Informationsplikt OLD

En av de viktigaste och mer framträdande inslagen i GDPR är den så kallade informationsplikten.

Informationsplikten innebär att en personuppgiftsansvarig måste lämna viss information till den individ vars personuppgifter behandlas (”en/den registrerade”).

Informationsplikten skiljer sig åt i vissa avseenden beroende på om det är från den registrerade eller någon annan som personuppgifterna har samlats in. Skillnaderna gäller främst tidpunkten för när informationen ska lämnas, men det förekommer också vissa mindre skillnader gällande vilken information som ska lämnas. I allmänhet och för medlemsorganisationerna är det troligt att personuppgifterna många gånger kommer från den registrerade själv. Det kan dock också vara så att personuppgifterna kommer från någon annan, exempelvis från moderorganisationen, från en systerorganisation eller från någon helt annan källa. Att notera här är att ett personuppgiftsbiträde inte självständigt omfattas av skyldigheten att lämna information. Om överföringen däremot utgör en överföring mellan två olika personuppgiftsansvariga krävs det i regel att den första uppfyller sin informationsplikt och den senare sin. Notera också att två organisationer/företag kan vara gemensamt personuppgiftsansvariga. I sådana fall ska de som är gemensamt personuppgiftsansvariga mellan sig komma överens om hur informationsplikten uppfylls.

En viss informationsplikt följer redan av PuL, men i och med GDPR:s införande utvidgas informationsplikten avsevärt och nedan kommer det att redogöras för vad som gäller kring denna.

Sättet för tillhandahållandet av information

Huvudregeln är att informationen ska tillhandahållas skriftligt och, när så är lämpligt, elektroniskt. Detta innebär att en medlemsorganisation som exempelvis samlar in personuppgifter via webben, kan ha en hyperlänk som heter ”Information om personuppgiftsbehandling” eller bara ”Personuppgifter” där en medlem/kund (eller någon annan vars personuppgifter ska behandlas) kan klicka på hyperlänken och komma till en sida eller få upp ett nytt fönster där informationen framgår. Det går givetvis också bra att under fältet där personen fyller i sina personuppgifter ha informationen direkt i löpande text.

Om personuppgiften samlas in fysiskt genom exempelvis ett formulär är det lämpligt att ha en bilaga till formuläret där informationen framgår. Det går också bra att ha informationen löpande på själva formuläret.

Det finns inget krav om att mottagandet av informationen ska bekräftas av den registrerade genom att kryssa i en ruta eller lämna sitt undertecknande, men eftersom den personuppgiftsansvarige ska kunna visa att skyldigheterna enligt GDPR är uppfyllda kan det vara lämpligt med en bekräftande handling från den registrerade, men det är som sagt inget krav. Elektroniskt kan detta tillgodoses genom till exempel ”Jag har läst informationen om personuppgiftsbehandlingen”, följt av en ruta som går att kryssa i. När informationen lämnas fysiskt kan det också vara lämpligt att ha ett fält för undertecknande eller ikryssande av en ruta. 

Information som ska lämnas

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

När personuppgifter samlas in från den registrerade själv, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande.

  • Identitet och kontaktuppgifter för den personuppgiftsansvarige.
  • Kontaktuppgifter för dataskyddsombud (om ett sådant finns).
  • Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
  • Om behandlingen är grundad på intresseavvägningen, den personuppgiftsansvariges eller tredje parts berättigade intressen.
  • Om den personuppgiftsansvarige avser att överföra personuppgifterna till tredjeland och om det i så fall föreligger en så kallade ”adekvat skyddsnivå”.
  • Mottagarna eller de kategorier av mottagare som ska ta del av uppgifterna.
  • Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, kriterierna som används för att fastställa denna period.
  • Rätten att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller rätt att invända mot behandling samt rätt till dataportabilitet.
  • Rätten att återkalla ett samtycke till behandling (om det är den lagliga grunden).
  • Rätten att inge klagomål till en tillsynsmyndighet (för närvarande Datainspektionen)
  • Information om tillhandahållandet av personuppgifterna är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.
  • Förekomsten av automatiserat beslutsfattande, inbegripet så kallade profilering.

Information ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med i huvudsak nedan information som till stora delar motsvarar den information som ska lämnas om uppgifterna hade samlats in från den registrerade själv.

