Informasjon og åpenhet

Informasjon og åpenhet

Alle virksomheter har plikt til å behandle personopplysninger på en åpen måte. Det betyr blant annet at de må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Det stilles også krav til hvordan de kommuniserer med enkeltpersoner. Her går vi gjennom hva det innebærer.

Overordnede krav

En virksomhet kan kommunisere med enkeltpersoner i mange tilfeller – for eksempel gjennom personvernerklæringer, når brukerne/kundene utøver rettighetene sine eller hvis det skal informeres om avvik. Virksomheten skal da kommunisere på en kortfattet, åpen, forståelig og lett tilgjengelig måte (personvernforordningen artikkel 12-14). Språket skal være klart og enkelt, særlig når informasjonen er spesifikt rettet mot barn.

Dette betyr blant annet at

  • virksomhetene ikke kan bruke juridisk eller teknisk sjargong når de kommuniserer om personopplysninger
  • informasjonen skal være forståelig for målgruppen, og ha klart språk og god struktur
  • informasjonen skal være konkret (virksomheter bør unngå formuleringer som «vi kan bruke personopplysninger til …»
  • informasjon om behandling av personopplysninger må være adskilt fra annen informasjon (for eksempel brukervilkår)
  • det skal ikke være nødvendig for brukerne/kundene å måtte lete etter informasjon om behandling av personopplysninger
  • det skal være lett for den enkelte å finne frem i informasjonen (for eksempel dersom hun bare lurer på hvordan personopplysninger behandles når hun tar kontakt med kundeservice)
  • den enkelte skal ikke måtte sette seg inn i store mengder informasjon for å forstå hva som skjer med egne opplysninger

Alle brukere/kunder/registrerte har krav på å få informasjon gratis.

Hva skal virksomheten gi informasjon om?

Når en virksomhet behandler personopplysninger, skal den gi informasjon til de som er berørt.

Informasjonen skal inneholde følgende:

Om virksomheten

  • virksomhetens kontaktdetaljer
  • kontaktdetaljene til virksomhetens representant dersom virksomheten kun er etablert utenfor EU/EØS
  • personvernombudets kontaktdetaljer dersom virksomheten har dette

Om behandlingen

  • dersom personopplysningene ikke blir innhentet fra den enkelte skal det informeres om
    • hvilke kategorier av personopplysninger virksomheten behandler
    • hva kilden for de ulike opplysningene er og
    • om de kom fra en offentlig tilgjengelig kilde ,
  • hvilke formål hver av de ulike personopplysningene behandles for
  • hvilket behandlingsgrunnlag de ulike behandlingene av personopplysninger har (etter personvernforordningen artikkel 6 og eventuelt også artikkel 9)
    • dersom behandlingsgrunnlaget er personvernforordningen artikkel 6 nr. 1 bokstav f (en såkalt «interesseavveining») skal det informeres om hvilke legitime interesser behandlingen er nødvendig for
  • hvor lenge de ulike personopplysningene lagres, eller hvis ikke det er mulig å fastslå nøyaktig, hva som påvirker lagringstiden

Der behandlingsgrunnlaget er en interesseavveining, skal virksomheten også kunne fremlegge informasjon om interesseavveiningen ved forespørsel, og dette bør kommuniseres til den enkelte. Dette er nødvendig etter det lovfestede prinsippet om åpenhet.

Når det gjelder informasjon om lagringstid, må informasjonen være utfyllende nok til at den enkelte kan vurdere hva som vil gjelde i hennes situasjon. Å for eksempel bare skrive at opplysningene lagres så lenge som er nødvendig for formålet, er ikke tilstrekkelig.

Om forholdet til andre virksomheter

  • navn på hver enkelt mottaker eller angivelse av kategorier av mottakere av de ulike personopplysningene. (Mottager er enhver som mottar personopplysninger, for eksempel en ny behandlingsansvarlig eller en databehandler. Offentlige myndigheter regnes ikke som mottaker når de utøver tilsynsvirksomhet med hjemmel i lov.)
  • om de ulike opplysningene skal overføres til en mottaker i et tredjeland (dvs. et land utenfor EU/EØS) eller en internasjonal organisasjon (dvs. en organisasjon som er underlagt folkeretten eller et organ opprettet etter avtale mellom to eller flere stater)
  • dersom opplysningene skal overføres til tredjeland eller internasjonal organisasjon med grunnlag i personvernforordningen artikkel 46, 47 eller 49 nr. 1 annet ledd:
    • hvilke garantier som ligger til grunn for overføringen
    • hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelige
  • i andre tilfeller der opplysningene skal overføres til tredjeland eller internasjonal organisasjon, hvorvidt EU-kommisjonen har fastslått at landet eller organisasjonen har et tilstrekkelig beskyttelsesnivå for personopplysninger

