Hvilke oplysninger skal en ansvarlig person i henhold til artikel 13 i GDPR videregive til den berørte person?

Den ansvarlige person skal fremlægge oplysninger om formålet med behandlingen af data, de ansvarlige personer, modtagerne af data og varigheden af datalagringen. Derudover skal vedkommende forklare retten til at få oplysninger, til at få rettet oplysninger, til at få slettet oplysninger og til at gøre indsigelse.

Hvilke supplerende oplysninger kræves i henhold til artikel 13 i GDPR for en fair og gennemsigtig behandling?

Ud over de kerneoplysninger skal den ansvarlige oplyse om varigheden af datalagring, retten til at få oplysninger samt retten til at se bort fra samtykke eller klagemuligheden over en tilsynsmyndighed. Oplysninger om automatiske beslutninger skal efter behov angives.

Hvad skal en virksomhed gøre, når den indsamler personoplysninger om en person?

Virksomheden skal give den berørte person en omfattende information om, hvem der har dataene, hvorfor de er nødvendige og hvem de eventuelt kan videregives til. Denne information skal være transparent og forståelig.

Hvilke rettigheder har en person, der er berørt, i forhold til sine data?

Den betraffenen Person har ret til at få oplyst om behandlingen af deres data, indsigt i dem, rette dem eller få dem slettet. Dette er en vigtig del af gennemsigtigheden.

Hvorfor er det relevante information for den berørte person under dataindsamlingen vigtig?

Informationen er høstes for at sikre en retfærdig og gennemsigtig behandling. Det giver den berørte person mulighed for at træffe informerede beslutninger om videregivelsen af deres data og udøve deres rettigheder.

Artikel 13 GDPR: Oplysningspligt ved indsamling af personoplysninger hos den registreredes person

Artikel 13 i den persondataforordning (GDPR) er en lovgivende bestemmelse om oplysningerpligt ved indsamling af personlige data fra den pårørte person. Den har en vigtig placering i GDPR-loven, da den også fungerer som regel for en datasketch. Den siger:

Lovgivningstekst (fed skrift tilføjet)

(1) Hvis personlige oplysninger bliver indhentet hos den pårørte person, så deler den ansvarlige person til den pårørte person ved tidspunkt for indhentningen af disse oplysninger følgende information:

a) navn og kontaktoplysninger på den ansvarlige, samt navn og kontaktoplysninger på en eventuel repræsentant;

eventuelt kontaktoplysninger på databeskyttelsesombudsmanden;

c) de Formål, for hvilke de personlige oplysninger skal behandles, samt den retlige grundlag for behandlingen;

d) hvis behandlingen af personoplysninger bygger på artikel 6, stk. 1, b) og er baseret på de retlige interesser, som værdsætterens eller en tredje part søger at opnå ([1]) ;

e) i givet fald modtagere eller kategorier af modtagere af de personlige oplysninger og

f) i sagsøgende tilfælde den henvendte persons intention om at overdrage persondata til et tredjeland eller en international organisation, samt om der findes en tilgodesetning fra Kommissionen eller hvis dataoverdragelse sker efter Artikel 46, Artikel 47, Artikel 49 Abs. 1 stk. 2 en henvisning til de relevante eller tilgodesettende garantier og muligheden for at få en kopi af dem, eller hvor de kan findes. [Gemeint er overdragelser til usikre tredjelande, som USA]

(2) Ud over de oplysninger, der er fast i stk. 1, stiller den ansvarlige person for den berørte person ved indhentning af disse oplysninger yderligere oplysninger til rådighed, som er nødvendige for at sikre en fair og transparent behandling:

a) den varighed, for hvilken tid personlige oplysninger gemmes eller, hvis det ikke er muligt, kriterierne for at fastlægge denne varighed;

b) den ret til oplysning fra den ansvarlige om de pågældende persondata samt ret til at få rettet eller slettet eller begrænset i forhold til behandlingen eller et ret til dataoverdragelighed;

c) hvis behandlingen af personoplysninger er baseret på artikel 6, stk. 1, b) eller artikel 9, stk. 2, b), skal det tildeles en ret til at trække sin samtykke tilbage, uden at der bliver berørt den lovlighed af behandlingen, der har fundet sted før tilbagetrækningen af samtygget;

d) det Bestående af et ankeforslag til en tilsynsmyndighed;

e) om tilgængeligheden af persondata er pålagt ved lov eller aftale, om den berørte person er forpligtet til at tilbyde persondata og hvilke mulige konsekvenser der følger ved ikke-tilgængelighed af data og

f) den automatiske beslutningsfindelse inklusive Profiling efter Artikel 22 Absatserne 1 og 4 samt – mindst i disse tilfælde – oplysende informationer om den involverede logik, såvel som omfang og de ønskede virkninger af en sådan behandling for den pårørte person.

(3) Hvis den ansvarlige har til hensigt at viderebehandle de personlige oplysninger til et andet formål end det, som de blev indsamlet til, skal han/hun give den registreredes person oplysninger om dette andet formål og alle andre relevante oplysninger i overensstemmelse med punkt 2, inden denne viderebehandling finder sted.

stk. 1, 2 og 3 finder ikke anvendelse, når og i det omfang, den registreredes personlige oplysninger allerede er tilgængelige.

Fuldt lovtekst

Fremkomme Begriffe (normeret): Data(12), personbezogen(10), Behandling(8), påvirket(7), Person(7), Ansvarlig(6), Information(6), Formål(3).

Bemærkninger

Som Art. 5 § 1 b GDPR fremhæver, skal oplysningerne til formålet efter ovenstående § 1 c "sker for fastsatte, tydelige og legitime formål". I Art. 5 § 1 a GDPR kræves en lovlige behandling, der skal ske i overensstemmelse med god tro. I forbindelse med EU-domstolens afgørelse til Planet49 følger det således, at (mindst) for teknisk ikke nødvendige cookies skal angives formålet. Cookies behandler altid personlige oplysninger, som min undersøgelse viste.

I Art. 13 § 1 e GDPR findes der virkelig valgmulighed, enten at nævne modtagerne af data eller kategorier af modtagere. I stedet skal modtagerne navngøres så præcist som muligt. En ansvarlig kan godt nævne kategorier af modtagere, hvis det er meningsfuldt (f.eks. mere overskueligt) at informere en berørte person herom. I særdeleshed kan dette være tilstrækkeligt, når allgemeine, pauschale privatlivsinformationer gives. Spurg en berørt person dog eksplizit efter de præcise modtagere, skal disse helt konkret navngøres (se Bußgeld gegen WhatsApp, f.eks. Rn. 426f), da en ansvarlig må kende modtagerne. Se her til videre også bemærkningerne i Art. 15 GDPR samt de der givne referencer.

"Grundsætningerne for en fair og transparent behandling gør det nødvendigt, at den registreredes person oplyses om eksistensen af behandlingsforløbet og dets formål. Den ansvarlige skal yderligere give den registrerede alle nødvendige oplysninger, der i betragtning af de særlige omstændigheder og rammer, under hvilke de personlige data behandles, er nødvendige for at sikre en fair og transparent behandling."

Betænkningsgrundlag 60 GDPR

Et mønster for standardteksten kan trukkes fra min persondatopolicy. Tekstene skal tilpasses individuelle behov. Den ansvarlige for hjemmesiden, hvor standardteksten anvendes, er selv ansvarlig.

Også interessant

Datatilsynsbevillingen generelt
Artikel 5 GDPR: Principper for datafremstillingen ([1])
Artikel 6 GDPR: Retlige grundlag for behandling af personoplysninger ([1])
Artikel 7 GDPR: Betingelser for samtykke ([1])
Artikel 15 GDPR: Ret til oplysninger ([1])
Artikel 26 GDPR: Fælles ansvarlighed ([1])

Kernelementer i denne artikel

Hvis dine data indsamles, skal du blive informeret om, hvem der har dine data, hvorfor de er nødvendige og hvem de muligvis videregives til.

Når virksomheder gemmer data fra mennesker, skal de informere menneskene om, hvad dataene bruges til, hvor længe de gemmes og hvilke rettigheder menneskene har (f.eks. at få adgang til, rette eller slette data).

Hvis du behandler data, skal du informere de berørte om hvem der præcis modtager disse data.

Over disse grundlæggende påstande