Mange tror at et samtykke er den eneste muligheten for å danne et rettslig grunnlag for behandling av personopplysninger, men det er ikke tilfellet. Et rettslig grunnlag kan også være vital interesse eller en kontraktsfestet avtale. Men hvor mye kunnskap om de forskjellige typer rettslig grunnlag kan du forvente at dine ansatte skal ha? Dette blogginnlegget tar deg gjennom temaet som omhandler rettslig grunnlag for behandling av personopplysninger og gir deg eksempler på hva dine ansatte bør vite og gjøre i sitt daglige arbeid, samt hva de må vite og gjøre når du kommer bort i utfordringer i forbindelse med behandling av personopplysninger.
Nesten alle organisasjoner og virksomheter, uansett type og størrelse, må behandle personopplysninger. Dette fordi personopplysninger finnes overalt og kan være ulike ting, som navn, adresse, hårfarge, søkehistorikk på nett eller politisk ståsted. I bunn og grunn er alle typer informasjon som kan føre fram til en bestemt person, kategorisert som personopplysninger.
Dette betyr at det er mange berøringspunkter hvor din organisasjon kan komme i en situasjon der det er nødvendig å behandle personopplysninger. I slike tilfeller er det viktig å huske på at det er din organisasjon som rollen som databehandler og du må dermed sørge for at det finnes et rettslig grunnlag for din organisasjon til å behandle personopplysninger på en lovlig måte.
Du har sannsynligvis implementert gode rutiner i virksomheten din for å være sikker på at du operer i tråd med ulike lover og forskrifter om personvern og databeskyttelse, som for eksempel personvernforordningen/GDPR. I tillegg har du kanskje en juridisk avdeling eller ansvarlig som har kunnskap om databehandlingslover og du har kanskje til og med gitt dine ansatte opplæring i hvordan de skal behandle personopplysninger.
Men – behandling av personopplysninger på en lovlig måte kan fortsatt være en utfordring. Selv om du har sørget for at din organisasjon og ansatte har rutiner og kunnskap til å imøtekomme kravene til GDPR i det daglige, så hender det ofte at ansatte er i tvil om hvordan de skal behandle personopplysninger når de kommer i ukjente situasjoner.
Nesten alle behandler personopplysninger
De fleste av oss som sitter foran en datamaskiner kommer bort i personopplysninger. Du har antakeligvis sikret deg at det finnes et rettslig grunnlag for å behandle personopplysninger for daglig, rutinearbeid. Eksempler på dette kan være at du sørger for at dine kunder samtykker at du behandler deres informasjon når de abonnerer på ditt nyhetsbrev, eller at du sørger for at du har et rettslig grunnlag for å behandle dine ansattes nødvendige personopplysninger gjennom deres ansettelseskontrakter.
Og det er flott, men…
Dette gjelder som regel kun for de av dine ansatte som behandler personopplysninger som en del av sine rutineoppgaver. De er vant med slik behandling, og de vet hva de skal gjøre. Men, siden personopplysninger finnes overalt så kan nye situasjoner hvor noen blir nødt til å behandle personopplysninger oppstå når som helst. Det kan da tenkes at den enkelte ansatte ikke vet hvordan den skal fremskaffe et rettslig grunnlag eller at vedkommende er faktisk ikke sikker på om det trengs et rettslig grunnlag for den spesifikke situasjonen.
Ukjente situasjoner oppstår hele tiden
Som nevnt så oppstår problemet ofte når dine ansatte befinner seg i situasjoner som er nye og ukjente. Dette kan for eksempel være når de jobber med en ny ide eller prosjekt, eller når en ansatt utfører en oppgave som er et engangstilfelle.
La oss for eksempel si at din organisasjon ønsker å arrangere et juleselskap for ansatte, hvor ansattes familiemedlemmer også skal være invitert. En av dine ansatte får ansvaret for å organisere juleselskapet. Denne personen er da nødt til å samle inn informasjon om hvem som kommer til å delta på arrangementet sammen med sine familier, navnene deres, og om de har spesielle preferanser for hva slags mat de spiser (allergier, livsstil og lignende). Her er det faktisk snakk om en god del personopplysninger som også kan være meget sensitive. Siden det er din organisasjon som har rollen som databehandler, er det også din organisasjon som må sørge for at det finnes et rettslig grunnlag for databehandlingen.
Andre eksempler på ukjente situasjoner kan være:
Nettbasert rekrutteringsportal: Din HR-avdeling ønsker å etablere en ny rekrutteringsportal, hvor kandidater som er interessert i å jobbe for ditt selskap kan registrere sine CV-er, slik at HR-avdelingen i fremtiden kan gjøre dem oppmerksom på relevante ledige stillinger.
Instagram konkurranse: Din markedsføringsavdeling har kommet på en god idé om hvordan de kan forsterke merkevaren deres på nettet. For å oppnå så mye oppmerksomhet om bedriften deres som mulig, ønsker de å arrangere et lotteri på Instagram. Alt kundene trenger å gjøre er å like ditt innlegg på Instagram og å skrive ned hva de liker best med dine produkter i kommentarfeltet, og så vil du trekke en vinner på slutten av måneden som vil motta et gavekort fra ditt selskap.
