Hensikt
Sikre at de registrerte får informasjon om behandlingen av deres personopplysninger og informasjon om deres rettigheter ved behandlingen av personopplysninger.
Systemeier, leder med personalansvar, fagsystemansvarlig, prosjektleder.
Systemeier og leder med personalansvar har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også Informasjonssikkerhet - policy (Ikke tilgjengelig) om roller og ansvar i sikkerhetsorganisasjonen.
De registrerte har rett til å få informasjon om hva deres personopplysninger brukes til. Det er en generell personvernerklæring på kommunens nettside. Prinsippet om åpenhet medfører at kommunen også må gi informasjon som er spesifikt rettet mot den konkrete behandlingen av personopplysninger som skal gjennomføres. Denne prosedyren omfatter slike spesifikke informasjonsskriv (personvernerklæringer).
Kontakt IKT sikkerhetsgruppen dersom du trenger hjelp med utarbeidelse av informasjonsskriv.
Benytt Mal for informasjonsskriv til de registrerte som utgangspunkt ved utarbeidelse av informasjonsskriv. Den røde teksten i malen må tilpasses den konkrete behandlingen og punktene som ikke er aktuelle for den konkrete behandlingen slettes. Benytt informasjonen om den konkrete behandlingen som er fylt inn i oversikt over behandling for å fylle ut mal for informasjonsskriv til de registrerte.
Se SJEKKLISTE - Informasjon som skal gis til de registrerte hvor punktene som informasjonen skal inneholde er listet opp i kolonne én og to, avhengig av om informasjonen er samlet inn fra den registrerte selv eller fra andre.
De registrertes rettigheter i malen må tilpasses behandlingsgrunnlaget som er valgt, se denne tabellen De registrertes rettigheter avhenger av behandlingsgrunnlaget.
Informasjonen skal som hovedregel gis skriftlig. Informasjonen kan gis muntlig når det er nødvendig.
Informasjonen skal presenteres på en måte som gjør at den er lett å lese og forstå for de registrerte. Informasjonen skal være kortfattet, åpen, forståelig, ikke motstridende, ha god struktur og et klart og enkelt språk. Bruk presise formuleringer som ikke åpner for tvil og unngå unødvendig lange beskrivelser. Unngå bruk av tekniske og juridiske begreper som de registrerte ikke har forutsetning for å forstå. Informasjonen må gis på alle relevante språk. Hva som er relevante språk, må vurderes fra tilfelle til tilfelle.
Særlig aktsomhet kreves ved informasjon til barn og andre sårbare grupper som kommunen har et spesielt ansvar for. Merk at også ansatte i kommunen er registrerte og har rett på informasjon.
Språkprofil: Skriv og bli forstått gir en mer utfyllende beskrivelse av hvordan informasjon i kommunen skal utarbeides og presenteres.
Se kolonne 3 i SJEKKLISTE - Informasjon som skal gis til de registrerte .
Informasjonen skal være lett tilgjengelig for de registrerte. Det skal ikke være nødvendig for de registrerte å etterspørre og/eller lete etter informasjonen.
Informasjon om behandling av personopplysninger skal være adskilt fra annen informasjon som avtale- og brukervilkår.
Informasjonsskrivet skal som utgangspunkt være på ca. to sider. For komplekse behandlinger kan det være nødvendig med informasjonsskriv på mer enn to sider. Vurder bruk av lagvise informasjonsskriv i disse tilfellene. I lagvise informasjonsskriv kan de registrerte selv velge hvor dypt inn i informasjonen de vil gå. Det første laget skal inneholde den informasjonen som har størst betydning for den registrerte og den informasjonen som eventuelt kan overraske dem. Dette må vurderes konkret fra tilfelle til tilfelle. Ved bruk av lagvise informasjonsskriv må det også utarbeides et fullstendig informasjonsskriv uten lag for de registrerte som vil ha en fullstendig oversikt.
Dersom det skjer endringer i behandlingen av personopplysninger, skal informasjonsskrivet oppdateres og det nye informasjonsskrivet skal gjøres kjent for de registrerte. Dersom endringen i behandlingen er omfattende/overraskende så skal oppdatert informasjon presenteres for de registrerte i god tid før endringen trer i kraft og på en måte som ikke gjør det mulig for de registrerte å gå glipp av den oppdaterte informasjonen.
Se Sjekkliste - unntak fra retten til informasjon . Unntakene tolkes strengt og vil i de fleste tilfeller ikke være aktuelle. Unntakene har skjønnsmessige vurderinger som må begrunnes i hver enkelt sak.
Personopplysning: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Behandling: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
personvernforordningen artikkel 5 nr.1 bokstav a, 12-14
personopplysningsloven § 16
Article 29 Working Party “Guidelines on transparency under Regulation 2016/679” – WP260 rev.01
Datatilsynets veileder om åpenhet og informasjon