Det Europæiske Databeskyttelsesråd (EDPB) har igen i år igangsat en fælles europæisk indsats, hvor fokus i 2026 er på oplysningspligten. Som led i indsatsen vil Datatilsynet sammen med øvrige tilsynsmyndigheder i EU/EØS have øget fokus på, hvordan virksomheder efterlever reglerne om gennemsigtighed og oplysning under databeskyttelsesforordningen (GDPR).
Formålet er at sikre, at de registrerede får klar og fyldestgørende information om, hvordan deres personoplysninger behandles.
Hvad indebærer oplysningspligten?
Oplysningspligten er et grundlæggende princip i GDPR og følger af artikel 12, 13 og 14. Det betyder, at du som dataansvarlig aktivt skal informere de registrerede om, hvordan du behandler deres personoplysninger.
Artikel 12 fastlægger de generelle krav til, hvordan oplysningerne skal gives. Informationen skal være let tilgængelig, kortfattet og formuleret i et klart og enkelt sprog. Samtidig skal du sikre, at de registrerede nemt kan udøve deres rettigheder, og at henvendelser som udgangspunkt besvares inden for en måned.
Artikel 13 og 14 regulerer, hvornår og hvilke oplysninger der skal gives. Hvis du indsamler personoplysninger direkte fra den registrerede, skal oplysningerne gives på indsamlingstidspunktet. Hvis personoplysningerne stammer fra andre kilder, skal de gives hurtigst muligt og senest inden for en måned.
Kravene til indholdet indebærer at du blandt andet skal oplyse om:
- hvem du er, og hvordan du kan kontaktes
- hvilke oplysninger du behandler
- formålet med behandlingen
- behandlingsgrundlaget
- eventuelle modtagere af oplysningerne
- opbevaringsperiode
- de registreredes rettigheder
- klagemulighed til Datatilsynet
- datakilden (hvis oplysningerne ikke er indsamlet direkte)
Hvordan omsætter du reglerne i praksis?
I praksis handler oplysningspligten om at de registrerede skal være oplyst om hvordan I som virksomhed behandler deres personoplysninger.
I de senere år har der i praksis været en tydelig tendens til, at tilsynsmyndigheder, herunder Datatilsynet, stiller øgede krav til gennemsigtighed og tilgængelighed. Det indebærer grundlæggende, at I skal sikre, at oplysninger gives i et klart og forståeligt format, så de registrerede (forbrugerne) nemt kan gennemskue, hvordan deres personoplysninger behandles. Derudover er det væsentligt at have fokus på tidspunktet for, hvornår oplysningerne gives. Som nævnt ovenfor er udgangspunktet, at oplysningerne skal gives på indsamlingstidspunktet.
Det er samtidig vigtigt at kunne dokumentere, at oplysningspligten er opfyldt, herunder hvornår oplysningerne er afgivet.
Endelig skal du være opmærksom på, at oplysningerne skal opdateres og gives igen, hvis formålet med behandlingen ændrer sig, eller hvis oplysningerne anvendes på en ny måde, som den registrerede ikke med rimelighed kunne forvente.
Hvad bør du gøre nu?
Datatilsynet kommer til at tilrettelægge en undersøgelse om oplysningspligten. Med det øgede myndighedsfokus i 2026 er det en god anledning til at gennemgå jeres nuværende praksis. Overvej, om jeres information til registrerede er tilstrækkelig klar, dækkende og tilgængelig – og om den gives på de rigtige tidspunkter.
En korrekt og gennemtænkt opfyldelse af oplysningspligten er ikke kun et lovkrav, men også en vigtig del af at skabe tillid hos kunder og samarbejdspartnere.
Har I yderligere spørgsmål til området, eller har I brug for hjælp til at gennemgå jeres nuværende privatlivspolitikker, er I altid velkomne til at kontakte Unitas.