Smakämnen Information Commissioner's Office har uppdaterat avsnittet i GDPR om individens rätt att bli informerad om insamling och användning av deras personuppgifter.
Låt oss ta en titt på vad som är nytt.
Så vi vet alla vid det här laget att det är transparens som är kärnan i GDPR. Tillåt individer tillgång till de djupaste, mörkaste detaljerna i de personuppgifter vi har om dem, vara tydlig med hur den används och ge tillbaka kontrollen. Nu går GDPR djupare in i det löftet, med Rätten att bli informerad.
I artiklarna 13 och 14 i GDPR hittar du detaljerna om vad individer bör informeras om – kallad av Information Commissioner's Office (ICO) som Privacy Information. Beroende på hur du fick uppgifterna i första hand (direkt från individen eller via en annan tredjepartskälla) kommer att avgöra vad du behöver dela.
| Informationen du ska lämna | Personuppgifter erhållna från individer | Personuppgifter erhållna från andra källor |
| Organisationens namn och kontaktuppgifter | ✓ | ✓ |
| Organisationsrepresentantens kontaktuppgifter | ✓ | ✓ |
| Dataskyddet Tjänstemannens (DPO) namn och kontaktuppgifter | ✓ | ✓ |
| Vad du planerar att göra med de uppgifter du behandlar | ✓ | ✓ |
| Har du en laglig grund för att behandla personuppgifterna? | ✓ | ✓ |
| Har du en legitimt intresse för att behandla personuppgifterna? | ✓ | ✓ |
| De kategorier av personuppgifter som erhållits | ✓ | |
| Mottagarna eller kategorierna av mottagare av personuppgifterna | ✓ | ✓ |
| Uppgifterna om eventuella överföringar av personuppgifter till tredjeländer eller internationella organisationer | ✓ | ✓ |
| Hur länge du planerar att behålla personuppgifterna | ✓ | ✓ |
| De rättigheter som är tillgängliga för enskilda med avseende på behandlingen | ✓ | ✓ |
| Rätten att återkalla samtycke | ✓ | ✓ |
| Rätten att framföra klagomål till en tillsynsmyndighet | ✓ | ✓ |
| Källan till personuppgifterna | ✓ | |
| Uppgifterna om huruvida individer har en lagstadgad eller avtalsenlig skyldighet att tillhandahålla personuppgifterna | ✓ | |
| Detaljerna om förekomsten av automatiserat beslutsfattande, inklusive profilering | ✓ | ✓ |
Råden här är att överväga sammanhanget för hur uppgifterna samlades in i första instans, och om möjligt använda samma medium för att kommunicera sekretessinformation. Framför allt är det viktigt att hålla det tydligt och enkelt och att använda ett språk som målgruppen skulle förstå.
Om du till exempel använder mobila och smarta enheter kan du använda popup-fönster, röstvarningar och enhetsgester. Dessutom kan grafik och ikoner gå långt för att kommunicera denna information på ett enkelt och intuitivt sätt.
ICO hänvisar också till ett "just-in-time meddelande" där relevant och fokuserad information presenteras för användaren vid tidpunkten för insamling av personuppgifter eller när de beslutar att ge sitt samtycke. Du kan också använda den skiktade metoden, liknande den här mobila enhetsbilden. Viktiga och koncisa punkter listas, med ytterligare lager eller länkar till mer detaljerad information på annat håll.
Det vanligaste sättet att låta individer åtkomst och kontroll hur deras personuppgifter används är att använda preferenshanteringsverktyg eller instrumentpanelområden på en webbplats.
Som vi har nämnt ovan är ett av kraven vid insamling av personuppgifter att säkerställa att individen har tillgång till sekretessinformation vid det tillfället. Om du har erhållit deras personuppgifter från en annan tredjepartskälla, har du andra krav att följa:
Men i fallet med att erhålla data från en annan källa kräver GDPR inte att du berättar för individer något de redan vet. Detta innebär att tillhandahållande av sekretessinformation inte krävs om:
Få det här kravet rätt och du kommer inte bara att följa många aspekter av GDPR, utan det kommer också att hjälpa dig att visa för en mer engagerad kundbas att du kan lita på deras personuppgifter.
ISMS.online har en spårning av personuppgifter och registerbearbetning som hjälper dig att göra just det.
Informationen i denna blogg är till allmän vägledning och utgör inte juridisk rådgivning.
100 % av våra användare uppnår ISO 27001-certifiering första gången