Om virksomheten skal navngi hver enkelt mottaker eller bare henvise til kategorier av mottakere, må tolkes i lys av prinsippene om rettferdighet og åpenhet. Virksomheten skal velge det alternativet som er mest meningsfylt for den enkelte i den konkrete situasjonen. Som regel vil dette innebære at mottakerne navngis. I motsatt fall må kategoriene være klart formulerte, særlig med tanke på hva slags aktiviteter virksomhetene utfører, hvilke sektorer de tilhører og hvor de geografisk befinner seg.

Når det gjelder overføring til tredjeland eller internasjonal organisasjon, bør virksomheten spesifisere hvilket grunnlag i personvernforordningen kapittel 5 den bruker for å overføre personopplysningene. Prinsippene om rettferdighet og åpenhet tilsier at de aktuelle tredjelandene normalt skal navngis.

Om den enkeltes rettigheter

  • den enkeltes rett til innsyn, retting, sletting, begrensning, dataportabilitet og å protestere Les mer om disse rettighetene
  • den enkeltes rett til å trekke tilbake samtykke dersom behandlingsgrunnlaget er samtykke
  • retten til å klage til Datatilsynet
  • dersom opplysningene blir innhentet fra den enkelte:
    • om det å oppgi personopplysninger er et krav etter lov eller avtale eller nødvendig for å kunne inngå en avtale
    • om det er frivillig å oppgi personopplysningene
    • konsekvensene av ikke å oppgi dem

Informasjon om den enkeltes ulike rettigheter skal være tilpasset til den aktuelle behandlingen av personopplysninger. Virksomheter kan for eksempel ikke nøye seg med å ramse opp alle rettighetene generelt, men må si noe om hvilke rettigheter og begrensninger som gjelder i den konkrete situasjonen. For eksempel gjelder ikke retten til dataportabilitet og å protestere i alle tilfeller. Virksomheten må også ha informasjon om hvordan den enkelte kan utøve sine rettigheter.

Når det gjelder retten til å protestere, skal virksomheten gjøre den enkelte uttrykkelig oppmerksom på denne rettigheten senest den første gangen virksomheten kommuniserer med vedkommende. Informasjon om rettigheten skal fremlegges på en klar måte og adskilt fra annen informasjon.

Den enkelte har rett til å klage til datatilsynsmyndigheten i landet der vedkommende bor, jobber eller der den påståtte overtredelsen fant sted.

Om automatiserte individuelle avgjørelser

  • om automatiserte individuelle avgjørelser finner sted
  • meningsfull informasjon om logikken i dataprogrammet
  • betydningen og de forventede konsekvensene av avgjørelsen

Disse punktene er minimumskrav. I enkelte situasjoner kan prinsippene om åpenhet og rettferdighet tilsi at man gir mer informasjon, særlig der avgjørelsen er særskilt viktig. For eksempel sier fortalen til personvernforordningen at den enkelte kan kreve en forklaring av en bestemt avgjørelse.

Om nye formål

Det er som hovedregel ikke lov å bruke personopplysninger til nye formål som er uforenlige med det opprinnelige formålet. Det er imidlertid tillatt å behandle personopplysninger til nye, forenlige formål. I disse tilfellene oppstår det en egen informasjonsplikt.

Virksomheten skal informere den enkelte om det nye formålet i rimelig tid før den nye behandlingen begynner. Dette sikrer at den enkelte er informert og har muligheten til å utøve rettighetene sine før endringene inntrer. Jo mer inngripende, virkningsfull eller uventet den nye behandlingen av personopplysninger er, desto lenger tid i forveien bør virksomheten informere.

I tillegg skal virksomheten gi en del informasjon om behandlingen på nytt. Litt forenklet er det snakk om relevant informasjon om behandlingen, den enkeltes rettigheter og automatiserte individuelle avgjørelser. . Den eksakte oppramsingen over hva som skal informeres om på nytt står i personvernforordningen artikkel 13 (hvis opplysningene er innhentet fra den
enkelte) og 14 (hvis opplysningene er innhentet fra andre kilder). Endringer i forbindelse med det nye formålet må fremheves særskilt.