  • Identitet och kontaktuppgifter för den personuppgiftsansvarige.
  • Kontaktuppgifter för dataskyddsombud (om ett sådant finns).
  • Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
  • De kategorier av personuppgifter som behandlingen gäller.
  • Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.
  • Om den personuppgiftsansvarige avser att överföra personuppgifterna till tredjeland och om det i så fall föreligger en så kallade ”adekvat skyddsnivå”.
  • Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, kriterierna som används för att fastställa denna period.
  • Om behandlingen är grundad på intresseavvägningen, den personuppgiftsansvariges eller tredje parts berättigade intressen.
  • Rätten att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller rätt att invända mot behandling samt rätt till dataportabilitet.
  • Rätten att återkalla ett samtycke till behandling (om det är den lagliga grunden).
  • Rätten att inge klagomål till en tillsynsmyndighet
  • Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.
  • Förekomsten av automatiserat beslutfattande, inbegripet profilering.

Tidpunkten för inlämnandet av information

Som kort nämnts ovan under punkt 4.1 ska den personuppgiftsansvarige lämna informationen när uppgifterna erhålls från den registrerade. Med detta avses alltså att informationen ska lämnas när man samlar in personuppgifterna från den som ska registreras. Detta framstår som oproblematiskt på så sätt att det bör vara enkelt att avgöra när man samlar in personuppgifter. 

Vad gäller personuppgifter som har samlats in från någon annan än den registrerade gäller att den personuppgiftsansvarige ska lämna informationen:

  • inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad,
  • om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller
  • om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

Det är inte helt klart om en personuppgiftsansvarig kan vänta mer än en månad med att delge informationen till den registrerade i de fall när uppgifterna ska användas för att kommunicera med densamme. Situationen kan exemplifieras enligt följande. En personuppgiftsansvarig har fått uppgifterna från någon annan och avser att använda dem för kommunikation med den registrerade. Den personuppgiftsansvarige i vårt exempel har dock inte tänkt inleda någon kommunikation med den registrerade förrän om låt säga två månader. Frågan är då om denne kan vänta tills kommunikationen ska inledas eller om han måste hålla sig till månadsgränsen enligt punkt 1 ovan.

Av artikeln om informationsplikten i GDPR framstår det som att tidpunkterna är alternativa, det vill säga att en personuppgiftsansvarig hade kunnat vänta längre än en månad om personuppgifterna är avsedda att användas för kommunikation. Om en personuppgiftsansvarig däremot, utan större svårighet kan delge den registrerade informationen inom en månad, är vår rekommendation att så också ska ske.

Undantagen till att lämna information

Det finns ett antal undantag till informationsplikten men de gäller endast gäller under särskilda omständigheter. Som personuppgiftsansvarig ska man därför inte utan vidare avstå från att informera. Nedan redogörs för de undantag som är relevanta att känna till.

Ett undantag gäller fallet då den registrerade redan förfogar över (det vill säga på något sätt har fått) informationen. En tänkbar situation är att en viss medlemsorganisation har fått personuppgifter från sin syster- eller moderorganisation och att medlemsorganisationen vet att all information som ska lämnas också har lämnats av moder- eller systerorganisationen. 

Ett annat undantag gäller fallet då lämnandet av informationen av någon anledning skulle utgöra en omöjlighet eller en oproportionell ansträngning för den personuppgiftsansvarige. I GDPR framhålls det att detta särskilt gäller för behandling för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål.

Särskilt om vissa frågor angående behandling av känsliga personuppgifter

Behandling av sådana personuppgifter som är känsliga (se definitionslistan angående vad för uppgifter det kan röra sig om) är som huvudregel förbjudet. De finns dock en rad undantag till denna huvudregel några relevanta redogörs för nedan. Notera dock att redogörelsen nedan inte är en uttömmande sådan över vad som gäller för känslig personuppgiftsbehandling. Nedan lyfts dock några punkter som kan vara relevanta att känna till vid framtagandet av sina egna informationsskrivningar.

Vad som gäller kring behandling av känsliga personuppgifter regleras särskilt i bland annat art. 9 i GDPR. Där föreskrivs det att sådan behandling som huvudregel är förbjuden men att den kan vara laglig under en rad olika förutsättningar. En sådan förutsättning är att man har samtycke för sådan behandling från den registrerade. Om en känslig personuppgiftsbehandling grundas på ett samtycke bör dock också de förutsättningar som gäller för ett giltigt samtycke också vara uppfyllda (läs mer under avsnittet om samtycke).