Leverandørkontakter: Organisasjonen din vokser, og det er nå flere enn kun én person som har ansvar for å holde kontakt med dine leverandører. For å gjøre det lettere å se hvem som er kontaktperson for alle dine respektive leverandører, så lager du et Excel-dokument som inneholder en liste over dine leverandører og hvem kontaktpersonen er for hver leverandør. Du registrerer da deres navn, tittel, e-postadresse og telefonnummer.
Poenget med eksemplene ovenfor er at det ikke er kun organisasjonens juridiske avdeling som må være bevisste på og å vurdere det rettslige grunnlaget for behandling av personopplysninger. De fleste av dine ansatte kommer til å måtte behandle personopplysninger, og det er ytterst viktig at det finnes et rettslig grunnlag for å gjøre det på en lovlig måte.
Hva slags rettslige grunnlag for behandling av personopplysninger finnes det?
En type rettslig grunnlag for behandling av personopplysninger som alle kjenner til er et samtykke. Når du registrerer deg som mottaker av et nyhetsbrev på internett, så blir du bedt om å akseptere at selskapet kan behandle og lagre dine personopplysninger, slik som din e-postadresse og ditt navn. Normalt gir du dette samtykket ved å huke av en boks som eksplisitt uttrykker at du godtar at nettstedet kan behandle dine opplysninger
Vi er alle sammen godt kjent med å gi samtykke til behandling av personopplysninger, men et samtykke er kun en av mange måter å ha et rettslige grunnlag for behandling av personopplysninger på. I det følgende skal vi presentere noen typer rettslige grunnlag for behandling av personopplysninger, sammen med noen eksempler.
Dette er bare enkelte av flere typer rettslige grunnlag for behandling av personopplysninger. Hvilken type som skal brukes hvor er situasjonsavhengig, og det finnes ingen enestående type som regnes for være den beste og det finnes heller ingen type som passer til alle tilfeller. Det er derfor opp til din organisasjon å finne det riktige rettslige grunnlaget avhengig av den spesifikke situasjonen.
Dine ansatte behøver ikke å være eksperter i juss
Selv om de fleste av dine ansatte behandler personopplysninger, så er det nok at de er kjent med de rettslige grunnlagene og at de er sikre på at de overholder loven. Dette betyr ikke at alle trenger å være eksperter innen GDPR eller andre lovgivninger. Poenget er at du må skape en bevissthet blant dine ansatte om at rettslige grunnlag for behandling av personopplysninger er noe de må forholde seg til, spesielt i nye og ukjente situasjoner.
La oss gå tilbake til eksemplet om arrangeringen av et juleselskap. Den ansatte som har fått i oppgave å organisere juleselskapet bør henvende seg til personvernombudet i organisasjonen for å få råd om hvordan han eller hun skal gå frem i dette tilfellet. Det rettslige grunnlaget for slik behandling kan muligens anses å være en legitim interesse, siden dine ansatte er klar over hvem som samler inn informasjon, hva den brukes til og hvordan. Personvernombudet kan i tillegg gi gode råd til vedkommende som skal arrangere julebordet, som for eksempel hvordan han/hun kan lagre opplysningene og slette dem i etterkant.
I korte trekk er det altså dine jurister, din juridiske avdeling eller ditt personvernombud som bør ha kunnskap om og ansvaret for å sørge for at din organisasjon har rettslige grunnlag for å behandle personopplysninger. Det er disse som bør jobbe med å forberede et rettslig grunnlag for de ulike aktivitetene din organisasjon utøver.
Dine ansatte, på den andre siden, må være bevisste på at det kan trengs et rettslig grunnlag for behandling av personopplysninger, og de må ha muligheten til å ha noen de kan henvende seg til når de er i tvil. Din oppgave i denne sammenhengen er å sørge for at dine ansatte blir bevisste og at det finnes noen i din organisasjon som dine ansatte kan henvende seg til – enten en jurist eller et personvernombud som kan gi råd til dine ansatte om rettslig grunnlag for behandling av personopplysninger.
Det hele handler om bevissthet
For å oppsummere kan vi si at det dukker opp mange situasjoner hvor dine ansatte må behandle personopplysninger og at et rettslig grunnlag må være til stede i disse situasjonene. Personopplysninger finnes overalt og kan være om mange forskjellige aktører, som for eksempel dine kunder, ansatte, leverandører eller partnere- rett og slett hvem som helst som på en eller annen måte samhandler med din organisasjon. Dette fører til at det er et behov for behandling av personopplysninger og dermed også et rettslig grunnlag for dette.
Dine ansatte er mest sannsynlig i stand til å behandle personopplysninger i samsvar med loven og GDPR i de fleste daglige og rutinerte situasjoner. Problemet oppstår når de kommer i nye og ukjente situasjoner. Du kan da ikke forvente av dine ansatte at de skal være eksperter på juss eller GDPR. Du kan derimot sikre at du følger loven ved å bevisstgjøre dine ansatte om at det trengs et rettslig grunnlag for behandling av personopplysninger og å sørge for at det finnes noen eller et sted dine ansatte kan henvende seg til når de er i tvil.
