De Informasjonskommissærens kontor har oppdatert delen i GDPR om individets rett til å bli informert om innsamling og bruk av deres personopplysninger.
La oss ta en titt på hva som er nytt.
Så vi vet alle nå at det er åpenhet som er kjernen i GDPR. Gi enkeltpersoner tilgang til de dypeste, mørkeste detaljene i personopplysningene vi har om dem, vær tydelig på hvordan de brukes og gi tilbake kontrollen. Nå går GDPR dypere inn i det løftet, med Retten til å bli informert.
I artikkel 13 og 14 i GDPR finner du detaljene om hva enkeltpersoner bør informeres om – referert til av Information Commissioner's Office (ICO) som personverninformasjon. Avhengig av hvordan du innhentet dataene i utgangspunktet (direkte fra individet eller via en annen tredjepartskilde) vil avgjøre hva du trenger å dele.
| Informasjonen du bør oppgi | Personopplysninger innhentet fra enkeltpersoner | Personopplysninger hentet fra andre kilder |
| Organisasjonens navn og kontaktinformasjon | ✓ | ✓ |
| Organisasjonsrepresentantens kontaktopplysninger | ✓ | ✓ |
| Databeskyttelsen Offiserens (DPO) navn og kontaktinformasjon | ✓ | ✓ |
| Hva du planlegger å gjøre med dataene du behandler | ✓ | ✓ |
| Har du et lovlig grunnlag for å behandle personopplysningene? | ✓ | ✓ |
| Har du en legitim interesse for behandling av personopplysningene? | ✓ | ✓ |
| Kategoriene av personopplysninger innhentet | ✓ | |
| Mottakerne eller kategoriene av mottakere av personopplysningene | ✓ | ✓ |
| Detaljene om enhver overføring av personopplysningene til tredjeland eller internasjonale organisasjoner | ✓ | ✓ |
| Hvor lenge du planlegger å beholde personopplysningene | ✓ | ✓ |
| Rettighetene tilgjengelig for enkeltpersoner i forbindelse med behandlingen | ✓ | ✓ |
| Retten til å trekke tilbake samtykke | ✓ | ✓ |
| Rett til å klage til en tilsynsmyndighet | ✓ | ✓ |
| Kilden til personopplysningene | ✓ | |
| Detaljene om hvorvidt enkeltpersoner er under en lovfestet eller kontraktsmessig forpliktelse til å gi personopplysningene | ✓ | |
| Detaljene om eksistensen av automatiserte beslutninger, inkludert profilering | ✓ | ✓ |
Rådet her er å vurdere konteksten for måten dataene ble samlet inn på i første omgang, og der det er mulig bruke samme medium for å kommunisere personverninformasjon. Fremfor alt er det viktig å holde det klart og enkelt og bruke et språk som målgruppen forstår.
Hvis du for eksempel bruker mobile og smarte enheter, kan du bruke popup-vinduer, talevarsler og enhetsbevegelser. I tillegg kan grafikk og ikoner gå langt i å kommunisere denne informasjonen på en enkel og intuitiv måte.
ICO refererer også til et "just-in-time-varsel" der relevant og fokusert informasjon presenteres for brukeren på tidspunktet for innsamling av personopplysninger eller når de bestemmer seg for å gi samtykke. Du kan også bruke den lagdelte tilnærmingen, som ligner på dette mobilenhetsbildet. Viktige og konsise punkter er oppført, med flere lag eller lenker til mer detaljert informasjon andre steder.
Den vanligste måten å tillate enkeltpersoner å tilgang og kontroll hvordan deres personlige data brukes er å bruke preferanseadministrasjonsverktøy eller dashbordområder på et nettsted.
Som vi har nevnt ovenfor, er et av kravene ved innsamling av personopplysninger å sikre at den enkelte har tilgang til personverninformasjon i det øyeblikket. Hvis du har innhentet personopplysningene deres fra en annen tredjepartskilde, må du følge andre krav:
Men i tilfelle du innhenter data fra en annen kilde, krever ikke GDPR at du forteller enkeltpersoner noe de allerede vet. Dette betyr at det ikke er nødvendig å oppgi personverninformasjon hvis:
Få dette kravet riktig, og ikke bare vil du overholde mange aspekter av GDPR, men det vil også hjelpe deg å demonstrere for en mer engasjert kundebase at du kan stole på deres personlige data.
ISMS.online har en sporing av personopplysninger og registreringer for å hjelpe deg med å gjøre nettopp det.
Informasjonen i denne bloggen er til generell veiledning og utgjør ikke juridisk rådgivning.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang