Persondata

Oplysningspligt ved behandling af personoplysninger

7. september 2018

Virksomheder skal ifølge persondataforordningen informere de registrerede om en række ting i forbindelse med behandlingen af deres persondata. Oplysningspligten er udvidet i forhold til de gamle regler. Det åbner op for spørgsmål om behovet for at informere igen, selvom virksomheden behandler data til uændrede formål. I nyhedsbrevet stiller vi skarpt på oplysningspligtens omfang og overgangen til de nye regler.

Ny oplysningspligt?

Virksomheder var også efter de tidligere persondataregler forpligtet til at informere de registrerede om en række forhold. Men persondataforordningen har udvidet kravene til oplysningernes indhold, og til hvornår og hvor ofte oplysningerne skal gives.

Oplysningspligten skal overholdes fra indsamling til sletning. Det betyder, at virksomhedens dataansvarlige skal vurdere, om fortsat behandling af persondata udløser en ny oplysningspligt over for de registrerede. Det er eksempelvis tilfældet, når virksomheder bevarer personalefilerne for fratrådte medarbejdere.

Om der stilles krav til supplerende information og informationens omfang afhænger af, om behandlingen fortsætter med samme eller andre formål.

Behandling til samme formål

Selvom virksomheder fortsætter med at behandle persondata til samme formål, har virksomheden i mange tilfælde pligt til at informere igen med supplerende oplysninger. Det skyldes, at de nye persondataregler udvider omfanget af den information, der skal gives. Virksomhedens oprindelige information vil derfor ofte være utilstrækkelig.

Virksomheder skal altså informere de registrerede om en række supplerende oplysninger for at opfylde sin oplysningspligt efter de nye regler. Omfanget af den supplerende information afhænger af, om persondata er indsamlet hos den registrerede selv eller hos en tredjepart. Virksomhedens dataansvarlige må i den forbindelse konkret vurdere, om visse oplysninger kan udelades.

Forordningens udvidede krav til oplysningspligten betyder derfor, at virksomheder der fortsat behandler oplysninger til et uændret formål, skal oplyse om:

  • Behandlingsaktivitetens juridiske hjemmel
  • Tidsrummet for opbevaring
  • Relevante kontaktoplysninger
  • Eventuelle tredjelandsoverførsler
  • Retten til begrænsning af behandling
  • Retten til dataportabilitet
  • Retten til at indgive en klage til tilsynsmyndigheden
  • Eventuelle automatiserede afgørelser, herunder profilering

Behandling til andre formål

Under de tidligere persondataregler var der en formodning om, at persondata kunne viderebehandles til efterfølgende saglige formål. En ny oplysningspligt indtrådte derfor tidligere kun i særlige tilfælde.

Forordningen skærper kravet. Det betyder, at virksomheder fremover skal informere på ny, når persondata behandles til andre formål end det oprindelige. Virksomheder skal i den forbindelse være opmærksomme på, at det nye formål kan risikere at være så langt fra det oprindelige, at det ikke er tilstrækkeligt kun at informere den registrerede.

Virksomheder kan opleve, at det er problematisk at informere – især hvis persondataen ikke er indsamlet hos den registrerede. Forordningen indeholder i den forbindelse en række undtagelser, eksempelvis i de tilfælde hvor det er umuligt eller kræver en uforholdsmæssig stor indsats fra virksomhedens side at informere.

IUNO mener

Forordningen udvider virksomheders pligt til at informere, både når persondata behandles til samme og andre formål. De nye regler betyder derfor, at virksomheder sjældnere kan undlade at informere om en række ting i forbindelse med behandling af persondata.

Virksomheder bør derfor sikre, at de oprindelige informationer opfylder de nye krav. IUNO anbefaler derudover, at virksomheder får foretaget en vurdering af, om pligten til at informere falder under forordningens undtagelser. Og om virksomhedens interne retningslinjer og sletterutiner er i overensstemmelse med de nye krav.

Ny oplysningspligt?

