headphones newspaper video-player

Vad kräver GDPR att mitt företag lämnar för information?

När du samlar in personuppgifter ska ditt företag lämna viss information till de personer du samlar in uppgifter om. Detta ska göras för att ditt företag ska uppnå de krav på lämnad information som ställs upp i GDPR, EUs nya allmänna dataskyddsförordning som träder i kraft den 25 maj 2018.

Som huvudregel ska informationen lämnas skriftligen. Men informationen kan lämnas muntligen om den registrerade, dvs. den person uppgifterna gäller, begär det och du är säker på att det är den registrerade.

Ditt svenska företag ska lämna följande information, förutsatt att den registrerade inte redan förfogar över informationen.

Om ditt företag hämtar in personuppgifter från den registrerade själv, ska ditt svenska företag lämna följande information 

Lämna denna information

Om ditt företag hämtar in personuppgifter från den registrerade själv, ska ditt svenska företag lämna följande information; 

1. Personuppgiftsansvarig (ditt företag) inklusive kontaktuppgifter.

2. Kontaktuppgifter till dataskyddsombudet, om ditt företag utsett sådant.

3. Ändamålen med behandlingen av personuppgifterna.

4. Den rättsliga grunden för behandlingen.

5. De kategorier av personuppgifter som behandlingen gäller t.ex. adressuppgifter.

6. Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, om du lämnar ut personuppgifterna till någon annan.

7. Om du tänker lämna ut uppgifterna till någon utanför EU vilka skyddsåtgärder m.m. som finns och hur hen kan få en kopia eller var dessa finns att läsa.

8. Den period som personuppgifterna kommer att lagras under eller villkor som används för radering.

9. Rätten att begära tillgång till, rättelse och radering av personuppgifter, begränsning av behandling, invända mot behandling och dataportabilitet.

10. Att det finns en rätt att återkalla sitt samtycke till behandling av personuppgifter och känsliga personuppgifter.

11. Rätten att klaga till Datainspektionen, som är tillsynsmyndighet.

12. Om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt om den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

13.  Förekomsten av automatiserat beslutsfattande, inklusive profilering som får rättsliga följder eller i betydande grad påverkar hen eller grundar sig på känsliga personuppgifter, i åtminstone dessa fall ska det lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Dessutom ska du lämna information om ditt företag kommer att behandla personuppgifterna för annat syfte än det som personuppgifterna insamlades för. Då ska ditt företag lämna information om det nya syftet och punkterna 8-13 ovan. Men om den registrerade redan har informationen behöver ditt företag inte lämna den igen, varken när du samlar in uppgifterna eller vid ändring av syftet.

Om ditt företag hämtar in personuppgifter från någon annan än den registrerade ska ditt företag lämna följande information till den registrerade.

Personuppgifter från någon annan än den registrerade

Om ditt företag hämtar in personuppgifter från någon annan än den registrerade ska ditt företag lämna följande information till den registrerade;

1. Personuppgiftsansvarig (ditt företag) inklusive kontaktuppgifter.

2. Kontaktuppgifter till dataskyddsombudet, om ditt företag utsett sådant.

3. Ändamålen med behandlingen av personuppgifterna.

4. Den rättsliga grunden för behandlingen.

5. De kategorier av personuppgifter som behandlingen gäller t.ex. adressuppgifter.

6. Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, om du lämnar ut personuppgifterna till någon annan.

7. Om du tänker lämna ut uppgifterna till någon utanför EU, vilka skyddsåtgärder m.m. som finns och hur hen kan få en kopia av dessa skyddsåtgärder eller var dessa finns att läsa.

8. Den period som personuppgifterna kommer att lagras under eller villkor som används för radering.

9. Om behandlingen grundar sig på en intresseavvägning, de berättigade intressena för behandlingen.

10. Rätten att begära tillgång till, rättelse och radering av personuppgifter, begränsning av behandling, invända mot behandling och dataportabilitet.

11. Att det finns en rätt att återkalla sitt samtycke till behandling av personuppgifter och känsliga personuppgifter.

12. Rätten att klaga till Datainspektionen, som är tillsynsmyndighet.

13. Varifrån personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor

14. Förekomsten av automatiserat beslutsfattande, inklusive profilering som får rättsliga följder eller i betydande grad påverkar hen eller grundar sig på känsliga personuppgifter, i åtminstone dessa fall ska det lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Ditt företag ska lämna informationen senast inom en månad efter att det fått personuppgifterna från annan än den registrerade, men senast vid tidpunkten för den första kommunikationen med den registrerade eller personuppgifterna lämnas ut till annan första gången. Ska ditt företag behandla personuppgifterna för annat syfte än för vilket de blivit insamlade, ska ditt företag ge information om det nya syftet och relevant information enligt punkterna 8-14 ovan.

Ditt företag behöver däremot inte informera den registrerade om uppgifterna du fått från annan om...

Då behöver företaget inte informera den registrerade

Ditt företag behöver däremot inte informera den registrerade om uppgifterna du fått från annan om;

1. den registrerade redan fått informationen,

2. det är omöjligt eller skulle medföra oproportionerlig ansträngning eller informationen skulle göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med behandlingen, förutsatt att ditt företag skyddar den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,

3. det finns rättsregler om mottagande och utlämnande av uppgifterna, vilka anger lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller

4. personuppgifterna måste förbli hemliga till följd av tystnadsplikt enligt lagstadgade sekretessförpliktelser.

Informationen ska vara kort, klar och tydlig, begriplig och i en lätt tillgänglig form.

Får inte ta betalt för informationen

Informationen ska vara kort, klar och tydlig, begriplig och i en lätt tillgänglig form. Ditt företag ska använda ett klart och tydligt språk, särskilt om den vänder sig till barn. Ditt företag får använda symboler för att underlätta överblick över den planerade behandlingen. Men ditt företag får inte ta betalt för informationen.

Det är bra om ditt företag skaffar rutiner för informationen till kunderna m.fl. oavsett om du samlar in uppgifterna direkt från kunderna eller hämtar uppgifterna från annat håll. Genom att lämna informationen så visar ditt företag att ni följer reglerna och kunderna får bättre möjlighet bevaka att deras personuppgifter används på ett korrekt sätt.

Räkna ut kostnaden för ditt medlemskap
VÄLJ MEDLEMSKAP, ANGE POSTNUMMER OCH ANTAL ANSTÄLLDA OCH SE ÅRSKOSTNAD