Les mer om plikten til  fastsette formål

Om konsekvenser

Prinsippet om åpenhet tilsier at den enkelte ikke skal bli overrasket over hva en behandling av personopplysninger innebærer eller hvilke følger den kan ha. Derfor bør virksomheten kommunisere hva de viktigste konsekvensene av behandlingen er og hvilken effekt den kan ha på den enkelte. Dersom behandlingen utgjør en særskilt risiko for den enkeltes rettigheter og friheter, bør dette fremgå av informasjonen.

Om endringer

Dersom en virksomhet gjør viktige eller materielle endringer i personvernerklæringen eller personverninformasjonen sin, må dette kommuniseres til den enkelte.

Når virksomheten skal vurdere hvorvidt endringen er så stor at man må si fra om den, må man blant annet se på hvordan endringen påvirker den enkelte, hvorvidt den påvirker den enkeltes rettigheter og hvor uventet endringen er for den enkelte.

Eksempel

Virksomheten har gjort endringer i formålet med behandlingen av personopplysninger. Den må kommunisere endringen til den enkelte.

Virksomheten har oppdaget ubetydelige skrive- og stilfeil. Den trenger ikke å kommunisere disse rettingene til den enkelte.

Når virksomheten sier fra om endringer, skal det skje på en slik måte at den enkelte faktisk får det mer seg, for eksempel gjennom e-postvarsel eller pop-up-vinduer. Dessuten må det som er nytt fremheves særskilt og skilles fra annen informasjon (for eksempel markedsføringsinnhold). Informasjonen bør inneholde hvilke konsekvenser endringen kan ha for den enkelte.

Å skrive i personvernerklæringen at den enkelte selv har ansvar for å sjekke etter endringer, er ikke i tråd med loven.

Endringene må kommuniseres tilstrekkelig tid i forveien for å etterleve prinsippene om åpenhet og rettferdighet. Den enkelte må også ha mulighet til å benytte seg av rettighetene sine, for eksempel retten til å protestere. Jo mer inngripende, virkningsfull eller uventet endringen er, desto lenger tid i forveien bør virksomheten informere.

Når skal virksomheten gi informasjon?

Det avhenger litt fra situasjon til situasjon når informasjon kan gis til de registrerte.

Når personopplysningene er hentet fra eller ved observasjon av enkeltpersoner

I dette tilfellet må virksomheten gi informasjon når personopplysningene samles inn. Det vil si at det er for sent å gi informasjon etter at opplysningene er registrert.

Når personopplysningene er hentet fra andre kilder

I dette tilfellet må virksomheten gi informasjon innen rimelig tid etter at opplysningene er hentet inn. I vurderingen av hva som er rimelig tid, må virksomheten må se på prinsippet om rettferdighet og hvilke berettigede forventninger den enkelte har om å få informasjon. Jo mer inngripende eller virkningsfull behandlingen av personopplysninger kan være, desto raskere skal man få informasjon. Dette er viktig slik at de som er registrert kan utøve rettighetene sine på en meningsfull måte. Hver konkret situasjon må derfor vurderes.

Informasjonen må uansett gis senest én måned etter at opplysningene ble innhentet. Det er altså en yttergrense for hva som er «innen rimelig tid».

Dersom virksomheten skal bruke personopplysningene til å kommunisere med den enkelte før det har gått en måned, må virksomheten gi informasjon senest ved første kommunikasjon.

Dersom virksomheten skal utlevere opplysningene til en mottaker før det har gått en måned, må virksomheten gi informasjon senest når den første utleveringen skjer.

Fortløpende informasjon

Plikten til å behandle personopplysninger på en åpen måte gjelder så lenge opplysningene er registrert. Virksomheten må derfor ha tilgjengelig informasjon de som er registrert kan sette seg inn i når de ønsker eller trenger det. Virksomheten kan også vurdere om det er grunn til å minne folk på informasjonen ved jevne mellomrom, noe man sett hen til ansvarlighetsprinsippet.

Hvordan skal virksomheten gi informasjon?

Loven sier at informasjon skal gis, men den sier ikke så mye om hvordan den skal gis. Virksomheten må derfor selv finne en passende måte å gi informasjonen på, innenfor visse rammer.

Hva som er passende må sees i lys av prinsippene om åpenhet og rettferdighet – jo mer inngripende eller uventet behandlingen av personopplysninger er, desto bedre og tydeligere må virksomheten informere. Virksomheten kan også ta i betraktning hva slags medium eller enhet informasjonen skal gis på og arten av interaksjonen med den enkelte.

