GDPR – Arkivere eller slette?

GDPR – Arkivere eller slette?

De aller fleste virksomheter i Norge behandler personopplysninger både for sine ansatte og kunder. Personopplysningsloven stiller sterke krav til behandling av disse opplysningene og mange tror at GDPR krever at man sletter alt man ikke har fått samtykke til, slik er det heldigvis ikke.

Et samtykke i personvernrettslig forstand er en «frivillig, spesifikk, informert og utvetydig viljesytring» om at man aksepterer behandling av ens personopplysninger. Men hva gjør virksomheten når man ikke får en slik aksept?

I enkelte tilfeller kan du som kunde kreve at personopplysningene dine slettes, dette kalles “rett til å bli glemt” men det finnes uttak til regelen. Det mange ikke er klar over er at samtykke kun er ett av flere alternative grunnlag for behandling av nødvendig personopplysning. 

Aktuelle behandlingsgrunnlag:

• Samtykke
• Behandling er nødvendig for å oppfylle en avtale.
• Behandling er nødvendig for å oppfylle en rettslig plikt.
• Behandling er nødvendig for å beskytte vitale interesser.
• Behandling er nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet.
• Behandling er nødvendig for å ivareta legitime interesser – interesseavveiing.

Det er derfor viktig for bedrifter å kartlegge om det finnes et behandlingsgrunnlag som sparer dem for innhenting av samtykker, for å unngå unødvendig sletting av personopplysninger som kan skape problemer for bedriften når det gjelder tap av tid og ressursbruk.

Mange virksomheter har med andre ord allerede behandlingsgrunnlag i form av for eksempel løpende kundeavtale. Har man inngått en medlemsavtale hvor kontakt er en forutsetning til å ivareta et kundeforhold er det ikke nødvendig med innhenting av samtykke.

Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål (se personvernforordningen artikkel 6). Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett par formål. Private virksomheter har likevel behov for å ha dokumentasjon, og kan ha mange forskjellige typer grunnlag for å behandle personopplysninger i denne dokumentasjonen.

Virksomheten har også plikt til å informere den enkelte om hvilket grunnlag personopplysningene deres behandles på. Kort oppsummert vil det si at dersom det er en rimelig balanse mellom virksomhetens og den enkeltes interesser, vil virksomheten ha et rettslig grunnlag for behandlingen av personopplysninger. I så fall trenger man ikke å innhente et samtykke i tillegg, og man slipper unødvendige samtykkeforespørsler.

Hva vil dette si i praksis for Easyupdates kunder?

For både Easyupdate og Ledigtime.no sine kunder vil dette si at SMS-påminnelser og timekort faller under «behandling er nødvending for å oppfylle av avtale». Du trenger altså IKKE å innhente samtykke for slike utsendelser.

Driver salongen med markedsføring mot kunder er det derimot krav om samtykke. Easyupdate har utviklet et enkelt verktøy for alle med timebok, hvor salongen selv sender ut samtykke-SMS som deretter blir registret i systemet og loggført for eventuelle kontroller.

Referanse: Retailmagasinet.no og Datatilsynet.no