Say YES and give me your email address?

Mange bedrifter tror at GDPR krever at man alltid må ha samtykke for å bruke personopplysninger, og at man må slette alt man ikke har fått samtykke til. Slik er det heldigvis ikke.

Bryn Aarflot

Et samtykke i personvernrettslig forstand er en «frivillig, spesifikk, informert og utvetydig viljesytring» om at man aksepterer behandling av ens personopplysninger. Men hva gjør du når bedriften din ikke får en slik aksept?

Alternativene til samtykke

Unødvendig sletting av personopplysninger skaper praktiske problemer for både bedrifter og enkeltpersoner, og bidrar til at altfor mye tid og ressurser brukes på annet enn verdiskaping. Hovedgrunnen til dette er nok at mange ikke er klar over at samtykke kun er ett av flere alternative grunnlag for behandling av personopplysninger. Disse handler kort fortalt om situasjoner hvor behandling av personopplysninger er nødvendig.

De kanskje mest praktiske grunnlagene er:

  • ·Behandling er nødvendig for å oppfylle en avtale med den enkelte.
  • ·Behandling er nødvendig for å oppfylle en rettslig forpliktelse.
  • ·Behandling er nødvendig for å ivareta en såkalt berettiget interesse.

Mange bedrifter har med andre ord allerede behandlingsgrunnlag i form av for eksempel løpende kundeavtaler. Skal man for eksempel sende ut informasjon til medlemmer av kundeklubben, trenger man som regel ikke samtykke til dette, siden man har inngått en medlemsavtale hvor slik kontakt er en forutsetning. Tilsvarende vil en bedrift heller ikke måtte innhente samtykke fra enkeltpersoner om for eksempel lagring av regnskapsinformasjon, ettersom bokføringsloven krever at dette oppbevares i en viss tid.

Samtykke er ofte unødvendig

Dersom bedrifter ikke har avtaler eller rettslige forpliktelser å støtte seg på, kan det godt hende man har rettslig grunnlag i form av en berettiget interesse, dersom denne interessen veier tyngre enn hensynet til den enkeltes personvern. Eksemplene kan være mange – fra det lokale begravelsesbyrået som ønsker å ta vare på personopplysninger fra tidligere begravelser innenfor én familie eller slekt, til næringslivslederen som tar vare på lønns- og bonusavtaler for å kunne imøtegå et fremtidig krav om for lite utbetalt lønn. Det å ta vare på slike opplysninger vil som regel være i både partenes og samfunnets interesse.

For å bruke slike interesser som behandlingsgrunnlag, må bedriften selv gjøre fornuftige avveininger av dens behov opp mot hensynet til den enkeltes personvern, samt dokumentere de vurderingene som gjøres. Dersom det er en rimelig balanse mellom bedriftens og den enkeltes interesser, vil bedriften ha et rettslig grunnlag for behandlingen av personopplysninger. I så fall trenger man ikke å innhente et samtykke i tillegg, og man slipper unødvendige samtykkeforespørsler.

Skrevet av Thomas Flo Haugaard

Kontakt oss i dag

Ta kontakt for en uforpliktende samtale med en av våre rådgivere. En av våre advokater og patentingeniører svarer raskt og gir deg gjerne et oversiktlig prisestimat.

Kontakt oss