Meny
Meny

GDPR: Må vi ha samtykke for å kunne behandle personopplysninger?

En vanlig misforståelse er at samtykke alltid er nødvendig for å behandle personopplysninger. I realiteten er samtykke kun ett av flere lovlige behandlingsgrunnlag under personvernforordningen (GDPR). Det er avgjørende å velge riktig grunnlag for å sikre lovlig og korrekt behandling av personopplysninger.

De seks behandlingsgrunnlagene under GDPR:

  1. Samtykke: Den registrerte har gitt frivillig, spesifikt, informert og utvetydig samtykke til behandling av sine personopplysninger.
  2. Avtale: Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtale inngås.
  3. Rettlig forpliktelse: Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.
  4. Vitale interesser: Behandlingen er nødvendig for å beskytte den registrertes eller en annen fysisk persons vitale interesser.
  5. Offentlig oppgave: Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller som ledd i utøvelse av offentlig myndighet som den behandlingsansvarlige er pålagt.
  6. Berettiget interesse: Behandlingen er nødvendig for formål knyttet til den behandlingsansvarliges eller en tredjeparts berettigede interesser, med mindre den registrertes grunnleggende rettigheter og friheter går foran.

Når er samtykke det riktige grunnlaget?

Samtykke bør benyttes som behandlingsgrunnlag når den registrerte har reell valgfrihet, og kan nekte eller trekke tilbake samtykke uten negative konsekvenser. Det er viktig å merke seg at samtykke må være frivillig, spesifikt, informert og utvetydig. Den registrerte skal også kunne trekke tilbake sitt samtykke like enkelt som det ble gitt.

Eksempler på situasjoner der samtykke er hensiktsmessig:

  • Nyhetsbrev: En person gir samtykke til å motta markedsføringsmateriell via e-post.
  • Deltakelse i forskningsprosjekter: En deltaker samtykker til at deres data brukes til spesifikke forskningsformål.

Når bør andre behandlingsgrunnlag vurderes?

I mange tilfeller vil andre behandlingsgrunnlag enn samtykke være mer passende:

  • Avtale: Behandling av personopplysninger for å levere en tjeneste som en kunde har bestilt.
  • Rettlig forpliktelse: Lagring av fakturainformasjon for å overholde bokføringsloven.
  • Berettiget interesse: Bruk av overvåkingskameraer for å ivareta sikkerheten i en butikk, forutsatt at dette ikke overstyrer kundenes personvernrettigheter.

Viktige hensyn:

  • Dokumentasjon: Uansett hvilket behandlingsgrunnlag som benyttes, må virksomheten dokumentere vurderingene som ligger til grunn for valget.
  • Informasjon: Den registrerte skal informeres om hvilket behandlingsgrunnlag som anvendes, og formålet med behandlingen.
  • Rettigheter: Uavhengig av behandlingsgrunnlag har den registrerte rettigheter, som innsyn, retting og sletting, som må ivaretas.

Å velge riktig behandlingsgrunnlag er avgjørende for å sikre lovlig behandling av personopplysninger og for å opprettholde tillit hos de registrerte. Virksomheter bør nøye vurdere hvilket grunnlag som er mest hensiktsmessig for hver enkelt behandlingsaktivitet.

Skrevet av

Picture of Advokat Lippestad

Advokat Lippestad

Advokat

post@advokatlippestad.no
Oslo
+47 22 94 10 20
post@advokatlippestad.no
Advokatfirmaet Lippestad AS
Sehesteds gate 6
0164 Oslo
Se på kart
Halden
+47 22 94 10 20
post@advokatlippestad.no
Advokatfirmaet Lippestad AS
Storgata 2A
1767 Halden
Se på kart

Abonner på nyhetsbrev

Menneskene
Kompetanse
Aktuelt
Karriere
Om oss
Priser
Artikkelsamling
Kontakt oss