Det finns viss information som företag ska ange vid inhämtning av personuppgifter. En person vars personuppgifter ska bli behandlade har rätt att få information om behandlingen. Informationen ska framgå innan eller i samband med att personuppgifterna blir behandlade.
Om ett företag har ett kontaktformulär på hemsidan där besökare kan skriva ett meddelande samt lämna sitt namn och e-post, så behandlar företaget personuppgifterna när meddelandet har blivit skickat. Därför behöver informationen om behandlingen av personuppgifterna framgå vid kontaktformuläret. Normalt sker detta genom att företaget publicerar sin dataskyddspolicy. Dessutom bör besökaren aktivt bocka in en kryssruta för att lämna sitt samtycke till behandlingen och godkänna dataskyddspolicyn. På så sätt kan företaget styrka inhämtat samtycke till behandlingen. Samtycke är en rättslig grund enligt GDPR.
Ange information vid inhämtning av personuppgifter
Det är viktigt att informationen är gratis. Dessutom måste en dataskyddspolicy innehålla viss information, bland annat:
- Vilka kontaktuppgifter den personuppgiftsansvarige har. Om företag har ett dataskyddsombud, ska det även framgå information om dataskyddsombudet i dataskyddspolicyn/integritetspolicyn. Dessutom har registrerade rätt att kontakta dataskyddsombudet.
- Vilket eller vilka ändamål som behandlingen av personuppgifterna har.
- Vilken rättslig grund företaget använder vid behandlingen.
- Om personuppgifterna blir överförda till en tredje part. Det behöver även framgå om personuppgifterna kommer bli överförda till ett tredjeland, som är ett land utanför EU/EES-länderna.
- Information om hur länge personuppgifterna blir lagrade.
- Vilka rättigheter personer vars personuppgifter blir behandlade har rätt att begära. Exempelvis rättelse och har rätt att få information om behandlingen. Dessutom har de rätt att be företaget radera personuppgifterna.
- Företag kan i vissa fall använda samtycke som den rättsliga grunden och då har registrerade rätt att återkalla sitt samtycke. Det ska vara lika lätt att återkalla som att lämna samtycket.
Ett företag kan hämta in personuppgifter från exempelvis allmänna register. Vid sådana fall är det samma regler som gäller som om företaget har samlat in personuppgifterna direkt från personen. Den personuppgiftsansvarige måste dessutom ange källan för vart uppgifterna kommer från såsom Trafikverkets allmänna register.
