12. Informér brugerne

GDPR’s gennemsigtighedsprincip kræver, at al information eller kommunikation vedrørende behandling af persondata skal være kortfattet, gennemsigtig, forståelig og let tilgængelig i et klart og enkelt sprog.

Hvem skal informeres, og hvornår?

Registrerede personer skal informeres:
- Ved direkte indsamling af data, dvs. når data indsamles direkte fra individer (eksempler: formularer, online køb, kontraktindgåelse, åbning af en bankkonto) eller via enheder og teknologier til overvågning af personers aktivitet (eksempler: analyse af internetadfærd, geolokation og Wi-Fi-tracking til publikumsanalyse osv.).
- Ved indirekte indsamling af persondata, dvs. når data ikke indsamles direkte fra individer (eksempler: data indhentet fra handelspartnere, data brokers, offentligt tilgængelige kilder osv.).
Denne information skal gives:
- Ved dataindsamling i tilfælde af direkte indsamling.
- Så hurtigt som muligt ved indirekte indsamling, og senest en måned efter indsamlingen (med undtagelser).
- Ved væsentlige ændringer eller særlige hændelser, f.eks. nyt formål, nye modtagere, ændring i måden rettigheder udøves på eller ved databrud.

Hvilke oplysninger skal gives?

Følgende oplysninger skal altid gives:
- Identitet og kontaktoplysninger på den organisation, der indsamler dataene.
- Formålet med databehandlingen (hvad skal dataene bruges til?).
- Det lovlige grundlag for behandlingen (se mere om lovlige grundlag).
- Om dataindsamlingen er obligatorisk eller frivillig, samt konsekvenserne ved manglende afgivelse af data.
- Modtagere eller kategorier af modtagere af dataene (hvem har brug for adgang?).
- Opbevaringsperiode for dataene (eller kriterierne for at fastsætte den).
- Den registreredes rettigheder og hvordan de kan udøves (retten til indsigt, berigtigelse, sletning og begrænsning gælder for alle behandlinger).
- Kontaktoplysninger på databeskyttelsesrådgiveren (DPO), hvis en sådan er udpeget.
- Retten til at indgive en klage til den nationale databeskyttelsesmyndighed.
I visse tilfælde skal yderligere information gives, f.eks. hvis data overføres uden for EU, ved fuldautomatiserede beslutninger eller profilering, eller når behandlingen baseres på legitim interesse (se vejledningen om gennemsigtighed).
Ved indirekte dataindsamling skal der også oplyses om:
- De indsamlede datakategorier.
- Datakilden, herunder om dataene stammer fra offentligt tilgængelige kilder.

I hvilken form skal informationen gives?

Informationen skal være let tilgængelig – brugeren skal kunne finde den uden besvær.
Den skal være klar og forståelig, dvs. med et simpelt sprog (korte sætninger, ingen juridiske eller tekniske termer) og tilpasset målgruppen (med særlig opmærksomhed på børn og sårbare personer).
Den skal være kortfattet. For at undgå informations-overload bør den mest relevante information præsenteres på det rette tidspunkt.
Oplysninger om databeskyttelse skal være adskilt fra anden information såsom kontraktbetingelser eller generelle vilkår.

Hvilken kommunikation kræves ved et databrud?

En organisation kan uforvarende eller med overlæg blive udsat for et brud på persondatasikkerheden, dvs. ødelæggelse, tab, ændring eller uautoriseret offentliggørelse af data. I så fald skal organisationen rapportere bruddet til den nationale databeskyttelsesmyndighed inden for 72 timer, hvis det udgør en risiko for registreredes rettigheder og friheder.
Hvis risikoen vurderes som høj, skal de berørte personer også informeres så hurtigt som muligt, samt modtage rådgivning om, hvordan de kan beskytte deres data (f.eks. spærring af et kompromitteret betalingskort, ændring af adgangskode osv.).
Indberetning af brud til CNIL kan ske via CNIL’s hjemmeside.

Nyttige ressourcer

Data & Design udviklet af CNIL’s Digital Innovation Laboratory forklarer disse koncepter og giver eksempler på brugergrænseflader.
CNIL’s hjemmeside indeholder også mange eksempler på informationstekster (på fransk).
Siden om databrud på CNIL’s hjemmeside (på fransk).

Documentation