Registrerade personer har rätt till information i samband med att personens personuppgifter ska bli behandlade. Detta avser bland annat hur behandlingen av personuppgifterna ska ske samt ändamålet med behandlingen. Informationen som blir lämnad avseende behandlingen ska vara tydlig, klar och tillgänglig på ett enkelt sätt.
Med andra ord ska den registrerade hitta informationen utan att behöva leta efter den. Dessutom har den registrerade rätt att begära att få ut information om behandlingen, efter att personuppgifterna har blivit behandlade. Registrerade har också rätt att begära ett registerutdrag, som är en sammanställning av den behandlade informationen.
Registrerade personer har rätt till information
Det är den personuppgiftsansvarige som ansvarar för att tillhandahålla informationen om personuppgiftsbehandlingen till den registrerade. Innehållet ska bland annat beskriva vilka personuppgifter som blir behandlade, ändamålet med behandlingen samt med vilken rättslig grund behandlingen sker.
Företaget måste enligt GDPR ha en rättslig grund, för att behandlingen ska vara laglig. Dessutom ska informationen innehålla uppgifter om företaget kommer överföra personuppgifterna till tredjeland eller inte, vilket är ett land utanför EU samt EES-länderna.
Kontaktformulär på hemsida
Om ett företag har ett kontaktformulär på sin hemsida, där en besökare kan skriva in sitt namn och mejladress för att skicka in exempelvis en beställning eller fråga, behandlar företaget personuppgifter. Av den anledningen måste företaget informera personen om personuppgiftsbehandlingen, innan meddelandet blir skickat. Därför är det bra att ha en integritetspolicy, även kallad för dataskyddspolicy, i anslutning till formuläret.
Det bör dessutom finnas en checkruta som besökaren aktivt ska samtycka till behandlingen av personuppgifterna, för att kunna skicka meddelandet till företaget. Viktigt att påpeka, är även att rutan inte får vara förkryssad. Dessutom har registrerade rätt att återkalla sitt samtycke.
Rutiner för att ge ut information
Ett företag bör ha tydliga interna rutiner avseende hur företaget ska besvara en registrerads begäran om tillgång till information. När företaget ska besvara en sådan begäran, är det viktigt att centrala principer blir beaktade och att svaret inkluderar specifik information som GDPR kräver, för att hanteringen av begäran ska ske på korrekt sätt i enlighet med regelverket.
Först och främst är det viktigt att kontrollera att det är rätt person i fråga som begär ut informationen. Om personen exempelvis skickar in begäran om att få sina personuppgifter raderade och det inte är samma mejladress som vid registrering, har företaget rätt att begära mer bevis som styrker identiteten. Dessutom är det bra att ha färdiga mallar för vilket svar företaget ska ge till den registrerade, för att säkerställa att svaret är korrekt enligt reglerna i GDPR.
Artikel 15 i GDPR bör läsas i sin helhet innan företaget besvarar begäran, för att säkerställa att korrekt och komplett information blir lämnad.