Oplysningspligt ved behandling af personoplysninger
Virksomheder skal ifølge persondataforordningen informere de registrerede om en række ting i forbindelse med behandlingen af deres persondata. Oplysningspligten er udvidet i forhold til de gamle regler. Det åbner op for spørgsmål om behovet for at informere igen, selvom virksomheden behandler data til uændrede formål. I nyhedsbrevet stiller vi skarpt på oplysningspligtens omfang og overgangen til de nye regler.
Ny oplysningspligt?
Virksomheder var også efter de tidligere persondataregler forpligtet til at informere de registrerede om en række forhold. Men persondataforordningen har udvidet kravene til oplysningernes indhold, og til hvornår og hvor ofte oplysningerne skal gives.
Oplysningspligten skal overholdes fra indsamling til sletning. Det betyder, at virksomhedens dataansvarlige skal vurdere, om fortsat behandling af persondata udløser en ny oplysningspligt over for de registrerede. Det er eksempelvis tilfældet, når virksomheder bevarer personalefilerne for fratrådte medarbejdere.
Om der stilles krav til supplerende information og informationens omfang afhænger af, om behandlingen fortsætter med samme eller andre formål.
Behandling til samme formål
Selvom virksomheder fortsætter med at behandle persondata til samme formål, har virksomheden i mange tilfælde pligt til at informere igen med supplerende oplysninger. Det skyldes, at de nye persondataregler udvider omfanget af den information, der skal gives. Virksomhedens oprindelige information vil derfor ofte være utilstrækkelig.
Virksomheder skal altså informere de registrerede om en række supplerende oplysninger for at opfylde sin oplysningspligt efter de nye regler. Omfanget af den supplerende information afhænger af, om persondata er indsamlet hos den registrerede selv eller hos en tredjepart. Virksomhedens dataansvarlige må i den forbindelse konkret vurdere, om visse oplysninger kan udelades.
Forordningens udvidede krav til oplysningspligten betyder derfor, at virksomheder der fortsat behandler oplysninger til et uændret formål, skal oplyse om:
- Behandlingsaktivitetens juridiske hjemmel
- Tidsrummet for opbevaring
- Relevante kontaktoplysninger
- Eventuelle tredjelandsoverførsler
- Retten til begrænsning af behandling
- Retten til dataportabilitet
- Retten til at indgive en klage til tilsynsmyndigheden
- Eventuelle automatiserede afgørelser, herunder profilering
Behandling til andre formål
Under de tidligere persondataregler var der en formodning om, at persondata kunne viderebehandles til efterfølgende saglige formål. En ny oplysningspligt indtrådte derfor tidligere kun i særlige tilfælde.
Forordningen skærper kravet. Det betyder, at virksomheder fremover skal informere på ny, når persondata behandles til andre formål end det oprindelige. Virksomheder skal i den forbindelse være opmærksomme på, at det nye formål kan risikere at være så langt fra det oprindelige, at det ikke er tilstrækkeligt kun at informere den registrerede.
Virksomheder kan opleve, at det er problematisk at informere – især hvis persondataen ikke er indsamlet hos den registrerede. Forordningen indeholder i den forbindelse en række undtagelser, eksempelvis i de tilfælde hvor det er umuligt eller kræver en uforholdsmæssig stor indsats fra virksomhedens side at informere.
IUNO mener
Forordningen udvider virksomheders pligt til at informere, både når persondata behandles til samme og andre formål. De nye regler betyder derfor, at virksomheder sjældnere kan undlade at informere om en række ting i forbindelse med behandling af persondata.
Virksomheder bør derfor sikre, at de oprindelige informationer opfylder de nye krav. IUNO anbefaler derudover, at virksomheder får foretaget en vurdering af, om pligten til at informere falder under forordningens undtagelser. Og om virksomhedens interne retningslinjer og sletterutiner er i overensstemmelse med de nye krav.
Ny oplysningspligt?
Virksomheder var også efter de tidligere persondataregler forpligtet til at informere de registrerede om en række forhold. Men persondataforordningen har udvidet kravene til oplysningernes indhold, og til hvornår og hvor ofte oplysningerne skal gives.
Oplysningspligten skal overholdes fra indsamling til sletning. Det betyder, at virksomhedens dataansvarlige skal vurdere, om fortsat behandling af persondata udløser en ny oplysningspligt over for de registrerede. Det er eksempelvis tilfældet, når virksomheder bevarer personalefilerne for fratrådte medarbejdere.
Om der stilles krav til supplerende information og informationens omfang afhænger af, om behandlingen fortsætter med samme eller andre formål.
Behandling til samme formål
Selvom virksomheder fortsætter med at behandle persondata til samme formål, har virksomheden i mange tilfælde pligt til at informere igen med supplerende oplysninger. Det skyldes, at de nye persondataregler udvider omfanget af den information, der skal gives. Virksomhedens oprindelige information vil derfor ofte være utilstrækkelig.
Virksomheder skal altså informere de registrerede om en række supplerende oplysninger for at opfylde sin oplysningspligt efter de nye regler. Omfanget af den supplerende information afhænger af, om persondata er indsamlet hos den registrerede selv eller hos en tredjepart. Virksomhedens dataansvarlige må i den forbindelse konkret vurdere, om visse oplysninger kan udelades.
Forordningens udvidede krav til oplysningspligten betyder derfor, at virksomheder der fortsat behandler oplysninger til et uændret formål, skal oplyse om:
- Behandlingsaktivitetens juridiske hjemmel
- Tidsrummet for opbevaring
- Relevante kontaktoplysninger
- Eventuelle tredjelandsoverførsler
- Retten til begrænsning af behandling
- Retten til dataportabilitet
- Retten til at indgive en klage til tilsynsmyndigheden
- Eventuelle automatiserede afgørelser, herunder profilering
Behandling til andre formål
Under de tidligere persondataregler var der en formodning om, at persondata kunne viderebehandles til efterfølgende saglige formål. En ny oplysningspligt indtrådte derfor tidligere kun i særlige tilfælde.
Forordningen skærper kravet. Det betyder, at virksomheder fremover skal informere på ny, når persondata behandles til andre formål end det oprindelige. Virksomheder skal i den forbindelse være opmærksomme på, at det nye formål kan risikere at være så langt fra det oprindelige, at det ikke er tilstrækkeligt kun at informere den registrerede.
Virksomheder kan opleve, at det er problematisk at informere – især hvis persondataen ikke er indsamlet hos den registrerede. Forordningen indeholder i den forbindelse en række undtagelser, eksempelvis i de tilfælde hvor det er umuligt eller kræver en uforholdsmæssig stor indsats fra virksomhedens side at informere.
IUNO mener
Forordningen udvider virksomheders pligt til at informere, både når persondata behandles til samme og andre formål. De nye regler betyder derfor, at virksomheder sjældnere kan undlade at informere om en række ting i forbindelse med behandling af persondata.
Virksomheder bør derfor sikre, at de oprindelige informationer opfylder de nye krav. IUNO anbefaler derudover, at virksomheder får foretaget en vurdering af, om pligten til at informere falder under forordningens undtagelser. Og om virksomhedens interne retningslinjer og sletterutiner er i overensstemmelse med de nye krav.