Personuppgiftspolicy
Den personuppgiftsansvarige ska fastställa hur insamlingen och behandlingen av personuppgifter ska ske innan behandlingen påbörjas. Det viktigaste verktyget för att kommunicera dessa principer till de registrerade är personuppgiftspolicyn som ska beskriva syftet med behandlingen av personuppgifterna, vilka typer av personuppgifter som ska behandlas, vilka rättigheter den registrerade har samt övriga detaljer hänförliga till personuppgiftsbehandlingen.
Detaljerad information om hanteringen av personuppgifter, såsom teknisk information bör inte inkluderas i personuppgiftspolicyn. Sådan information bör hållas konfidentiellt. Det är tillräckligt att nämna i personuppgiftspolicyn att nödvändiga säkerhetsåtgärder vidtagits avseende lagringen av personuppgifterna.
En personuppgiftspolicy binder det företag som upprättat den. Behandling av personuppgifter i strid med den existerande policyn är därför förbjuden. Exempelvis kan inte personuppgifter som redan samlats in användas för andra syften än de som angetts i personuppgiftspolicyn.
Den personuppgiftsansvarige är skyldig att se till att den registrerade får information om:
den personuppgiftsansvarige (namn, adress, telefonnummer etc.),
syftet med behandlingen och rättsliga grunder för respektive behandling,
vilka typer av uppgifter som behandlas,
vilka mottagare som kan komma att ta del av personuppgifterna, exempelvis andra företag. Detta inkluderar information om personuppgiftsansvarige avser att överföra personuppgifter till tredje land, exempelvis om personuppgiftsansvarige använder en server som är lokaliserad i tredje land eller använder en underleverantör som kan komma att ta del av personuppgifter och som är lokaliserad i tredje land. För mer information se vilka mottagare som kan komma att ta del av personuppgifterna, exempelvis andra företag. Detta inkluderar information om personuppgiftsansvarige avser att överföra personuppgifter till tredje land, exempelvis om personuppgiftsansvarige använder en server som är lokaliserad i tredje land eller använder en underleverantör som kan komma att ta del av personuppgifter och som är lokaliserad i tredje land. För mer information se [9.1.6 Överföring av personuppgifter utanför Sverige] .lagringstiden för uppgifterna, eller om det inte är möjligt kriterierna som används för att bestämma lagringstiden samt
de registrerades rättigheter (Se mer om registrerades rättigheter under de registrerades rättigheter (Se mer om registrerades rättigheter under [9.1.10 Den registrerades rättigheter].
Informationen ska lämnas till den registrerade samtidigt som den personuppgiftsansvarige samlar in informationen. Det gör man lättast på samma sätt som insamlandet sker, exempelvis om personuppgifterna samlas in på en hemsida bör informationen också lämnas på hemsidan.