Vägledning och mall för hur du kan formulera informationstext när du behandlar personuppgifter enligt GDPR.
Enligt dataskyddsförordningen (”GDPR”) ska den registrerade få information när dennes personuppgifter behandlas. Sådan information ska lämnas av den personuppgiftsansvarige när uppgifterna samlas in, men även när den registrerade begär det.
GDPR ställer upp vissa krav på vilken information som ska tillhandahållas den registrerade. SKR:s informationstextmall kan fungera som exempel på hur en informationstext kan formuleras och tillhandahållas den registrerade. SKR rekommenderar dock att informationstextens slutliga utformning alltid granskas av jurist eller motsvarande för att säkerställa att texten uppfyller GDPR:s krav i det enskilda fallet.
Den här vägledningen ska användas tillsammans med SKR:s informationstextmall. De gråmarkerade fälten i mallen indikerar att ni ska fylla i information anpassad för den enskilda situationen och de hänvisar till punkter i vägledningen nedan.
Tänk på att en personuppgift kan vara all slags information som direkt eller indirekt kan hänföras till en fysisk levande person. Detta innebär till exempel att även ett fotografi av en person som kan identifieras är en personuppgift.
Personuppgifter och personuppgiftsbehandling, Datainspektionen
Ange vilka ändamål ni har med personuppgiftsbehandlingen, det vill säga varför behöver ni personens uppgifter? Tänk på att om ni använder s.k. automatiserat beslutsfattande, vilket även inbegriper profilering enligt GDPR, så måste ni på ett enkelt sätt förklara hur det sker och vilka konsekvenser det får för den registrerade. Ni behöver dock inte beskriva hur de olika algoritmerna fungerar.
Automatiserat beslutsfattande, Datainspektionen
Tänk på att ni måste särskilja mellan situationen då den registrerade ger er personuppgifter och när ni får uppgifterna från en annan källa.
Om det är den registrerade som har gett er uppgifterna behöver ni ange:
Om det inte är den registrerade som har tillhandahållit uppgifterna måste ni ange den ursprungliga källan, till exempel folkbokföringsregistret eller liknande. Om uppgifterna kommer från allmänt tillgängliga källor ska ni skriva att det är ifrån sådana källor som uppgifterna kommer.
Samtycke: Om samtycke väljs, lägg då även till ”Du har när som helst rätt att återkalla ditt samtycke till behandlingen. Ett återkallande påverkar inte lagligheten av behandlingen innan samtycket återkallades” eller motsvarande formulering. SKR har utformat en samtyckestextmall som kan fungera som vägledning.
För att det ska vara fråga om allmänt intresse ska det allmänna intresset följa av lag eller annan författning (till exempel förordning), av kollektivavtal eller av beslut som har meddelats med stöd av lag.
Om en behandling grundar sig på en intresseavvägning måste ni även ange den personuppgiftsansvarige eller tredje parts berättigade intresse som gör att ni har ett intresse av att behandla uppgifterna. Ni kan aldrig stödja er personuppgiftsbehandling på en intresseavvägning om det rör sig om myndighetsutövning.
Är det inte möjligt att ange en bestämd tid så ska ni ange de kriterier som används för att avgöra hur länge det är relevant för ändamålet, till exempel ”så länge du är kund hos oss” eller ”ett år efter din senaste kundkontakt med oss” eller motsvarande formulering.
Det är tillräckligt att ni anger kategorier av mottagare eller allmän information till exempel ”Skatteverket”, ”den som köper uppgifterna”, ”företag inom samma koncern”. Ni behöver bara ange de som ni sannolikt tror att ni kommer att dela uppgifterna med.
Om ni delar uppgifterna med personuppgiftsbiträden ska ni informera om att ni delar uppgifterna med dem genom att till exempelt skriva ”och de personuppgiftsbiträden vi använder för att kunna utgöra våra tjänster och fullgöra våra skyldigheter gentemot dig” eller motsvarande formulering.
Notera dock att om uppgifter överförs till tredje land, till exempel genom att det CRM-system ni använder er av har server i land utanför EU/ESS, måste ni informera om huruvida det finns ett beslut av EU-kommissionen om adekvat skyddsnivå eller inte. Ni måste även informera om ni har iakttagits lämpliga skyddsåtgärder.
Lämpliga skyddsåtgärder, Datainspektionen
Namn och adress, och i tillämpliga fall organisationsnummer till personuppgiftsansvarig.
E-postadress och/eller telefonnummer eller motsvarande.
E-postadress och/eller telefonnummer eller motsvarande.
Det är viktigt att använda mallen som ett arbetsdokument och du kommer att behöva anpassa mallen.
Titta först på våra frågor och svar som finns här på webbplatsen.
Tack för att du hjälper oss!