Kilder for personvern/GDPR » GDPR General Data Privacy Regulation – Personvernforordningen » Kapittel III Den registrertes rettigheter (art. 12-23) » Avsnitt 1 Åpenhet og vilkår (art. 12) » Artikkel 12. Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter

Artikkel 12. Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter

Sammendrag: Den behandlingsansvarlige skal sørge for at all informasjon etter artikkel 13-22 og 34 gis på en forståelig måte, i utgangspunktet skriftlig. Det skal legges til rette for at de registrerte kan benytte seg av sine rettigheter etter GDPR med visse unntak, og besvare henvendelser innen én måned (to måneder unntaksvis) forutsatt at den registrerte kan identifiseres. Bestemmelsen inneholder ytterligere krav om hvordan informasjon skal gis.


Primære fortalepunkter

Krav til informasjon*

58. Prinsippet om åpenhet krever at all informasjon som er rettet mot allmennheten eller den registrerte, skal være kortfattet, lett tilgjengelig og enkel å forstå, at det skal benyttes et klart og enkelt språk og ved behov visualisering. Slik informasjon kan, når den er rettet mot allmennheten, gis elektronisk, f.eks. på et nettsted. Dette er særlig relevant i situasjoner der det økende antallet aktører samt de komplekse teknologiene som brukes, gjør det vanskelig for den registrerte å vite og forstå om, av hvem og for hvilket formål vedkommendes personopplysninger samles inn, f.eks. i forbindelse med nettreklame. Ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som barnet lett kan forstå.
*ikke offisiell overskrift

Sikring av registrertes utøvelse av rettigheter*

59. Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter i henhold til denne forordning, herunder mekanismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få rettet eller slettet disse, samt utøve retten til å protestere. Den behandlingsansvarlige bør også gjøre det mulig å inngi anmodninger elektronisk, særlig dersom personopplysninger behandles elektronisk. Den behandlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, og senest innen én måned, samt å begrunne sitt svar dersom den behandlingsansvarlige ikke akter å imøtekomme nevnte anmodninger.
*ikke offisiell overskrift

Informasjonsplikten overfor registrerte*

60. Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette. Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte. Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.
*ikke offisiell overskrift

Unntak fra informasjonsplikt*

62. Det er imidlertid ikke nødvendig å pålegge en plikt til å informere dersom den registrerte allerede har informasjonen, dersom registrering eller utlevering av personopplysninger er uttrykkelig fastsatt ved lov, eller dersom det viser seg å være umulig eller vil kreve en uforholdsmessig stor innsats å informere den registrerte. Det sistnevnte kan særlig være tilfellet dersom behandlingen utføres for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. I denne forbindelse bør det tas hensyn til antall registrerte, hvor gamle opplysningene er, og eventuelle garantier som er vedtatt.
*ikke offisiell overskrift

Andre aktuelle fortalepunkter

Prinsipper for behandling av personopplysninger*

39. Enhver behandling av personopplysninger bør være lovlig og rettferdig. For fysiske personer bør det framgå klart og tydelig at personopplysninger om dem samles inn, benyttes, konsulteres eller på annen måte behandles, og i hvilket omfang de behandles eller vil bli behandlet. Prinsippet om åpenhet krever at all informasjon og kommunikasjon i forbindelse med behandling av nevnte personopplysninger er lett tilgjengelig og lettfattelig, og at språket som brukes, er klart og enkelt. Prinsippet gjelder særlig informasjon til de registrerte om identiteten til den behandlingsansvarlige og formålene med behandlingen samt ytterligere informasjon for å sikre en rettferdig og åpen behandling for de berørte fysiske personer samt deres rett til å få bekreftelse på og bli underrettet om de personopplysninger som gjelder dem, som behandles. Fysiske personer bør gjøres oppmerksomme på risikoer, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger, og på hvilken måte de kan utøve sine rettigheter i forbindelse med nevnte behandling. De særlige formålene med behandlingen av personopplysningene bør især være berettigede, uttrykkelig angitt og fastsatt når personopplysningene samles inn. Personopplysningene bør være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette krever særlig at det sikres at personopplysningene ikke lagres lenger enn det som er strengt nødvendig. Personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte. For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse. Ethvert rimelig tiltak bør treffes for å sikre at uriktige personopplysninger rettes eller slettes. Personopplysninger bør behandles på en måte som gir tilstrekkelig sikkerhet og konfidensialitet, herunder for å hindre ulovlig tilgang til eller bruk av personopplysninger og utstyret som brukes i forbindelse med behandlingen.
*ikke offisiell overskrift

Begrensninger i de registrertes rettigheter etter nasjonal lov*

73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
*ikke offisiell overskrift

Engelsk tekst

Article 12. Transparent information, communication and modalities for the exercise of the rights of the data subject

1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.

2. The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11 (2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.

3. The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:

(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or

(b) refuse to act on the request.

The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons.

1. Den behandlingsansvarlige skal treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 1522 og 34 om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den registrertes identitet bevises på andre måter.

2. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til artikkel 1522. I tilfellene nevnt i artikkel 11 nr. 2 skal den behandlingsansvarlige ikke nekte å etterkomme den registrertes anmodning om å utøve sine rettigheter i henhold til artikkel 1522, med mindre den behandlingsansvarlige påviser at vedkommende ikke er i stand til å identifisere den registrerte.

3. Den behandlingsansvarlige skal informere den registrerte om tiltak som er truffet på grunnlag av en anmodning i henhold til artikkel 1522, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Denne fristen kan ved behov forlenges med ytterligere to måneder, idet det tas hensyn til antall anmodninger og anmodningenes kompleksitet. Den behandlingsansvarlige skal informere den registrerte om enhver slik forlengelse senest én måned etter mottak av anmodningen sammen med en begrunnelse for forsinkelsen. Dersom den registrerte inngir anmodningen elektronisk, skal informasjonen om mulig gis elektronisk, med mindre den registrerte anmoder om noe annet.

4. Dersom den behandlingsansvarlige ikke treffer tiltak på anmodning fra den registrerte, skal den behandlingsansvarlige informere den registrerte uten opphold og senest én måned etter mottak av anmodningen om årsakene til dette og om muligheten for å inngi klage til en tilsynsmyndighet og for rettslig prøving.

5. Informasjon som gis i henhold til artikkel 13 og 14, og enhver kommunikasjon og ethvert tiltak som treffes i henhold til artikkel 1522 og 34, skal være gratis. Dersom anmodninger fra en registrert er åpenbart grunnløse eller overdrevne, særlig dersom de gjentas, kan den behandlingsansvarlige enten

a) kreve et rimelig gebyr, idet det tas hensyn til administrasjonskostnadene for å gi informasjonen eller treffe de tiltak det anmodes om, eller

b) nekte å etterkomme anmodningen. 

Den behandlingsansvarlige skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.

6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom det hersker rimelig tvil om identiteten til den fysiske personen som inngir anmodningen nevnt i artikkel 1522, anmode om ytterligere opplysninger som er nødvendige for å kunne bekrefte den registrertes identitet.

7. Informasjonen som skal gis de registrerte i henhold til artikkel 13 og 14 , kan gis sammen med standardiserte ikoner for å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over den tiltenkte behandlingen. Dersom ikonene presenteres elektronisk, skal de være maskinlesbare.

8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette hvilken informasjon som skal gis ved hjelp av ikoner, og framgangsmåtene for å tilveiebringe standardiserte ikoner.

< Artikkel 11 | Artikkel 13 >

Kurs for smu00e5 og mellomstore bedrifter