Det er mange personvernerklæringer der ute som har mangler mye informasjon, som ikke er oppdaterte og noen ganger er rett og slett feil.
Men er det så nøye det da? Det er jo ingen som leser disse?
Jo, det er viktig for erklæringene skal informere om hvordan personopplysninger behandles og oppfylle kravene etter personvernregelverket (som GDPR).
Erklæringene er ofte første (og eneste) måte mange gir informasjon. Det er også gitt bøter fra Datatilsynet for informasjon som kunne vært gitt i personvernerklæringen.
Erklæringen er også en virksomhets «ansikt utad» for personvern. Er erklæringen dårlig, så er det stor sannsynlighet for at det står dårlig til med annet knyttet til personopplysninger. Dette ser kunder, leverandører og andre. Og Datatilsynet.
Men mange erklæringer er ikke gode nok, så nedenfor er en sjekkliste for hva skal være med i informasjonen om behandling av personopplysning, og det som da kan tas inn i personvernerklæringen.
Sjekklisten dekker kravene etter GDPR, men det kan være krav andre krav til innholdet i personvernerklæringen i tillegg. Spesielt for virksomheter som har mer kompleks og omfattende behandling av personopplysninger.
Husk også at informasjonen skal gis på en «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk» i følge GDPR. Dette stiller krav til hvordan erklæringen skrives, og det er ofte vanskelig å få til at erklæringen dekker alt og er samtidig kortfattet og forståelig.
For at erklæringen skal være dekkende, kan man kontrollere at alt i behandlingsprotokollen etter GDPR artikkel 30 er med i erklæringen (mer om denne i senere post, så følg meg for å få den med deg).
Og ikke la deg lure: Det er ikke mulig å «autogenerere», kopiere eller lage en personvernerklæring ut fra en standard. Det må arbeid til, men det kan spare tid og penger å bruke noen som kjenner kravene og som har laget personvernerklæringer før. Det kan gjøre at viser at man har kontroll og at man gir informasjon som man skal etter GDPR.