Icke vinstdrivande organ som har ett politiskt, filosofiskt, religiöst eller fackligt syfte

Ibland kan dock ett annat undantag än ett samtycke vara mer lämpligt att grunda behandlingen på. I GDPR art. 9 p 2 d) föreskrivs det att förbudet mot känslig personuppgiftsbehandling inte ska gälla om:

”Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.”

Ovan citerade undantag kan exempelvis gälla för en kyrka som har ett medlemsregister. Medlemsregistret skulle kunna tolkas som en behandling om vilken religiös uppfattning medlemmarna har. Det utgör i och för sig en behandling av känsliga personuppgifter men kan vara okej genom tillämpning av ovan refererade undantag. Resonemanget kan också göra sig gällande för andra typer av idéburna organisationer som har angränsande syften som de som omnämns i artikeln, till exempel ett funktionsrättsförbund.

När det gäller informationsplikten kan det vara nödvändigt att omnämna vad för känslig personuppgiftsbehandling som kan förekomma och också varför den är laglig. Det skulle kunna uppnås genom att man citerar ovan undantag eller kort refererar till det. Exempelvis:

”Genom vårt medlemsregister kan din religiösa uppfattning framgå vilket utgör en så kallade känslig personuppgift. Behandlingen av en sådan uppgift är dock laglig enligt art. 9. 2 d) GDPR”.

Inom utbildningsområdet

Medlemsorganisationerna kan också många gånger vara skolor i vilket det kan förekomma känslig personuppgiftsbehandling. Sådan behandling omfattas också ofta av undantag till förbudet vilket gör den laglig. Det mest framträdande är art. 9.2 g) som stadgar att förbudet mot behandling av känsliga personuppgifter inte ska gälla om:

”Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.”

Denna bestämmelse hänvisar till medlemsstaternas nationella rätt och det pågår i skrivande stund ett omfattande lagstiftningsarbete för att anpassa den nationella rätten till GDPR. Exempelvis kommer skollagen och även andra författningar på utbildningsområdet att ändras. Det kan vara värt för de medlemsorganisationer som bedriver skolverksamhet att hålla koll på rättsutvecklingen för att säkerställa att ens behandling av känsliga personuppgifter inom skolverksamheten är laglig.  

Vad som är relevant för informationsplikten med koppling till ovan är att omnämna vad för känslig personuppgiftsbehandling som kan förekomma och också ha koll på varför den är laglig samt att ange den lagliga grunden i informationstexten.

Mallar för informationsskrivning

Under Relaterad information finns två mallar för informationsskrivning, en med kommentarer och en "ren" utan kommentarer. Mallen med kommentarer kan användas för ytterligare vägledning.

Mallarna för informationsskrivning till medlemmar och anställda är framtagna med den fiktiva ekonomiska föreningen Solrosen som exempel. Solrosens namn kan ersättas med er organisations namn och mallen kan anpassas till er verksamhet.

Medlemsorganisationerna kan vara andra typer av juridiska personer än ekonomiska föreningar. Mallarna – med undantag för den som riktar sig till medlemmar specifikt – går dock bra att använda även om den personuppgiftsansvarige är en annan juridisk person än en ekonomisk förening. Den mall som riktar sig till medlemmar kan dock även användas av en ideell förening.

Anpassa mallarna till er verksamhet

Mallarna är generella och ska ses som vägledande. Det kan krävas att ni ändrar, lägger till eller tar bort vissa skrivningar i mallarna för att anpassa den särskilt till er verksamhet. Informationsplikten handlar om att lämna information om den personuppgiftsbehandling man vidtar. Det GDPR kräver är att man ska lämna viss särskild information som redogörs för ovan under rubriken ”Information som ska lämnas” och som ska täckas upp för i mallarna.

Informationstexter kan se ut på många sätt. I våra mallar kommer det till uttryck genom att de inte är helt identiska även om de avhandlar samma typ av information. Upprättandet av en informationstext enligt GDPR behöver inte följa en viss exakt ordalydelse för att vara korrekt, det viktiga är att informationen täcker upp vad som ovan redogjorts för. Till er hjälp har ni våra mallar som ger en standard att utgå ifrån. Det GDPR kräver är att informationen ska vara tydlig och lättillgänglig samt att den alltid ska innehålla viss särskild information, det vill säga den som redogjorts för ovan.