Artikel 13 i dataskyddsförordningen (GDPR) är en rättsbestämmelse som gäller informationsplikt vid insamling av personuppgifter hos den berörda personen. I GDPR-lagen intar han en viktig ställning, eftersom han bland annat utgör föreskrift för en dataskyddspolicy. Han säger:
Lagtext (fetstil angivet)
(1) När personuppgifter samlas in från den berörda personen, så delar ansvarig parten med den berörda personen följande information vid tidpunkten för insamlingen av dessa uppgifter: (1) När personuppgifter samlas in från den berörda personen, såsom på webbplatser [6]alltid vid IP-adresser , så delar ansvarig parten med den berörda personen följande information vid tidpunkten för insamlingen av dessa uppgifter:
a) namnet och kontaktuppgifterna för den ansvariga samt vid behov uppgifter om hans eller hennes representant;
b) om relevant, kontaktuppgifter till den datainspektören;
c) de Syften, för vilka de personuppgifter som ska behandlas, samt den rättsliga grunden för behandlingen;
d) om behandlingen grundas på artikel 6,1 b) punkt f och berör den berättigade intresse som förföljs av ansvariga eller en tredje part;
e) om det är relevant, de mottagare eller kategorier av mottagare av de personuppgifter som
f) i förekommande fall den avsändarens avsikt att överföra personuppgifter till ett tredjeland eller en internationell organisation, samt om det finns ett lämplighetsbeslut från kommissionen eller vid överföringar enligt artikel 46 eller artikel 47 eller artikel 49 §1 andra strecksatsen en hänvisning till de lämpliga eller lämpliga garantier som finns och möjligheten att få en kopia av dem, eller var de kan hämtas. [Beträffande är överföringar till osäkra tredjeländer, såsom USA]
(2) Utöver de uppgifter enligt punkt 1 ska den ansvariga, när dessa uppgifter samlas in, även tillhandahålla den registrerade följande ytterligare uppgifter som är nödvändiga för att säkerställa en rättvis och transparent behandling:
a) den tidsperiod under vilken personuppgifterna sparas eller, om detta inte är möjligt, de kriterier som används för att fastställa denna tidsperiod;
b) att det finns ett rätt till upplysning från den ansvarige om de personuppgifter som gäller samt rätt till rättelse eller radering eller begränsning av behandlingen eller ett rätt till datapåläggbarhet;
c) om behandlingen grundas på artikel 6 punkt 1 bokstaven a eller artikel 9 punkt 2 bokstaven a, att det finns ett rätt att återkalla samtycket, utan att påverka den riktigheten av behandlingen som skett innan återkallelse, vilket har skett med samtyckets tillstånd;
d) att det finns en rättighet att anmäla sig till en tillsynsmyndighet;
f) om tillhandahållandet av personuppgifter är föreskrivet i lag eller avtal eller för ett avtalsförhållande krävs, om den berörda personen är skyldig att tillhandahålla personuppgifterna och vilka möjliga konsekvenser det skulle få om de inte tillhandahölls och
f) den automatiserade beslutsprocessen inklusive profilering enligt Artikel 22 Avsnitt 1 och 4 och – i dessa fall i alla fall – tillförlitliga uppgifter om den inblandade logiken samt omfattningen och de avsedda effekterna av sådan behandling för den berörde personen.
(3) Om den ansvariga avser att bearbeta de personuppgifter för en annan ändamål än den som de samlades in för, ska denne till den registrerade person, innan sådan vidarebearbetning sker, lämna information om detta andra ändamål och alla andra relevanta uppgifter enligt punkt 2.
(4) 1, 2 och 3 punkter gäller inte om och i den utsträckning den registrerade redan har tillgång till den informationen.
Vanliga begrepp (normerat): Data(12), personuppgiftsrelaterad(10), Hantering(8), berörda(7), Person(7), Ansvarig(6), Information(6), Syfte(3).
Kommentarer
Hur Artikel 5 §1 b GDPR uttrycker det, ska uppgifterna om syftena enligt ovanstående §1 c "gälla för fastställda, tydliga och lagliga ändamål". I Artikel 5 §1 a GDPR krävs laglig behandling, som skall ske i trohet. I samband med EU-domstolens dom om Planet49 leder detta till att (minst) för tekniskt inte nödvändiga cookies ska ange sina syften. Cookies behandlar alltid personuppgifter, som min undersökning visade.
I artikel 13, punkt 1 e i GDPR finns ingen verklig valmöjlighet att ange mottagare av data eller kategorier av mottagare. Istället ska mottagarna anges så specifikt som möjligt. En person ansvarig för behandlingen kan välja att ange kategorier av mottagare om detta är meningsfullt (och mer överskådligt) för den berörda personen, till exempel vid allmänna och pausala dataskyddsinstruktioner. Men om en berörd person frågar direkt efter exakta mottagare måste dessa anges helt konkret (se Bußgeld gegen WhatsApp, särskilt punkterna 426f), eftersom en person ansvarig för behandlingen måste känna till vem som är mottagare. Se även Artikel 15 GDPR och de referenser som ges där.
| "Grundsätzen för en fair och transparent behandling gör det nödvändigt att den registrerade informeras om att behandlingen sker och dess syfte. Den ansvariga ska tillhandahålla den registrerade ytterligare information om behandling, med beaktande av de särskilda omständigheterna och ramverket inom vilket de personuppgifter behandlas, för att säkerställa en fair och transparent behandling." |
En mall för standardtexter kan hämtas från min dataskyddspolicy. Texterna ska anpassas till individuella behov. Den ansvarige för webbplatsen, där standardtexterna används, är själv ansvarig.
Även intressant
- Dataskyddsförordningen i allmänhet
- Artikel 5 GDPR: Principer för behandling av personuppgifter ([1])
- Artikel 6 GDPR: Rättsliga grunder för behandling ([1])
- Artikel 7 GDPR: Förutsättningar för samtycke ([1])
- Artikel 15 GDPR: Rätt till information ([1])
- Artikel 26 GDPR: Samma ansvarighet ([1])
Huvudpunkter i denna artikel
Om dina uppgifter samlas in måste du informeras om vem som har dina uppgifter, varför de behövs och till vem de eventuellt kan vidarebefordras.
När företag lagrar data från människor måste de informera människorna om hur data används, hur länge de sparas och vilka rättigheter människorna har (t.ex. att få se, korrigera eller radera sina data).
Om du behandlar data måste du informera de berörda om vem exakt som får dessa data.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
