Informationskommissærens kontor har opdateret afsnittet i GDPR om den enkeltes ret til at blive informeret om indsamling og brug af deres personoplysninger.
Lad os se på, hvad der er nyt.
Så vi ved alle efterhånden, at det er gennemsigtighed, der er kernen i GDPR. Tillad enkeltpersoner adgang til de dybeste, mørkeste detaljer om de personlige data, vi har om dem, vær klar over, hvordan de bruges, og giv kontrollen tilbage. Nu går GDPR dybere ind i det løfte, med Retten til at blive informeret.
I artikel 13 og 14 i GDPR finder du detaljerne om, hvad enkeltpersoner skal informeres om – omtalt af Information Commissioner's Office (ICO) som Privacy Information. Afhængigt af, hvordan du opnåede dataene i første omgang (direkte fra den enkelte eller via en anden tredjepartskilde), vil det bestemme, hvad du skal dele.
| De oplysninger, du skal give | Personoplysninger indhentet fra enkeltpersoner | Personlige data indhentet fra andre kilder |
| Organisationens navn og kontaktoplysninger | ✓ | ✓ |
| Organisationsrepræsentantens kontaktoplysninger | ✓ | ✓ |
| Databeskyttelsen Officerens (DPO) navn og kontaktoplysninger | ✓ | ✓ |
| Hvad du planlægger at gøre med de data, du behandler | ✓ | ✓ |
| Har du et lovligt grundlag for at behandle personoplysningerne? | ✓ | ✓ |
| Har du en legitim interesse for behandling af personoplysningerne? | ✓ | ✓ |
| De indhentede kategorier af personoplysninger | ✓ | |
| Modtagerne eller kategorierne af modtagere af personoplysningerne | ✓ | ✓ |
| Oplysningerne om enhver overførsel af personoplysninger til tredjelande eller internationale organisationer | ✓ | ✓ |
| Hvor længe planlægger du at opbevare personoplysningerne | ✓ | ✓ |
| De rettigheder, der er tilgængelige for enkeltpersoner i forbindelse med behandlingen | ✓ | ✓ |
| Ret til at inddrage samtykke | ✓ | ✓ |
| Ret til at indgive en klage til en tilsynsmyndighed | ✓ | ✓ |
| Kilden til de personlige data | ✓ | |
| Detaljerne om, hvorvidt enkeltpersoner er underlagt en lovbestemt eller kontraktlig forpligtelse til at levere personoplysningerne | ✓ | |
| Detaljerne om eksistensen af automatiseret beslutningstagning, herunder profilering | ✓ | ✓ |
Rådet her er at overveje konteksten af den måde, hvorpå dataene blev indsamlet i første omgang, og hvor det er muligt bruge det samme medie til at kommunikere privatlivsoplysninger. Frem for alt er det vigtigt at holde det klart og enkelt og bruge et sprog, som målgruppen ville forstå.
Hvis du for eksempel bruger mobile og smarte enheder, kan du bruge pop-ups, stemmebeskeder og enhedsbevægelser. Derudover kan grafik og ikoner gå langt i at kommunikere disse oplysninger på en enkel og intuitiv måde.
ICO henviser også til en "just-in-time-meddelelse", hvor relevant og fokuseret information præsenteres for brugeren på tidspunktet for indsamling af personlige data, eller når de beslutter at give samtykke. Du kan også bruge den lagdelte tilgang, der ligner dette mobilenhedsbillede. Nøgle og kortfattede punkter er angivet med yderligere lag eller links til mere detaljeret information andetsteds.
Den mest almindelige måde at tillade enkeltpersoner at adgang og kontrol hvordan deres personlige data bruges, er at bruge præferencestyringsværktøjer eller dashboardområder på en hjemmeside.
Som vi har nævnt ovenfor, er et af kravene ved indsamling af personoplysninger at sikre, at den enkelte har adgang til privatlivsoplysninger på dette tidspunkt. Hvis du har indhentet deres personlige data fra en anden tredjepartskilde, skal du følge andre krav:
Men i tilfælde af at indhente data fra en anden kilde, kræver GDPR ikke, at du fortæller enkeltpersoner noget, de allerede ved. Dette betyder, at det ikke er påkrævet at give privatlivsoplysninger, hvis:
Få dette krav rigtigt, og ikke kun vil du overholde mange aspekter af GDPR, men det vil også hjælpe dig med at demonstrere over for en mere engageret kundebase, at du kan stole på deres personlige data.
ISMS.online har en Tracker for personlig dataopgørelse og registre, der hjælper dig med at gøre netop det.
Oplysningerne i denne blog er til generel vejledning og udgør ikke juridisk rådgivning.
100 % af vores brugere opnår ISO 27001-certificering første gang