Krav til form

Utgangspunktet er at informasjonen skal gis skriftlig. Virksomheten kan imidlertid også informere på andre måter, for eksempel gjennom illustrasjoner, videoer, flytskjemaer og liknende.

Informasjonen kan også gis muntlig, særlig dersom den enkelte spør om det. I så fall er det viktig at virksomheten kan dokumentere at personen har fått informasjon og hvilken informasjon som ble gitt.

Oppbygging

Kravet om å skrive kort kan være vanskelig å forene med kravene til alt man skal gi informasjon om. En mulig fremgangsmåte er å gi informasjonen lagvis, særlig når virksomheten kommuniserer gjennom elektroniske medier.

I en elektronisk personvernerklæring kan for eksempel den viktigste informasjonen oppsummeres kort i det første laget, samtidig som brukerne har mulighet til å klikke seg videre til de andre lagene dersom det er ønskelig med mer utfyllende informasjon. En lagvis personvernerklæring må være godt strukturert og oversiktlig slik at det er lett å finne frem til informasjonen. En personvernerklæring som forsøker å gjemme viktig informasjon er i strid med loven.

Lagvis informasjon kan også være nyttig selv når kommunikasjon ikke skjer gjennom digitale flater.

Eksempel

Kommunikasjonen med den enkelte skjer gjennom telefon. I løpet av telefonsamtalen får den enkelte den viktigste informasjonen om behandling av personopplysninger. Utfyllende informasjon kan virksomheten sende per e-post.

Vi anbefaler at det første laget inneholder informasjon om formålet med behandlingen, virksomhetens identitet og den enkeltes rettigheter. I tillegg bør det første laget inneholde informasjon om behandling av personopplysninger som kan ha særskilt stor innvirkning på den enkelte eller fremstå som overraskende. Virksomheten må vurdere, i tråd med rettferdighetsprinsippet, hva annet som er viktig for den enkelte å vite i det første laget.

Hvordan gi informasjonen?

Virksomheten må aktivt gi den enkelte informasjonen. Det finnes to måter å gjøre dette på:

  • «Dytt-informasjon» («push notice» på engelsk) innebærer at informasjonen blir vist direkte til den enkelte.
  • «Dra-informasjon» («pull notice» på engelsk) innebærer at den enkelte blir henvist til å gå inn et sted og lese informasjonen, for eksempel gjennom en lenke.

Eksempler

Idet en person skal registrere en brukerkonto hos en nettbutikk, dukker det opp informasjon om behandling av personopplysninger på skjermen. Dette er en form for dytt-informasjon som kalles «akkurat-i-tide-informasjon» («just in time notice» på engelsk). Personen får bare informasjon som er relevant for den konkrete situasjonen, altså hva som skjer med personopplysninger hun skriver inn i feltene. Dette gjør det lettere for henne å få oversikt over hva som skjer med opplysningene.

En tjeneste tilbyr et personvernkontrollpanel («privacy dashboard» på engelsk). I kontrollpanelet kan den enkelte endre personverninnstillingene. Kontrollpanelet kan gi informasjon om behandling av personopplysninger tilpasset den enkeltes innstillinger. Dette er en form for dra-informasjon.

Der informasjon gis elektronisk, kan virksomheten bruke ulike tekniske løsninger for å fremheve informasjonen på en smidig måte, for eksempel «mouseover» og «3D Touch».

Datatilsynet anbefaler at virksomheten i tillegg har all informasjon om behandling av personopplysninger tilgjengelig på ett sted. Dette er viktig dersom kunder eller brukere i etterkant trenger å gå gjennom informasjonen.

Hvis virksomhetens tjenester er tilgjengelige elektronisk, forventer Datatilsynet at informasjon om behandling av personopplysninger også er tilgjengelig digitalt. Informasjonen kan imidlertid også gis på andre måter i tillegg (eller i stedet, dersom virksomheten ikke har en digital tilstedeværelse).

Unntak

Det finnes noen unntak fra plikten til å gi informasjon. Her er en gjennomgang.

Dersom personopplysningene er samlet inn direkte fra enkeltpersoner eller ved observasjon av personen

Virksomheten behøver ikke å gi informasjon dersom og i den grad personene allerede har informasjonen. Ansvarlighetsprinsippet betyr at virksomheten må være sikker på at den enkelte har informasjonen og at den er oppdatert.

Dersom personopplysningene er innhentet fra andre kilder enn personen selv

Virksomheten trenger ikke gi informasjon dersom og i den grad

  • den enkelte allerede har informasjonen
  • innsamling eller utlevering har en uttrykkelig hjemmel i lov som virksomheten er underlagt og som inneholder egnede tiltak for å verne den enkeltes interesser
  • personopplysningene må holdes konfidensielle som følge av taushetsplikt
  • det er umulig å gi informasjonen
  • det vil innebære en uforholdsmessig stor innsats å gi informasjonen
  • informasjon sannsynligvis vil umuliggjøre eller i alvorlig grad hindre formålet med behandlingen

Merk! I de tre siste tilfellene må virksomheten ha på plass passende tiltak for å verne hver enkeltes rettigheter, friheter og interesser. Det betyr også å gjøre informasjonen offentlig tilgjengelig.

Eksempler på andre passende tiltak er:

I vurderingen av hva som er uforholdsmessig, må virksomheten alltid se innsatsen som kreves opp mot den enkeltes behov for informasjon og innvirkningen på den enkelte dersom hun ikke får informasjon. Med andre ord må man utføre en balansetest. Det følger av ansvarlighetsprinsippet at denne vurderingen bør dokumenteres.

Virksomheten kan også se på hvor mange personer den må informere, hvor gamle personopplysningene er og hvilke personvernvennlige tiltak som allerede foreligger.

Eksempler

Et sykehus ber alle pasienter oppgi nærmeste pårørende og mottar derfor svært store volum av kontaktopplysninger. I dette tilfellet kan det være uforholdsmessig å gi informasjon til hver enkelt person. I stedet har sykehuset informasjonen lett synlig og tilgjengelig på nettsidene sine.

Historieforskere undersøker slektskap ved hjelp av etternavn. De innhenter data fra en 50 år gammel database over 20 000 mennesker i en kommune. Databasen er ikke oppdatert og inneholder ingen kontaktopplysninger. I dette tilfellet kan det være uforholdsmessig å gi informasjon til hver enkelt person. Forskerne sørger for å informere om studien og innsynsretten i lokalavisen i kommunen.

Å gi informasjon kan noen ganger innebære en uforholdsmessig stor innsats ved behandling av personopplysninger for arkivformål i allmenhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Ved behandling for disse formålene skal det imidlertid foreligge nødvendige garantier for personvernet i tråd med personvernforordningen artikkel 89.

Selv om det gjelder unntak fra informasjonsplikten der informasjon vil umuliggjøre eller i alvorlig grad hindre formålet med behandlingen, er det viktig å huske på å at behandlingen av personopplysninger fremdeles må være i tråd med personvernprinsippene og ha et behandlingsgrunnlag. Virksomheter kan altså ikke fastsette illegitime formål og så bruke dette unntaket til å la være å gi informasjon.

Dersom en virksomhet påberoper seg unntaket om at innhenting eller utlevering har uttrykkelig hjemmel i lov, må den kunne vise hvordan loven gjelder virksomheten og at loven pålegger en plikt til å innhente eller utlevere. Virksomheten bør formidle på en generell måte at den innhenter eller utleverer opplysninger med hjemmel i den aktuelle loven.

Når det gjelder punktet om konfidensialitet som følge av taushetsplikt i punktlista over, er dette særlig aktuelt i helsesektoren.

Eksempel

En pasient lider av en genetisk lidelse og forteller helsepersonell om nærstående med samme lidelse. Helsepersonellet kan ikke gi informasjon til de nærstående om at personopplysningene deres er samlet inn uten å samtidig bryte taushetsplikten. Derfor gjelder ikke informasjonsplikten i dette tilfellet.

Generelle unntak

Personopplysningsloven inneholder en rekke særnorske unntak fra plikten til å gi informasjon. Disse gjelder uavhengig av hvordan personopplysningene ble hentet inn. Informasjonsplikten gjelder ikke opplysninger som:

  • er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når virksomheten kan unnta opplysningene etter offentlighetsloven §§ 20 eller 21
  • det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
  • det må anses utilrådelig at den enkelte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær (disse opplysningene kan imidlertid gjøres kjent for en representant for den enkelte dersom hun ber om det og ikke særlige grunner taler mot det)
  • i lov eller med hjemmel i lov er underlagt taushetsplikt
  • utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser
  • det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om

Dersom virksomheten bruker ett av unntakene, må virksomheten kunne begrunne det skriftlig og presist henvise til unntakshjemmelen i personopplysningsloven.