GDPR gir enkeltpersoner kontroll over behandlingen av sine personopplysninger. For å gjøre dette er det sentralt med åpenhet. Dette betyr at du må informere berørte enkeltpersoner  om dine behandlingsaktiviteter og formålene med disse. Med andre ord, du må forklare hvem som behandler personopplysningene, men også hvordan og hvorfor. Berørte personer kan vurdere mulige risikoer og ta beslutninger om sine personopplysninger bare i den grad behandlingen er «transparent».

I henhold til GDPR er du forpliktet til å dele følgende informasjon med enkeltpersoner:

• den behandlingsansvarliges identitet og kontaktopplysninger;
• formålet med behandlingen;
• det rettslige grunnlaget for behandlingen (hvis berettiget interesse, spesifikk informasjon om hvilke interesser knyttet til den spesifikke behandlingen som forfølges, og om hvilken enhet som forfølger en berettigede interesse.);
• den behandlingsansvarliges kontaktopplysninger;
• kontaktinformasjonen til personvernombudet (dersom relevant);
• mottakerne eller kategoriene av mottakere av opplysningene;
• informasjon om hvorvidt personopplysningene vil bli overført utenfor Det europeiske økonomiske samarbeidsområdet (EØS) (der det er aktuelt: om det foreligger en beslutning om tilstrekkelig beskyttelsesnivå eller henvisning til nødvendige garantier og hvordan denne informasjonen kan gjøres tilgjengelig for de registrerte);
• kategoriene av personopplysninger som behandles, når personopplysningene ikke er innhentet fra den enkelte.

I tillegg krever GDPR at virksomheten din gir følgende informasjon for å sikre rettferdig og åpen behandling:

• lagrinsperioden eller, dersom dette ikke er mulig, kriteriene som brukes til å fastsette denne perioden;
• retten til å be om innsyn, sletting, retting, begrensning, protest og dataportabilitet;
• retten til å sende inn en klage til en tilsynsmyndighet;
• hvis det rettslige grunnlaget for behandlingen er samtykke: retten til å trekke tilbake samtykket når som helst;
• når det gjelder automatiserte avgjørelser, relevant informasjon om den underliggende logikken og de forventede konsekvensene av behandlingen for den registrerte;
• kilden til personopplysningene (hvis du ikke mottok dem direkte fra den berørte personen);
• hvorvidt den enkelte er pålagt å oppgi personopplysningene (ved lov eller ved avtale eller for å inngå en avtale) og hva konsekvensene av å nekte å gi opplysningene er.

Mer informasjon:

• Respekter enkeltindividers rettigheter