Hva skal personvernerklæringen inneholde?
Når virksomheten skal lage en personvernerklæring, er første steg å få oversikt over hvilke behandlinger av personopplysninger vi gjør.
Det er også viktig å få oversikt over hva som er formålet med behandlingene.
Dette bør være med i en personvernerklæring:
- Hvem er behandlingsansvarlig? Oppgi hvem som er hovedansvarlig for behandlingen av personopplysningene. Dette kan være en person eller en virksomhet med utgangspunkt i hvem som bestemmer formålet og hvordan opplysningene behandles. Hvis den behandlingsansvarlige har delegert myndighet, skal virksomheten oppgi hvem som har det daglige ansvaret.
- Hva er formålet? Forklar formålet med behandlingen av personopplysningene, det vil si hvorfor opplysningene behandles.
- Hva er det rettslige grunnlaget? Oppgi hva som er behandlingsgrunnlaget for hver enkelt behandling, det vil si virksomhetens hjemmel for å behandle personopplysningene.
- Hvilke personopplysninger behandles? Gi en beskrivelse av hvilke typer personopplysninger som samles inn.
- Hvor hentes opplysningene fra? Gi informasjon om hvor personopplysningene hentes fra.
- Er det frivillig å gi fra seg opplysningene? Hvis opplysningene hentes direkte fra den registrerte, må virksomheten opplyse om det er frivillig for vedkommende å oppgi personopplysningene.
- Utleveres opplysningene til tredjeparter? Opplys hvilke type opplysninger som utleveres og hvilke tredjeparter som er mottakere, dersom opplysningene utleveres til andre.
- Hvordan slettes og arkiveres opplysningene? Beskriv hvilke rutiner virksomheten har for å slette og arkivere personopplysningene.
- Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder? Beskriv hvilke rettigheter og plikter allmennheten og den registrerte har etter personopplysningsloven. Dette gjelder retten til innsyn i egne personopplysninger, samt krav om retting eller sletting av mangelfulle eller uriktige opplysninger. Det bør komme tydelig frem hvilket lands lovverk som gjelder.
- Hvordan sikres opplysningene? Beskriv hvilke sikringstiltak virksomheten har ved behandling av personopplysningene, så langt åpenhet om dette ikke svekker sikkerheten.
- Kontaktinformasjon. Oppgi kontaktinformasjon og eventuelt skjema for innsyn, retting eller sletting, slik at brukeren enkelt kan ta kontakt ved behov.