Informationsplikten enligt GDPR | JP Infonet

Informationsplikten enligt GDPR

Informationskravet utgör en av grunderna i dataskyddsförordningen. För att människor ska kunna utöva den kontroll över sina personuppgifter som förordningen ger dem är det nödvändigt att de får tillräcklig information om dessa uppgifter.

dataskydd_Informationsplikten_enligt_GDPR_16x9.jpg

Allmänna kriterier gällande informationskravet


I dataskyddsförordningen (GDPR) finns en skrivelse som stadgar att informationen ska vara koncis, klar och tydlig, begriplig samt tillhandahållas i en lättillgänglig form. Med detta avses att informationen ska tillhandahållas på ett sätt (avseende innehåll, upplägg och utformning) som inte innebär att informationen är överinformerande. Informationen ska även vara lätt att hitta och särskiljas från annan icke-dataskyddsrelaterad information så som allmänna villkor etcetera.

Praktiska aspekter


Ur ett teoretiskt perspektiv utgör inte informationsplikten något större problem. Lagstiftningen är relativt tydlig gällande vilken information som ska tillhandahållas, när den ska tillhandahållas och det lämnas stor frihet angående hur informationen ska tillhandahållas. Ur ett praktiskt perspektiv utgör denna skyldighet dock betydligt större problem.

Tillhandahålla


En första viktig praktisk aspekt är det faktum att lagstiftningen kräver att informationen ska tillhandahållas den registrerade. Formuleringen innebär att aktiv handling krävs från den personuppgiftsansvarige, med andra ord är det inte tillräckligt att informationen finns tillgänglig för de registrerade. Detta kan exemplifieras genom följande exempel:

Exempel 1
En personuppgiftsansvarig använder ett formulär på sin hemsida för att samla in personuppgifter. Det finns en privacy policy tillgänglig på samma hemsida men i samband med insamling av personuppgifter (via webbformuläret) nämns ingenting om personuppgiftsbehandlingen eller den befintliga privacy policyn.

Exempel 2
En personuppgiftsansvarig använder ett formulär på sin hemsida för att samla in personuppgifter. I samband med insamlingen av personuppgifter informeras den registrerade om personuppgiftsbehandlingen där en länk till privacy policyn (som innehåller komplett information) infogas.

Dessa två exempel belyser skillnaden mellan att tillhandahålla och att enbart tillgängliggöra den nödvändiga informationen. För att till fullo leva upp till informationsplikten i GDPR krävs det att den personuppgiftsansvarige agerar för att tillhandahålla den registrerade relevant information. I det första exemplet där informationen enbart finns tillgänglig skulle därmed inte anses tillräckligt till skillnad från det andra exemplet där informationen i direkt anslutning till personuppgiftsinsamlingen tillhandahålls den registrerade.

Vill du ta del av hela Didrik Värmons analys?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 26 feb 2019

Mer om IT och dataskydd
Utbildningar
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet.

    Stockholm 1-dagskurs Kursledare: Laura Gashi
  • Kursen riktar sig till dig som arbetar som personuppgiftsombud, IT-chef eller jurist, m.fl. inom kommun.  Den behandlar kommunens ansvar för personuppgifter i allmänhet och vilken påverkan dataskyddsförordningens införande har på skyldigheterna.

    Stockholm 1-dagskurs Kursledare: Sören Öman
  • Utbildningen syftar till att ge deltagarna fördjupade kunskaper om innehållet i den nya dataskyddsförordningen utifrån ett skolperspektiv kompletterat med de ändringar som tillkommit/föreslagits från regeringens sida.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon, Simon Jernelöv

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området