Denne nettsiden bruker cookies. Ved å fortsette godkjenner du bruken av cookies. Les mer. OK

GDPR: Må vi ha samtykke for å kunne behandle personopplysninger?

Publisert 20. mars 2019

Noe som ofte blir gjentatt i disse dager, er at man med GDPR må ha samtykke for å kunne behandle personopplysninger. Det er korrekt at samtykke kan gi din virksomhet lov til å behandle personopplysninger, men det er ikke det eneste lovlige grunnlaget som finnes. 

Hva må til for å kunne behandle personopplysninger?

For å kunne behandle personopplysninger, må din organisasjon eller virksomhet ha et såkalt behandlingsgrunnlag. Et behandlingsgrunnlag er det (rettslige) grunnlaget du må ha for at behandlingen av personopplysninger skal være lovlig. Et samtykke fra den personen personopplysningene tilhører vil kunne være et slikt behandlingsgrunnlag. 

Selv om din virksomhet eventuelt har et behandlingsgrunnlag, er dette imidlertid ikke det eneste som må være på plass før dere kan starte å behandle personopplysningene. Personopplysningene kan for eksempel kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Dette betyr at dersom din virksomhet har samlet inn eller mottatt personopplysningene til et konkret formål, kan dere ikke automatisk bruke personopplysningene til noe helt annet. 

I tillegg må dere selvfølgelig oppfylle alle kravene i GDPR og øvrig personopplysningslovgivning, slik som å ha interne rutiner for avvikshåndtering, sikkerhet, hvordan dere skal håndtere henvendelser om innsyn samt rutiner for sletting av opplysningene for å nevne noen krav. 

Det er videre viktig å være klar over hvordan dere må behandle personopplysninger om egne ansatte. Dere kan for eksempel ikke uten videre gjennomføre innsyn i ansattes e-postkontoer og private filområder.

Hva slags behandlingsgrunnlag finnes? 

Samtykke

Samtykke er ett av flere behandlingsgrunnlag. En del av bakgrunnen for at man oftere hører om samtykke enn andre behandlingsgrunnlag, er fordi samtykke oppfattes som et praktisk behandlingsgrunnlag det er enkelt å benytte seg av. Dette gjelder særlig i forbindelse med nyhetsbrev og annen type markedsføring. 

Nødvendig for å oppfylle en avtale

Det vil også foreligge et gyldig behandlingsgrunnlag dersom det er nødvendig å behandle personopplysningene for å oppfylle en avtale som personen er part i. 

Dersom din virksomhet driver en nettbutikk, vil dere for eksempel ha behov for å behandle kundens betalingsinformasjon og adresse. Dere behøver da ikke å samle inn et samtykke fra kunden for å få lov til å behandle opplysninger om kundens navn, adresse og annen nødvendig informasjon. Behandlingsgrunnlaget vil her være at dere har et nødvendig behov for opplysningene for å kunne oppfylle avtalen med kunden. 

Nødvendig for å oppfylle en rettslig forpliktelse

Det kan også hende at det er nødvendig å behandle personopplysningene for å oppfylle en rettslig forpliktelse. Dette vil eksempelvis være at dere er pålagt i henhold til lovgivning å samle inn og behandle personopplysningene.

Ett eksempel er for eksempel dersom dere er pålagt til å utføre identifikasjonskontroll etter hvitvaskingslovgivningen eller at dere må oppbevare visse opplysninger for et visst antall år i henhold til regnskaps- og bokføringslovgivningen. 

Berettiget interesse

Det er også et behandlingsgrunnlag som ofte kalles legitim eller berettiget interesse. Ofte vil det være noe utfordrende å ta stilling til om et slikt behandlingsgrunnlag foreligger. Din virksomhet kan behandle personopplysningene dersom det er nødvendig for å ivareta en berettiget interesse under forutsetning av at virksomhetens berettigede interesse veier tyngre – altså er mer «betydningsfull» – enn hensynet til den enkeltes personvern. 

For å avgjøre dette må det foretas en interesseavveining hvor fordelen for virksomheten veies opp mot ulempene enkeltpersoner blir påført. Dersom det er mulig å oppnå formålet med behandlingen på en annen måte – eksempelvis at det er lett å samle inn gyldige samtykker – vil det ikke nødvendigvis sies å foreligge en tilstrekkelig berettiget interesse. 

Andre behandlingsgrunnlag

Videre er det enkelte andre behandlingsgrunnlag som også kan brukes, som for eksempel at behandlingen av personopplysningene er nødvendig for å utføre en oppgave i allmenhetenes interesse eller det er nødvendig for å beskytte vitale interesser. Disse behandlingsgrunnlagene er imidlertid ikke særlige praktiske for det store flertallet av private virksomheter/organisasjoner.  

Hvorfor blir samtykke så ofte nevnt? 

Grunnen til at mange bruker samtykke, er som nevnt tidligere fordi det ofte er praktisk å benytte seg av samtykke dette. Med GDPR har det likevel blitt strengere krav til hva som må til for at man har et gyldig samtykke. 

Nå må blant annet samtykket ha blitt gitt ved en aktiv handling slik at «forhåndsavkryssede» bokser i nettleseren ikke vil være lov. I tillegg er det stilt strengere krav til hva slags informasjon som må gis fra virksomheten om hva det samtykkes til og hvilke rettigheter enkeltpersoner har for å nevne noen av kravene. 

De fleste «gamle» samtykker oppfyller etter vår erfaring ikke alle de nye kravene, hvilket nok er en del av bakgrunnen for at det har blitt veldig mye fokus på samtykke som behandlingsgrunnlag. De fleste av oss har det siste året mottatt relativt mange e-poster fra ulike kundeklubber mv. om at vi må oppdatere samtykkene våre nettopp på grunn av at det nå stilles strengere krav til samtykker.

Sensitive personopplysninger (særlige kategorier av personopplysninger)

Med sensitive personopplysninger menes det blant annet personopplysninger om helseforhold, rasemessig/etnisk opprinnelse, opplysninger om religiøs/filosofisk/politisk oppfatning og fagforeningsmedlemskap. 

Det gjelder noen andre krav til å behandle slike type personopplysninger enn «vanlige» personopplysninger. Dersom din virksomhet eller organisasjon behandlinger sensitive personopplysninger (eller «særlig kategorier av personopplysninger» som det heter i GDPR) er det viktig at dere har vurdert godt nok om dere har tilstrekkelig behandlingsgrunnlag for å kunne behandle disse. 

Viktig med oversikt og kontroll

Det er viktig at din virksomhet eller organisasjon har kartlagt all behandling av personopplysninger slik at dere har oversikt over hva slags type personopplysninger dere har, om det foreligger behandlingsgrunnlag, om behandling kun skjer til lovlige formål i tillegg til at dere oppfyller alle andre krav til interne rutiner og sikkerhet. 

Advokatfirmaet Lippestad bistår virksomheter og organisasjoner med å oppfylle personvernlovgivningen, og kan blant annet bistå med å kartlegge virksomhetens behov og hvilke tiltak som eventuelt må igangsettes. Ta gjerne kontakt med advokat Bibbi Moen Drange for å finne ut hvordan vi kan bistå.