GDPR-relaterade avtal och dokument

Integritetsmeddelande

Ett integritetsmeddelande innehåller information om behandlingen av personuppgifter, bland annat hur och varför behandlingen ska ske.

Dataskyddsprincipen om ansvarsskyldighet enligt GDPR

Information om behandling av personuppgifter

Enligt GDPR ska behandlingen av personuppgifter vara präglad av transparens och öppenhet gentemot de registrerade. Det är viktigt att företag informerar de registrerade om behandlingen av deras personuppgifter. 

Företag ska upprätta ett så kallat ”integritetsmeddelande” med information om behandlingen av personuppgifterna. Detta meddelande kan därefter exempelvis bli publicerat på företagets officiella webbplats. Det är viktigt att tänka på att informationen om behandlingen måste bli presenterad för den registrerade innan dennes personuppgifter blir behandlade. Informationen kan även bli presenterad i samband med insamlandet av personuppgifterna.

Det är vanligt att termerna ”Integritetspolicy” (Privacy Policy) och ”Integritetsmeddelande” (Privacy Notice) blir använda omväxlande, men de har olika funktioner och betydelser.

Ett ”meddelande” ska vara formulerat på ett sätt som riktar sig direkt till de registrerade personerna. En ”policy” riktar sig istället till företagets medarbetare och är ett internt dokument som innehåller riktlinjer som medarbetarna ska följa vid sin behandling av personuppgifter.

Vilka artiklar reglerar detta i GDPR?

Innehållet i ett integritetsmeddelande

Artikel 13 GDPR är aktuell ifall personuppgifterna som ska bli behandlade har blivit insamlade från den registrerade personen. Vid sådana fall måste den personuppgiftsansvarige ange viss information till den registrerade i sitt integritetsmeddelande.

Bland annat information om följande:

– Identiteten och kontaktuppgifterna för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare, exempelvis VD.

– Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

– Ändamålen med behandlingen och den rättsliga grunden för behandlingen av personuppgifterna.

– Om behandlingen är baserad på intresseavvägning som den rättsliga grunden, ska den registrerade även få information om den personuppgiftsansvariges eller en tredje parts berättigade intressen.

– Information om vilka mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

– Information om ifall den personuppgiftsansvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation.

Utöver detta, ska den personuppgiftsansvarige även informera om det föreligger ett beslut av kommissionen om adekvat skyddsnivå eller ifall det saknas.

När det gäller visa typer av överföringar måste integritetsmeddelandet dessutom innehålla en hänvisning till lämpliga eller passande skyddsåtgärder, och hur registrerade kan få en kopia av dem eller var dessa är tillgängliga.

Ytterligare information som ett integritetsmeddelande måste innehålla

För att säkerställa rättvis och öppen behandling, ska den personuppgiftsansvarige vid insamlingen av personuppgifterna även lämna den registrerade följande ytterligare information:

– Lagringsperioden avseende personuppgifterna. Men om detta inte är möjligt, ska den personuppgiftsansvarige ange de kriterier som blir använda för att fastställa denna period.

– Information om att den registrerade personen har rätt att begära tillgång till och rättelse eller radering av sina personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

– Den registrerades rätt att när som helst återkalla sitt lämnade samtycke, utan att detta påverkar lagligheten av behandlingen som skett med stöd i samtycket, innan detta blev återkallat.

– Den registrerades rätt att inge klagomål till en tillsynsmyndighet.

– Information om det är ett lagstadgat eller avtalsenligt krav att lämna personuppgifterna, eller om det är ett krav som är nödvändigt för att ingå ett avtal samt om den registrerade är skyldig att tillhandahålla personuppgifterna. Dessutom måste den personuppgiftsansvarige informera om de möjliga följderna av att personuppgifter inte blir lämnade.

– Den personuppgiftsansvarige måste informera huruvida det förekommer ett automatiserat beslutsfattande eller inte, inbegripet profilering. Om det förekommer, måste den personuppgiftsansvarige ange information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Tänk på följande!

Om ni har för avsikt att behandla personuppgifterna för ett annat syfte än det ursprungliga syftet som var bestämt vid insamlingstidpunkten, måste den registrerade få information om den nya behandlingen innan den nya behandlingen blir påbörjad.

Om någon annan än den registrerade tillhandahåller personuppgifterna

Ifall företaget får tillgång till personuppgifter från någon annan än den registrerade själv, är det artikel 14 GDPR som gäller istället för artikel 13 GDPR.

Enligt artikel 14 GDPR ska den personuppgiftsansvarige vid sådana fall även, utöver den ovan angivna informationen, informera om varifrån personuppgifterna kommer. I förekommande fall ska den personuppgiftsansvarige även informera om personuppgifterna har sitt ursprung i allmänt tillgängliga källor.

Språkvalet i ett integritetsmeddelande

Det är viktigt att tänka på att innehållet i integritetsmeddelandet ska vara formulerat på det språk som den avsedda mottagaren av informationen kan förstå.

Det ska inte vara formulerat på ett språk som kräver att läsaren har några juridiska förkunskaper. Om personuppgifterna tillhör barn eller ungdomar, är det dessutom viktigt att skapa en version av integritetsmeddelandet som denna målgrupp förstår. Texten får inte vara för lång, innehålla komplicerade ord eller i övrigt vara för komplex.

I vissa fall kan det även vara nödvändigt att översätta integritetsmeddelandet till flera språk, exempelvis en version på svenska och en motsvarande version på engelska eller annat språk som mottagaren av informationen förstår.

Presentation av integritetsmeddelandet

Ett integritetsmeddelande med information om behandlingen av personuppgifterna ska bli presenterad innan personuppgifter blir insamlade. Det ska senast bli presenterat när personuppgifterna blir insamlade.

Det är vanligt att företag har ett kontaktformulär på sin hemsida, och därigenom får tillgång till personuppgifter från avsändaren av meddelandet. Vid dessa fall måste företaget presentera integritetsmeddelandet i anslutning till kontaktformuläret, innan meddelandet blir inskickat till företaget.

Behöver ni hjälp?

Vi kan hjälpa er genom att skriva ett juridiskt korrekt integritetsmeddelande till fast pris, som uppfyller minimikraven i GDPR.

Har ni redan ett integritetsmeddelande? Då kan vi istället hjälpa till genom att granska och vid behov komplettera och justera det till fast pris. 

Om ni behöver andra typer av GDPR relaterade avtal och dokument, kan ni även kika igenom och jämföra våra GDPR-paket. De innehåller flera viktiga GDPR-relatera avtal och dokument.

Mer information

Personuppgiftsbiträdesavtal

Företag som är personuppgiftsansvariga och anlitar ett annat företag som är personuppgiftsbiträde, måste ingå ett personuppgiftsbiträdesavtal. Till exempel om ett företag lagrar personuppgifter på en molntjänst. Personuppgiftsbiträdesavtal måste vara skriftliga. 

Vill du veta mer?

Lär dig mer

Gratis juridikskola

Efter att ha gått igenom den detaljerade samanfattningen av GGDPR (Dataskyddsförordningen), är det tydligt varför dataskydd är så viktigt idag. För de som vill fördjupa sig ytterligare efter att ha läst vår sammanfattning av GDPR (Dataskyddsförordningen), rekommenderar vi att besöka webbplatsen www.AvtalGDPR.se som är en del av Digitala Juristerna.

Vi driver dessutom olika gratis juridikskolor på Linkedin och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridkskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

Rulla till toppen
Call Now Button