Integritetsmeddelande
Ett integritetsmeddelande innehåller information om behandlingen av personuppgifter, bland annat hur och varför behandlingen ska ske.
Ett integritetsmeddelande innehåller information om behandling av personuppgifter
Enligt GDPR ska behandlingen av personuppgifter vara präglad av transparens och öppenhet gentemot de registrerade. Det är viktigt att företag informerar de registrerade om behandlingen av deras personuppgifter.
Detta krav är reglerat i bland annat artiklarna 13 och 14 GDPR. Företag ska upprätta ett så kallat “integritetsmeddelande” med information om behandlingen av personuppgifterna. Detta meddelande kan därefter exempelvis bli publicerat på företagets officiella webbplats.
Det är viktigt att tänka på att informationen om behandlingen måste bli presenterad för den registrerade innan dennes personuppgifter blir behandlade. Informationen kan även bli presenterad i samband med insamlandet av personuppgifterna.
Det är vanligt att termerna “Integritetspolicy” (Privacy Policy) och “Integritetsmeddelande” (Privacy Notice) blir använda omväxlande, men de kan ha olika funktioner och betydelser beroende på sammanhanget. Oftast är ett ”meddelande” formulerat på ett sätt som riktar sig direkt till de registrerade personerna. En ”policy” är ofta formulerad på ett sätt som riktar sig till företagets medarbetare och är ett internt dokument som innehåller riktlinjer som medarbetarna ska följa vid sin behandling av personuppgifter.
Sammanställningen av informationen om behandlingen av personuppgifterna är även i vissa fall kallad för integritetspolicy, dataskyddspolicy, personuppgiftspolicy, sekretesspolicy.
Innehåll i ett integritetsmeddelande
Artikel 13 GDPR är aktuell ifall personuppgifterna som ska bli behandlade har blivit insamlade från den registrerade personen. Vid sådana fall måste den personuppgiftsansvarige ange viss information till den registrerade i sitt integritetsmeddelande. Bland annat information om följande:
– Identiteten och kontaktuppgifterna för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare, exempelvis VD.
– Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
– Ändamålen med behandlingen och den rättsliga grunden för behandlingen av personuppgifterna.
– Om behandlingen är baserad på intresseavvägning som den rättsliga grunden, ska den registrerade även få information om den personuppgiftsansvariges eller en tredje parts berättigade intressen.
– Information om vilka mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
– Information om ifall den personuppgiftsansvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation.
Utöver detta, ska den personuppgiftsansvarige även informera om det föreligger ett beslut av kommissionen om adekvat skyddsnivå eller ifall det saknas.
När det gäller visa typer av överföringar måste integritetsmeddelandet dessutom innehålla en hänvisning till lämpliga eller passande skyddsåtgärder, och hur registrerade kan få en kopia av dem eller var dessa är tillgängliga.
Ytterligare information som ett integritetsmeddelande måste innehålla
För att säkerställa rättvis och öppen behandling, ska den personuppgiftsansvarige vid insamlingen av personuppgifterna även lämna den registrerade följande ytterligare information:
– Lagringsperioden avseende personuppgifterna. Men om detta inte är möjligt, ska den personuppgiftsansvarige ange de kriterier som blir använda för att fastställa denna period.
– Information om att den registrerade personen har rätt att begära tillgång till och rättelse eller radering av sina personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.
– Den registrerades rätt att när som helst återkalla sitt lämnade samtycke, utan att detta påverkar lagligheten av behandlingen som skett med stöd i samtycket, innan detta blev återkallat.
– Den registrerades rätt att inge klagomål till en tillsynsmyndighet.
– Information om det är ett lagstadgat eller avtalsenligt krav att lämna personuppgifterna, eller om det är ett krav som är nödvändigt för att ingå ett avtal samt om den registrerade är skyldig att tillhandahålla personuppgifterna. Dessutom måste den personuppgiftsansvarige informera om de möjliga följderna av att personuppgifter inte blir lämnade.
– Den personuppgiftsansvarige måste informera huruvida det förekommer ett automatiserat beslutsfattande eller inte, inbegripet profilering. Om det förekommer, måste den personuppgiftsansvarige ange information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
Ifall den personuppgiftsansvarige har för avsikt att behandla personuppgifterna för ett annat syfte än det ursprungliga syftet som var bestämt vid insamlingstidpunkten, måste den registrerade få information om den nya behandlingen innan den nya behandlingen blir påbörjad.
Om någon annan än den registrerade tillhandahåller personuppgifterna
Ifall företaget får tillgång till personuppgifter från någon annan än den registrerade själv, är det artikel 14 GDPR som gäller istället för artikel 13 GDPR.
Enligt artikel 14 GDPR ska den personuppgiftsansvarige vid sådana fall även, utöver den ovan angivna informationen, informera om varifrån personuppgifterna kommer. I förekommande fall ska den personuppgiftsansvarige även informera om personuppgifterna har sitt ursprung i allmänt tillgängliga källor.
Språkvalet i ett integritetsmeddelande
Det är viktigt att tänka på att innehållet i integritetsmeddelandet ska vara formulerat på det språk som den avsedda mottagaren av informationen kan förstå. Det ska inte vara formulerat på ett språk som kräver att läsaren har några juridiska förkunskaper.
Om personuppgifterna tillhör barn eller ungdomar, är det dessutom viktigt att skapa en version av integritetsmeddelandet som denna målgrupp förstår. Texten får inte vara för lång, innehålla komplicerade ord eller i övrigt vara för komplex.
I vissa fall kan det även vara nödvändigt att översätta integritetsmeddelandet till flera språk, exempelvis en version på svenska och en motsvarande version på engelska eller annat språk som mottagaren av informationen förstår.
Presentation av integritetsmeddelandet
Ett integritetsmeddelande med information om behandlingen av personuppgifterna ska bli presenterad innan personuppgifter blir insamlade. Det ska senast bli presenterat när personuppgifterna blir insamlade.
Det är vanligt att företag har ett kontaktformulär på sin hemsida, och därigenom får tillgång till personuppgifter från avsändaren av meddelandet. Vid dessa fall måste företaget presentera integritetsmeddelandet i anslutning till kontaktformuläret, innan meddelandet blir inskickat till företaget.
Vi skriver och granskar avtal till fasta priser
Gratis juridikskolor
Vi driver olika gratis juridikskolor för företagare på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.