Her på siden får du svar på de vigtigste spørgsmål om oplysningspligten i forbindelse med behandling af personoplysninger. Har du flere spørgsmål eller behov for rådgivning vedrørende din konkrete situation, kan du kontakte en persondataspecialist fra Advodan i dag.
Hvad er oplysningspligten?
Oplysningspligten indebærer, at du som dataansvarlig har pligt til at give den registrerede en række oplysninger, når du indsamler og behandler personoplysninger om vedkommende. Det gælder ikke først, når den registrerede spørger efter dem – du skal give oplysningerne på eget initiativ. Desuden er det ikke nok, at oplysningerne ligger på en hjemmeside, hvor den registrerede selv skal finde dem.
Oplysningspligten gælder som hovedregel i forhold til alle registrerede, du indsamler eller modtager oplysninger om.
Vi står klar til at rådgive dig om din virksomheds håndtering af persondata.
Hvordan opfylder jeg oplysningspligten?
Som udgangspunkt skal du give den registrerede de oplysninger, vedkommende har krav på, skriftligt. Det er også en fordel for dig selv, fordi du herved kan dokumentere, at du har opfyldt oplysningspligten.
Der er ikke et bestemt format for, hvordan oplysningerne gives. Det kan fx ske i en i en pop-up meddelelse eller et tekstfelt på en blanket. Det vigtige er, at oplysningerne gives på en tydelig, kortfattet og letforståelig måde.
Du skal som udgangspunkt kun give oplysningerne én gang. Dog skal du give dem igen, hvis du senere ønsker at behandle oplysningerne til et andet formål end det oprindelige. Eller hvis oplysningerne behandles på en måde, som de ikke oprindeligt var forudsat, fx ved overførsel til et land udenfor EU
Hvilke oplysninger skal gives?
Du skal give den registrerede oplysninger om:
- Din identitet
- Dine kontaktoplysninger
- Kontaktoplysninger på en eventuel DPO
- Formålet med behandlingen
- Retsgrundlaget for behandlingen (fx en bestemt lov)
- Legitime interesser, hvis din behandlingshjemmel er den såkaldte interesseafvejningsregel
- Kategorier af modtagere, hvis der sker videregivelse af oplysningerne til andre end dig (hvis du ved dette på indsamlingstidspunktet)
- Overførsel af oplysninger til et tredjeland – er landet sikkert eller usikkert? Hvis det er usikkert, på hvilket grundlag sker tredjelandsoverførslen da?
- Retten til indsigelse mod en behandling, hvis din behandling er baseret på databeskyttelsesforordningens interesseafvejningsregel
- Kategorierne af personoplysninger, hvis oplysningerne ikke er indsamlet hos den registrerede
Desuden skal du tage stilling til, om den registrerede efter en konkret vurdering, skal gives yderligere oplysninger, fx vejledning om retten til indsigt, retten til at klage til Datatilsynet mv. Det er ofte tilfældet. Din Advodan-advokat kan hjælpe dig med denne vurdering.
Hvornår skal oplysningerne gives?
For at opfylde oplysningspligten skal du som udgangspunkt give oplysningerne til den registrerede, samtidig med at du indsamler dem. Hvis du ikke indsamler oplysningerne hos den registrerede selv, men fx fra offentlige registre eller andre dataansvarlige, skal du give oplysningerne hurtigst muligt. Det samme gælder, hvis den registrerede selv henvender sig til dig for at få oplysningerne.
Er du i en situation, hvor du skal give oplysningerne tidligst muligt, skal du normalt give dem inden for ti dage.
I nogle situationer må du gerne videregive oplysningerne senere end angivet ovenfor. Det gælder hvis:
- Du kort tid efter indsamlingen af oplysningerne skal kommunikere med den registrerede, og du gerne vil videregive oplysningerne her.
- Du ved indsamlingen af oplysningerne ved, at de skal videregives til en tredjemand. I så fald kan du vente med at give oplysningerne til den registrerede, indtil du videregiver dem til tredjemand.
Uanset hvad skal oplysningerne videregives senest en måned efter indsamling.
Hvornår behøver jeg ikke at opfylde oplysningspligten?
I nogle situationer behøver du ikke at opfylde oplysningspligten. Det er tilfældet, når:
- Den registrerede allerede er bekendt med oplysningerne.
- Den registreredes interesse i at få kendskab til oplysningerne må vige for afgørende hensyn til enten private eller offentlige interesser (fx den registreredes interesser eller retsforfølgning af strafbare handlinger).
- Det er 1) umuligt, 2) kræver en uforholdsmæssig stor indsats eller 3) hindrer opfyldelse af formålene med behandlingen (fx i tilfælde af en statistisk undersøgelse).
- Du er blevet pålagt indsamling eller videregivelse af personoplysninger ved lov.
- Oplysningerne skal forblive fortrolige som følge af tavshedspligt fastsat ved lov.
Hvad er de registreredes rettigheder?
Når din virksomhed behandler personoplysninger, er det vigtigt, at den overholder de registreredes rettigheder. En af disse er oplysningspligten – de øvrige rettigheder er:
- Indsigtsret: Den registrerede kan kræve at se de personoplysninger, der behandles om vedkommende.
- Ret til berigtigelse: Den registrerede har ret til at få rettet urigtige oplysninger om sig selv.
- Ret til sletning: Den registrerede har ret til at få slettet personoplysninger, som ikke længere er nødvendige for det formål, de er indsamlet til, eller hvor der ikke længere er et lovligt grundlag for at behandle dem.
- Ret til begrænsning af behandling: Den registrerede kan kræve, at behandlingen af personoplysninger begrænses til de formål, der er lovlige, samt at behandlingen bliver suspenderet, mens rigtigheden af oplysningerne bliver undersøgt, eller et retskrav bliver fastlagt.
- Underretningspligt: Den dataansvarlige skal orientere tredjemænd, hvortil oplysninger måtte være videregivet, om at data skal berigtiges, slettes eller begrænses.
- Ret til dataportabilitet: Den registrerede har ret til at modtage de oplysninger, som vedkommende selv har afgivet på et elektronisk medie i et almindelig læsbart format.
- Ret til indsigelse: Den registrerede har ret til at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger, hvis behandlingen er baseret på interesseafvejningsreglen. Herefter skal den dataansvarlige foretage en ny interesseafvejning.
- Ret til ikke at være genstand for automatiserede afgørelser: Der gælder som udgangspunkt et forbud mod at træffe rent automatiserede afgørelser baseret på personoplysninger, som har væsentlig retsvirkning for den registrerede, fx afslag på kredit, job og lign.
Det er vigtigt, at du som dataansvarlig opfylder oplysningspligten og de øvrige rettigheder, de registrerede har. Du kan med fordel søge rådgivning hos en advokat, hvis du har tvivlsspørgsmål i forbindelse med behandling af persondata.