Behandlingsgrunnlag
Alle virksomheter som skal behandle personopplysninger må du ha et rettslig grunnlag, eller en “hjemmel” til å behandle personopplysninger. Her dekker vi kort de mest vanlige behandlingsgrunnlagene, men Personvernforordingens (GDPR) artikkel 6 definerer alle gyldige behandlingsgrunnlag.
Formål – ikke snuble på startstreken
En veldig viktig sak er sammenhengen med behandlingsgrunnlag og formål. Dette er veldig elementært, men allikevel noe som mange misforstår. La oss si du driver en nettbutikk, og for å kunne sende kundene dine varen de har bestilt, så trenger du fullt navn og adresse. Behandlingsgrunnlaget for dette er nødvendig for å oppfylle en avtale (sende kunden varene sine). Dette gir deg ikke automatisk hjemmel til å bruke disse dataene til noe annet enn akkurat det som er nødvendig for å oppfylle avtalen. Du kan f.eks. ikke uten videre bruke kundens bostedsadresse til å segmentere en epost med et spesialtilbud til de som bor i et spesifikt område. Da bruker du personopplysningene til et annet formål, eller en annen behandling, og det må du ha et gyldig behandlingsgrunnlag for.
En enkel personopplysning kan med andre ord brukes i en rekke behandlinger som har ulike formål. Men enhver behandling/formål må ha et gyldig behandlingsgrunnlag, og dette er du pliktig til å dokumentere i en behandlingsprotokoll. Les mer om behandlingsprotokoll her.
Nødvendig for å oppfylle en avtale
Ofte har du behov for å samle inn og behandle personopplysninger for å oppfylle en avtale med dine kunder/brukere. Dersom dette er behandlingsgrunnlaget så skal du ikke sample inn noe mer data enn det du trenger. For eksempel kan det være fristende å samle inn kundens fødselsdato eller kjønn for å kunne tilpasse brukeropplevelsen bedre, men dette er ikke nødvendig for å oppfylle en avtale. Her må du benytte et annet behandlingsgrunnlag.
Samtykke
Dette behandlingsgrunnlaget er så enkelt som at kunden har gitt samtykke til behandlingen. Det viktige her er hvordan samtykket er gitt. Noen klassiske feil vi ser flere steder er:
- Samtykke er reelt sett ikke frivillig, fordi man som er nødt til å samtykke for å bruke tjenesten/produktet.
- Ingen mulighet til å trekke tilbake samtykke.
- Vanskelig å forstå hva man samtykker til eller finne teksten som beskriver samtykket.
Dersom et samtykke ikke er korrekt betyr det at det ikke er gyldig, og da har du mao ikke et gyldig behandlingsgrunnlag. Med andre ord: bruk noen timer ekstra på å gjøre dette skikkelig, så sparer det deg for mye potensiell problemer i fremtiden. Artikkel 7 i personvernforordningen (GDPR) presiserer dette veldig godt, og vi oppfordrer alle til å lese det.
Virksomhetens berettigede interesse (ja, det inkluderer direktemarkedsføring)
Uttrykket “berettiget interesse” er sikkert et presist uttrykk i jussen, men for mange er det ikke så forståelig. På engelsk brukes uttrykket “legitimate interest”, derfor bruker også noen oversettelsen “legitim interesse”. Poenget er at du som virksomhet har en rett til å drive forretning, og noen ganger innebærer det å behandle personopplysninger. Virksomheten har med andre ord en interesse i å behandle personopplysninger for å drive forretning på en bestemt måte. Dette betyr selvsagt ikke at du som virksomhet har en blankofullmakt til å gjøre hva du vil fordi det er i virksomhetens interesse. Når du skal bruke dette behandlingsgrunnlaget må du vekte din virsomhets interesser opp mot kundenes/brukernes personvern, og dokumentere det i en interesseavveining. Men direktemarkedsføring av tjenester og produkter kan helt klart være en berettiget interesse. Dette presiseres også i betraktningene til personvernforordningen (GDPR), se punkt 47. Det er samtidig viktig å presisere at dette behandlingsgrunnlaget er det stor uenighet om, og det debatteres veldig ofte.