Ill. foto: Colourbox

Unngå slettesyken

Mange virksomheter tror at GDPR krever at man må slette alt man ikke har fått samtykke til. Slik er det heldigvis ikke.

Publisert

Av Thomas Flo Haugaard og Elin Spjelkavik i Virkeadokatene

Et samtykke i personvernrettslig forstand er en «frivillig, spesifikk, informert og utvetydig viljesytring» om at man aksepterer behandling av ens personopplysninger. Men hva gjør virksomheten når man ikke får en slik aksept?

Unødvendig sletting av personopplysninger skaper praktiske problemer for både virksomheter og enkeltpersoner, og bidrar til at altfor mye tid og ressurser brukes på annet enn verdiskaping. Hovedgrunnen til dette er nok at mange ikke er klar over at samtykke kun er ett av flere alternative grunnlag for behandling av personopplysninger. Disse handler kort fortalt om situasjoner hvor behandling av personopplysninger er nødvendig. De kanskje mest praktiske grunnlagene er:

* Behandling er nødvendig for å oppfylle en avtale med den enkelte.

* Behandling er nødvendig for å oppfylle en rettslig forpliktelse.

* Behandling er nødvendig for å ivareta en berettiget interesse.

Mange virksomheter har med andre ord allerede behandlingsgrunnlag i form av for eksempel løpende kundeavtaler. Skal en ideell organisasjon for eksempel sende ut informasjon til sine medlemmer, trenger man som regel ikke samtykke, siden man har inngått en medlemsavtale hvor slik kontakt er en forutsetning. Tilsvarende vil en virksomhet heller ikke måtte innhente samtykke fra enkeltpersoner om for eksempel lagring av regnskapsinformasjon, ettersom bokføringsloven krever at dette oppbevares i en viss tid.

Elin Spjelkavik

Dersom virksomheten ikke har avtaler eller rettslige forpliktelser å støtte seg på, kan det godt hende man har rettslig grunnlag i form av en berettiget interesse, dersom denne interessen veier tyngre enn hensynet til den enkeltes personvern. Eksemplene kan være mange – fra det lokale begravelsesbyrået som ønsker å ta vare på personopplysninger fra tidligere begravelser innenfor én familie eller slekt, til næringslivslederen som tar vare på lønns- og bonusavtaler for å kunne imøtegå et fremtidig krav om for lite utbetalt lønn. Det å ta vare på slike opplysninger vil som regel være i både partenes og samfunnets interesse.

For å bruke slike interesser som behandlingsgrunnlag, må virksomheten selv gjøre fornuftige avveininger av dens behov opp mot hensynet til den enkeltes personvern. Dersom det er en rimelig balanse mellom virksomhetens og den enkeltes interesser, vil virksomheten ha et rettslig grunnlag for behandlingen av personopplysninger. I så fall trenger man ikke å innhente et samtykke i tillegg, og man slipper unødvendige samtykkeforespørsler.

Thomas Flo Haugaard

Virkeadvokatene er et av Norges ledende advokatmiljøer innenfor sine satsingsområder. Over 20 advokater jobber hver dag for å finne de beste løsningene for Virkes medlemmer. 

Virkeadvokatene jobber tett på medlemmene og har god bransjekunnskap. Vi har erfaring fra private advokatfirmaer, domstolene og departementer.

Miljøet består av en arbeidsrettslig og en forretningsjuridisk avdeling.

Arbeidsrettsavdelingen består av advokater med spisskompetanse på arbeidsrettslige problemstillinger.

Forretningsjuridisk avdeling består av forretningsadvokater med lang erfaring og ekspertise innenfor agent- og distribusjonsrett, kjøpsrett/ forbrukerkjøpsrett, markedsføringsrett, selskapsrett og offentlige anskaffelser.

Virkeadvokatene sitter i en rekke nemnder og utvalg, og oppnevnes jevnlig i lovutvalg.

Virkeadvokatene påtar seg prosedyreoppdrag for alle rettsinstanser. 80 prosent av rettssakene er innenfor arbeidsrettslige områder og 20 prosent innenfor forretningsjuridiske områder.

Virkeadvokatenes hovedformål er å være medlemmenes foretrukne juridiske rådgiver.

Powered by Labrador CMS