- Startsida
- SKR
- Ekonomi, juridik
- Juridik
- Dataskyddsförordningen, GDPR
- Bildhantering
- Informationstext och vägledning
Informationstext och vägledning GDPR
Vägledning och mall för hur du kan formulera informationstext när du behandlar personuppgifter enligt GDPR.
Enligt dataskyddsförordningen (”GDPR”) ska den registrerade få information när dennes personuppgifter behandlas. Sådan information ska lämnas av den personuppgiftsansvarige när uppgifterna samlas in, men även när den registrerade begär det.
GDPR ställer upp vissa krav på vilken information som ska tillhandahållas den registrerade. SKR:s informationstextmall kan fungera som exempel på hur en informationstext kan formuleras och tillhandahållas den registrerade. SKR rekommenderar dock att informationstextens slutliga utformning alltid granskas av jurist eller motsvarande för att säkerställa att texten uppfyller GDPR:s krav i det enskilda fallet.
Den här vägledningen ska användas tillsammans med SKR:s informationstextmall. De gråmarkerade fälten i mallen indikerar att ni ska fylla i information anpassad för den enskilda situationen och de hänvisar till punkter i vägledningen nedan.
Vägledande punkter vid ifyllandet av SKR:s informationstextmall
1. Ange vilka personuppgifter ni behandlar
Tänk på att en personuppgift kan vara all slags information som direkt eller indirekt kan hänföras till en fysisk levande person. Detta innebär till exempel att även ett fotografi av en person som kan identifieras är en personuppgift.
Personuppgifter och personuppgiftsbehandling, Integritetsskyddsmyndigheten
2. Ange vilka ändamål ni har med personuppgiftsbehandlingen
Ange vilka ändamål ni har med personuppgiftsbehandlingen, det vill säga varför behöver ni personens uppgifter? Tänk på att om ni använder s.k. automatiserat beslutsfattande, vilket även inbegriper profilering enligt GDPR, så måste ni på ett enkelt sätt förklara hur det sker och vilka konsekvenser det får för den registrerade. Ni behöver dock inte beskriva hur de olika algoritmerna fungerar.
Automatiserat beslutsfattande, Integritetsskyddsmyndigheten
3. Ange varifrån ni har fått personuppgifterna
Tänk på att ni måste särskilja mellan situationen då den registrerade ger er personuppgifter och när ni får uppgifterna från en annan källa.
Om det är den registrerade som har gett er uppgifterna behöver ni ange:
- Om den registrerades tillhandahållande av personuppgifterna är ett lagstadgat krav
- eller om det är ett krav som är nödvändigt för att ingå ett avtal
- samt vad som händer om den registrerade inte lämnar personuppgifterna.
Om det inte är den registrerade som har tillhandahållit uppgifterna måste ni ange den ursprungliga källan, till exempel folkbokföringsregistret eller liknande. Om uppgifterna kommer från allmänt tillgängliga källor ska ni skriva att det är ifrån sådana källor som uppgifterna kommer.
4. Välj rättslig grund
Samtycke: Om samtycke väljs, lägg då även till ”Du har när som helst rätt att återkalla ditt samtycke till behandlingen. Ett återkallande påverkar inte lagligheten av behandlingen innan samtycket återkallades” eller motsvarande formulering. SKR har utformat en samtyckestextmall som kan fungera som vägledning.
- Avtal
- Rättslig förpliktelse
- Skydd för grundläggande intressen
- Uppgift av allmänt intresse och myndighetsutövning.
För att det ska vara fråga om allmänt intresse ska det allmänna intresset följa av lag eller annan författning (till exempel förordning), av kollektivavtal eller av beslut som har meddelats med stöd av lag.
- Efter en intresseavvägning.
Om en behandling grundar sig på en intresseavvägning måste ni även ange den personuppgiftsansvarige eller tredje parts berättigade intresse som gör att ni har ett intresse av att behandla uppgifterna. Ni kan aldrig stödja er personuppgiftsbehandling på en intresseavvägning om det rör sig om myndighetsutövning.
5. Ange – om möjligt – tiden för hur länge ni kommer att spara uppgifterna
Är det inte möjligt att ange en bestämd tid så ska ni ange de kriterier som används för att avgöra hur länge det är relevant för ändamålet, till exempel ”så länge du är kund hos oss” eller ”ett år efter din senaste kundkontakt med oss” eller motsvarande formulering.
6. Ange mottagarna, det vill säga de som ni delar personuppgifterna med
Det är tillräckligt att ni anger kategorier av mottagare eller allmän information till exempel ”Skatteverket”, ”den som köper uppgifterna”, ”företag inom samma koncern”. Ni behöver bara ange de som ni sannolikt tror att ni kommer att dela uppgifterna med.
Om ni delar uppgifterna med personuppgiftsbiträden ska ni informera om att ni delar uppgifterna med dem genom att till exempel skriva ”och de personuppgiftsbiträden vi använder för att kunna utgöra våra tjänster och fullgöra våra skyldigheter gentemot dig” eller motsvarande formulering.
7. Om det är så att ni kommer överföra uppgifter till tredje land får ni skriva det i stället
Notera dock att om uppgifter överförs till tredje land, till exempel genom att det CRM-system ni använder er av har server i land utanför EU/ESS, måste ni informera om huruvida det finns ett beslut av EU-kommissionen om adekvat skyddsnivå eller inte. Ni måste även informera om ni har iakttagits lämpliga skyddsåtgärder.
Lämpliga skyddsåtgärder, Integritetsskyddsmyndigheten
8. Ange kontaktuppgifter
Namn och adress, och i tillämpliga fall organisationsnummer till personuppgiftsansvarig.
9. Ange kontaktuppgifter
E-postadress och/eller telefonnummer eller motsvarande.
10. Ange dataskyddsombudets kontaktuppgifter
E-postadress och/eller telefonnummer eller motsvarande.
Informationstextmall
Det är viktigt att använda mallen som ett arbetsdokument och du kommer att behöva anpassa mallen.
Informationsansvarig
-
Pål Resare
Förbundsjurist