Artikel 29 Working Party (WP29) har släppt en vägledning för att hjälpa organisationerna med transparenskraven i EG:s General Data Protection Regulation (GDPR).
WP29 är en rådgivande enhet med representanter från varje EG medlemsland och har tagit fram otaliga rapporter och råd vad avser GDPR.
Transparens är en övergripande skyldighet enligt Förordningen och gäller hur organisationerna:
- Informerar enskilda om vilka personuppgifter som de samlar in och varför;
- Berättar för enskilda hur de kan utöva sina rättigheter som registrerad person; och
- Uppfylla den registrerades rättigheter.
Även om termen ”transparens” inte har definierats i GDPR innehåller Orsak 39 visst förtydligande och förklarar att enskilda bör känna till ”[vilka] personuppgifter som berör dem och som [har] samlats in, använts, konsulterats eller på annat sätt i vilken omfattning personuppgiften är behandlad eller kommer att behandlas.
Denna information ska lämnas i en Sekretesspolicy. Artikel 12 i Förordningen redogör för reglerna för utformning av Sekretesspolicyer och börjar med att de måste vara:
- Kortfattad, transparent, begriplig och låttåtkomlig. Organisationer ska presentera informationen med så få ord som möjligt, varje policy ska presenteras separat och avsnittet måste vara klart åtskild från annan icke integritetsrelaterad information.
- Tydlig och skriven på ett vanligt språk. Policyn måste definitivt förklara vad organisationen avser att använda informationen till (och undvika vaga termer som ”kan”, ”några” och ”möjligen”). Den måste också vara skriven på ett sätt att den genomsnittlige medlemmen i den avsedda publiken kommer att förstå. Organisationer bör utforma särskilda bestämmelser om de förväntas att lämna information till barn och utsatta personer.
- Skriftligt. Även om icke-skriftliga meddelanden är tillåtna (videos, röstvarningar, tecknade serier och informativ grafik kommer att vara till hjälp – särskilt för barn eller utsatta personer) måste sekretesspolicyer alltid vara tillgängliga för att läsas i ett enda skriftligt dokument.
- Tillgänglig muntligt på begäran. Organisationer ska ha en inspelad version av policyn (eller någon som kan läsa upp den högt) skulle behov finnas.
WP29-Vägledningen noterar även att individer ska kunna avgöra omfattningen och konsekvenserna av databehandling. Organisationer måste vara tydliga med hur behandlingen, som beskrivs i sekretesspolicyn, kommer att påverka den registrerade.
Den tillägger att GDPR transparensen gäller, oavsett den rättsliga bakgrunden, för behandling under hela livscykeln.
Använd din kunskap i praktiken
För mer information om DGPR ta en titt på EG:s General Data Protection Regulation (GDPR) – En implementerings och efterlevnadsguide. Denna fördjupade handbok beskriver grunderna i Förordningen på ett lättförståeligt sätt och beskriver vad du behöver känna till, från dataskyddsterminologi till stegen du behöver ta för att kompatibel.
