Artikel 12 GDPR: Transparent information, kommunikation och rutiner för utövande av de registrerades rättigheter

Artikel 12 i dataskyddsförordningen (GDPR) är en rättsregel för informationsöppenhet. I GDPR-lagen har den en viktig plats, eftersom den kräver en lättförståelig personuppgiftspolicy och samtyckesfråga. Den säger:

Lagstextet

(1) Den ansvarige tar lämpliga åtgärder för att till den berörda personen alla information enligt artiklarna 13 och 14 och alla meddelanden enligt artiklarna 15-22 och artikel 34, som avser behandlingen, i precisa, transparenta, begripliga och lätt tillgängliga form i en tydlig och enkel språkform att överlämna; detta gäller särskilt för information som är specifikt riktad till barn. Överlämnandet av informationen sker skriftligt eller på annat sätt, eventuellt också elektroniskt. Om den berörda personen begär det kan informationen lämnas muntligen, så länge identiteten hos den berörda personen har bekräftats på annat sätt. ([1]) ([2]) ([3])

(2) Den ansvarige underlättar för den berörda personen att utöva deras rättigheter enligt artiklarna 15 till och med 22. I de fall som nämns i artikel 11, 2 § får den ansvarige endast vägra att på grund av den berördas begäran om att utöva deras rättigheter enligt artiklarna 15 till och med 22 ta sig an uppgiften, om han kan visa att han inte har möjlighet att identifiera den berörda personen. ([1]) ([2]) ([3])

(3) Den ansvarige personen skall tillhandahålla den berörda personen information om de åtgärder som har vidtagits enligt artikel 15 till [22] på begäran, omedelbart, men i varje fall inom en månad efter att anmälningen inkommit. Denna frist kan förlängas med ytterligare två månader om detta är nödvändigt med hänsyn till komplexiteten och antalet begäran. Den ansvarige personen skall underrätta den berörda personen inom en månad efter att anmälningen inkommit om en fristförlängning, tillsammans med orsakerna till förseningen. Om den berörda personen har lämnat in sin begäran elektroniskt skall hon informeras på elektronisk väg, såvida hon inte annordar detta. ([1])

(4) Om den ansvariga inte agerar på begäran från den registrerade personen, ska denne utan dröjsmål, senast inom en månad från mottagandet av begäran, informeras om orsakerna till detta och om möjligheten att lämna en klagomål till en tillsynsmyndighet eller att överklaga beslutet i domstol.

(5) Informationer enligt artiklarna 13 och 14 samt alla meddelanden och åtgärder enligt artiklarna 15 till 22 och artikel 34 får lämnas kostnadsfritt. Vid uppenbart ogrundade eller – särskilt i fallet med ofta återkommande – exessiva ansökningar från en berörd person kan den ansvarige antingen ([1]) ([2]) ([3])

a) begära ett rimligt avgift, där administrativa kostnader för upplysning, meddelande eller genomförande av den begärda åtgärden beaktas, eller

b) vägra att agera på grund av förfrågan. Den ansvariga ska styrka att förfrågan är uppenbart ogrundad eller överdriven.

(6) Har den personuppgiftsansvarige grundade tvivel om identiteten på den fysiska person som lämnar in ansökan enligt artiklarna 15 till [21], så kan han eller hon, oavsett artikel 11, begära ytterligare uppgifter för att bekräfta identiteten på den berörda personen. ([1]) ([2])

(7) De upplysningar som skall lämnas till de berörda personerna enligt artiklarna 13 och 14 kan lämnas i kombination med standardiserade bildsymboler, för att på ett tydligt, begripligt och klart följbart sätt ge en översiktlig bild av den planerade behandlingen. Om bildsymbolerna visas elektroniskt måste de vara maskinläsbara. ([1])

(8) Kommissionen ges lämnas befogenheten att, enligt artikel 92 anta delegerade förordningar om bestämmande av de uppgifter som skall visas med bildsymboler och om förfarandet vid tillhandahållande av standardiserade bildsymboler. ([1])

Vanliga begrepp (normerat): Person(15), berörda(14), ansökan(12), personuppgiftsansvariga(9), information(8), formulär(5), åtgärd(4), elektroniskt(4)

Kommentarer

Artikel 12 kapitel 1 betyder särskilt att dataskyddsinformationer måste vara tillgängliga på den språk som webbplatsen är skriven på eller det språk som målgruppen förhåller sig till. Den nederländska dataskyddsmyndigheten har dömt TikTok till en straffavgift på 750.000 € eftersom TikTok bara hade en engelsk dataskyddspolicy.

Artikel 12 kapitel 1 talar ihop med Artikel 5 kapitel 1 b GDPR om att dataskyddsinformationer och därmed en samtyckesfråga ska vara specifik för varje verktyg som används på en webbplats, såsom Google reCAPTCHA. Dessutom måste (i synnerhet enligt kapitel 1 c i refererade Artikel 13 GDPR) för varje verktyg och cookie (se även EU-domstolens dom om Planet49, till exempel punkt 81) tydlig förklaras vilka syftena är.

Den maximala fristen på en månad som angeses i punkt 3 ska förstås som sådan. Huvudsakligen gäller principen om omedelbarhet. Detta har arbetsdomstolen i Duisburg klargjort (ArbG Duisburg, dom från 03.11.2023 – 5 Ca 877/23).

Även intressant

• Dataskyddsförordningen i allmänhet
• Artikel 5 GDPR: Principer för behandling av personuppgifter ([1])
• Artikel 6 GDPR: Rättsliga grunder för behandling ([1])
• Artikel 7 GDPR: Förutsättningar för samtycke ([1])
• Datum 12 i GDPR: Transparens, information och villkor för utövande av de berörda personens rättigheter Artikel 13 GDPR: Informationen som ska lämnas
• Artikel 15 GDPR: Rätt till information ([1])
• Artikel 26 GDPR: Samma ansvarighet ([1])

Huvudpunkter i denna artikel

Företag måste klargöra, på ett enkelt och förståeligt sätt, hur de hanterar data.

Personer som är berörda har rätt att få ut information om sina uppgifter och att korrigera dessa.

Företag måste svara på förfrågningar från berörda personer inom en månad.

Vid otillåtna eller överdrivna dataskyddsinformationer kan den ansvariga begära avgifter eller avslå förfrågan.

Den ansvariga måste kunna styrka skälet för att neka en begäran.

Dataskyddsinformationer kan framställas med bildsymboler för att bli mer förståeliga.

Dataskyddsinformationer kan illustreras med bilder för att bli mer förståeliga.