beroende av om personuppgifterna samlas in direkt från individen eller indirekt.

Vid insamling av information direkt från en individ måste en integritetspolicy innehålla nedanstående punkter. Observera att nedanstående endast innehåller den information som krävs enligt GDPR. Det finns ingen särskild ordning som informationen ska presenteras i, utan all relevant information ska finnas med.

• Personuppgiftsansvarigs identitet och kontaktuppgifter
  Personuppgiftsansvarig är den person eller organization som bestämmer varför och hur personuppgifter behandlas.
• Där så tillämpligt, personuppgiftsbiträdes identitet och kontaktuppgifter
  Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
• Kontaktuppgifter för personuppgiftsansvarigs dataskyddsombud
  Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.
• Syftet med behandlingen av personuppgifterna.
• Den lagliga grunden för behandlingen av personuppgifterna.
  GDPR kräver att alla organisationer som behandlar personuppgifter har en rättslig grund därför. Lagen tillhandahåller 6 rättsliga grunder för behandling: samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning eller uppgift av allmänt intresse.

.

• När intresseavvägning används som laglig grund får personuppgiftsansvarig behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
• När samtycke används som laglig grund har den registrerade sagt ja till personuppgiftsbehandlingen. Då måste information ges om att ett samtycke kan återkallas samt att det inte påverkar behandling som skett innan återkallandet. Ofta är det inte lämpligt att använda samtycke varför de andra rättsliga grunderna först bör övervägas.
• När avtal används som laglig grund har den registrerade ett avtal med den personuppgiftsansvarige eller ska inga ett.
• Vem som är mottagare av personuppgifterna
• Avsikter att föra personuppgifter utanför EES eller till en internationell organisation samt vilka skyddsåtgärder som vidtas.
• Hur länge personuppgifter sparas eller de kriterier som används för att bestämma tidsperioden.
• Beskrivning av den registrerades rättigheter, inklusive den registrerades rätt att begära tillgång till, rättelse eller radering av personuppgifter.
• Beskrivning av en registrerads rätt att lämna klagomål till integritetskyddsmyndigheten.
• Om så tillämpligt, beskrivning av automatiserat beslutsfattande och förväntade konsekvenser därav som påverkar den registrerade.

Erhålls personuppgifter indirekt, ska dessutom följande information lämnas:

• Varifrån personuppgifter hämtats
• Vilka personuppgifter som omfattas

Enligt GDPR krävs att information ges i en förståelig och lättillgänglig form.

Skriftligt eller muntligt?

Information kan lämnas skriftligen eller i elektroniskt format där så är tillämpligt. Det kan också ges muntligt och görs vanligtvis när det efterfrågas av någon vars personuppgifter behandlas.

Integritetspolicyn ska den vara lätt att hitta. För organisationer som har digital närvaro bör den synas särskilt på webbplatser, till exempel i sidfoten på varje sida på en webbplats och inkluderas som en länk i e-post.

Om en personuppgiftsansvarig kommunicerar för första gången med en person vars uppgifter mottogs indirekt, ska det inkluderas i huvuddelen av e-postmeddelandet.

Se till att presentera informationen under en rubrik eller titel som tydligt visar vad det är och för att göra det lätt att hitta. Kom ihåg att teckenstorlek, färg och mer kan påverka webbplatsens innehåll.

Informationen i en integritetspolicy ska tillhandahållas på ett tydligt och enkelt språk samt på ett koncist sätt.

Vad som anses vara tydligt och exakt beror på vad avsedda läsaren uppfattar. Språk som används för att tilltala vuxna bör skilja sig från språk som används för att tilltala barn och i vissa fall kan separata integritetspolicys göras för barn och vuxna.

Se till att informationen i din policy kan förstås av de vars personuppgifter du samlar in och använder – du kan till och med be personer som representerar de vars personuppgifter du samlar in och använder att läsa ditt meddelande innan de offentliggörs för att säkerställa att det är förståeligt.

Trots krav på viss, specifik information ska också en integritetspolicy ska vara koncis, det vill säga kort. Detta är lite svårt, särskilt för organisationer som behandlar stora mängder personuppgifter. Avsikten är att göra informationen lätt att förstå för läsaren. Rekommendationer om hur att uppnå detta inkluderar:

• Skapa integritetspolicy i lager – ett meddelande som innehåller lager av information, där varje lager täcker mer detaljerad information. Rekommendationen är att inte skapa fler än 3 lager.
• – Just in time – delge integritetspolicy när det är relevant, exempelvis innan ett erbjudande om en tjänst eller produkt accepteras eller när personuppgifter som har samlats in tidigare kommer att användas för ett annat ändamål eller skäl än att den samlades in för.

Ett sekretessmeddelande bör ges kostnadsfritt. En organisation kan inte debitera en individ för åtkomst till en integritetspolicy.

Det är ett krav att vara transparent om behandlingen av personuppgifter och tydlig med individer vars personuppgifter behandlas om vilka uppgifter som behandlas, hur och varför. Integritetspolicys bör skrivas noggrant, med hänsyn till den avsedda läsaren av informationen, kommuniceras på ett så kortfattat och tydligt sätt som möjligt. Informationen kan hämtas från andra aktiviteter som vidtas av en personuppgiftsansvarig – datakartläggning, inventeringsaktiviteter och registrering. Att skriva en integritetspolicy behöver inte vara omständligt, den mesta informationen bör vara lättillgänglig. Använd gärna vår checklista ovan vägledning, men endast i informationssyfte. När du har upprättat en integritetspolicy, se till att göra den tillgänglig och synlig för alla som behöver den. Som alltid, har di några frågor är du välkommen att kontakta oss. En inledande diskussion och utvärdering av ditt ämne är alltid kostnadsfri.