Virksomheder var også efter de tidligere persondataregler forpligtet til at informere de registrerede om en række forhold. Men persondataforordningen har udvidet kravene til oplysningernes indhold, og til hvornår og hvor ofte oplysningerne skal gives.

Oplysningspligten skal overholdes fra indsamling til sletning. Det betyder, at virksomhedens dataansvarlige skal vurdere, om fortsat behandling af persondata udløser en ny oplysningspligt over for de registrerede. Det er eksempelvis tilfældet, når virksomheder bevarer personalefilerne for fratrådte medarbejdere.

Om der stilles krav til supplerende information og informationens omfang afhænger af, om behandlingen fortsætter med samme eller andre formål.

Behandling til samme formål

Selvom virksomheder fortsætter med at behandle persondata til samme formål, har virksomheden i mange tilfælde pligt til at informere igen med supplerende oplysninger. Det skyldes, at de nye persondataregler udvider omfanget af den information, der skal gives. Virksomhedens oprindelige information vil derfor ofte være utilstrækkelig.

Virksomheder skal altså informere de registrerede om en række supplerende oplysninger for at opfylde sin oplysningspligt efter de nye regler. Omfanget af den supplerende information afhænger af, om persondata er indsamlet hos den registrerede selv eller hos en tredjepart. Virksomhedens dataansvarlige må i den forbindelse konkret vurdere, om visse oplysninger kan udelades.

Forordningens udvidede krav til oplysningspligten betyder derfor, at virksomheder der fortsat behandler oplysninger til et uændret formål, skal oplyse om:

  • Behandlingsaktivitetens juridiske hjemmel
  • Tidsrummet for opbevaring
  • Relevante kontaktoplysninger
  • Eventuelle tredjelandsoverførsler
  • Retten til begrænsning af behandling
  • Retten til dataportabilitet
  • Retten til at indgive en klage til tilsynsmyndigheden
  • Eventuelle automatiserede afgørelser, herunder profilering

Behandling til andre formål

Under de tidligere persondataregler var der en formodning om, at persondata kunne viderebehandles til efterfølgende saglige formål. En ny oplysningspligt indtrådte derfor tidligere kun i særlige tilfælde.

Forordningen skærper kravet. Det betyder, at virksomheder fremover skal informere på ny, når persondata behandles til andre formål end det oprindelige. Virksomheder skal i den forbindelse være opmærksomme på, at det nye formål kan risikere at være så langt fra det oprindelige, at det ikke er tilstrækkeligt kun at informere den registrerede.

Virksomheder kan opleve, at det er problematisk at informere – især hvis persondataen ikke er indsamlet hos den registrerede. Forordningen indeholder i den forbindelse en række undtagelser, eksempelvis i de tilfælde hvor det er umuligt eller kræver en uforholdsmæssig stor indsats fra virksomhedens side at informere.

IUNO mener

Forordningen udvider virksomheders pligt til at informere, både når persondata behandles til samme og andre formål. De nye regler betyder derfor, at virksomheder sjældnere kan undlade at informere om en række ting i forbindelse med behandling af persondata.

Virksomheder bør derfor sikre, at de oprindelige informationer opfylder de nye krav. IUNO anbefaler derudover, at virksomheder får foretaget en vurdering af, om pligten til at informere falder under forordningens undtagelser. Og om virksomhedens interne retningslinjer og sletterutiner er i overensstemmelse med de nye krav.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata

28. januar 2019

Uklart samtykke og manglende gennemsigtighed koster dyrt

logo
Persondata Corporate

22. januar 2019

Har din virksomhed styr på persondata inden revisionen?

logo
Persondata

18. januar 2019

Husk oplysningspligten

logo
Persondata

8. januar 2019

Behandling af persondata i frivillige foreninger

EU-Kommissionen fremlægger nødplan for ”no-deal” Brexit

logo
Persondata

17. december 2018

Sender du stadig oplysninger ukrypteret?

Events

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret