Er det lov å endre behandlingsgrunnlag underveis?

138 visninger
Spørsmålet om det er lov å endre behandlingsgrunnlag underveis krever en konkret vurdering av situasjonen. Hovedregelen i personvernforordningen er at behandlingsgrunnlaget må være fastlagt før behandlingen starter, og endringer underveis er som regel ikke tillatt uten et nytt rettslig grunnlag.
Kommentar 0 liker
Kanskje du også vil spørre om dette?Mer

Er det lov å endre behandlingsgrunnlag underveis?

er det lov å endre behandlingsgrunnlag underveis berører viktige spørsmål om håndtering av personopplysninger og korrekt rettslig grunnlag. Feil forståelse av krav eller forutsetninger skaper usikkerhet om hva som gjelder. Les videre for å vurdere temaet ut fra dokumenterte opplysninger og relevant kontekst.

Er det lov å endre behandlingsgrunnlag underveis?

Å endre behandlingsgrunnlag underveis er i utgangspunktet ikke tillatt etter personvernforordningen. Behandlingen av personopplysninger må ha et gyldig rettslig grunnlag fra start til slutt, og du kan ikke bare bytte til et annet grunnlag dersom det opprinnelige grunnlaget faller bort.

Hvorfor er strenge krav til behandlingsgrunnlag viktig?

Hver behandling av opplysninger kan kun ha ett behandlingsgrunnlag. Før du samler inn eller bruker personopplysninger, må du ha identifisert det korrekte grunnlaget, som for eksempel samtykke, avtale eller en lovhjemmel. Hvis behandlingen mangler grunnlag, er den ulovlig. Mange virksomheter gjør den feilen at de tenker på behandlingsgrunnlag krav som noe som kan justeres underveis hvis behovene endres, men personvernforordningen setter en tydelig stopper for dette.

Her er det snakk om rettssikkerhet for den registrerte. Når en person gir samtykke til en spesifikk behandling, baserer de seg på at rammeverket er låst. Hvis virksomheter fritt kunne bytte behandlingsgrunnlag personvernforordningen, som for eksempel berettiget interesse, ville hele tillitsforholdet og personvernet blitt svekket.

Hva skjer når samtykke trekkes tilbake?

Dersom du baserer behandlingen på samtykke, har den registrerte rett til å trekke det tilbake når som helst. Hvis samtykket trekkes, må du som hovedregel stanse behandlingen og slette opplysningene. Du kan ikke bare endre grunnlaget til for eksempel berettiget interesse for å beholde dem. Dette er et punkt der mange går feil, og det kan føre til brudd på personvernforordningen dersom man forsøker å omgå sletteplikten.

Formålsbegrensning og endring av formål

Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål. De skal ikke brukes videre på en måte som er uforenelig med disse formålene. Hvis formålet endres, må du i teorien ha et nytt behandlingsgrunnlag. Dette krever ofte at det nye formålet er forenelig med det opprinnelige, eller at du har innhentet et nytt samtykke fra de berørte personene.

Det er en vanlig misoppfatning at man bare kan utvide bruken av data så lenge man er eier av dem. I realiteten fungerer behandlingsgrunnlaget som en streng kontrakt. Dersom du samlet inn data for markedsføring, kan du ikke automatisk bruke de samme dataene til produktutvikling uten en ny vurdering og et gyldig grunnlag for dette spesifikke formålet.

Unntak: Arkivformål, forskning og statistikk

Det finnes ett viktig unntak fra formålsbegrensning personopplysninger. Dette gjelder dersom opplysningene skal brukes til arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål, eller statistiske formål. I disse spesifikke tilfellene kan videre behandling anses som forenelig med de opprinnelige formålene, noe som gir virksomheter mer fleksibilitet.

Dette er ikke en åpen billett for hvem som helst. For at unntaket skal gjelde, må behandlingen ivareta den registrertes rettigheter og friheter gjennom egnede tekniske og organisatoriske tiltak, som for eksempel pseudonymisering. Mange forskningsmiljøer benytter seg av dette, men det krever en svært ryddig dokumentasjonsprosess i forkant.

Grunnlag for behandling: Samtykke vs. Berettiget interesse

Valg av behandlingsgrunnlag har stor betydning for din fleksibilitet underveis i prosessen.

Samtykke

Må være frivillig, spesifikt, informert og utvetydig.

Den registrerte har full kontroll og kan trekke det tilbake når som helst.

Svært lav - du kan ikke bytte til et annet grunnlag hvis samtykket trekkes.

Berettiget interesse

Krever en dokumentert vurdering av at virksomhetens behov veier tyngre enn personvernet.

Virksomheten har mer kontroll, men må foreta en streng interesseavveining.

Moderat - men forutsetter at formålet er definert og ikke endres.

Samtykke gir den registrerte mest makt, men låser deg i en rigid struktur. Berettiget interesse kan være mer praktisk i drift, men krever at du gjør hjemmeleksen din med en grundig interesseavveining før oppstart.

Erfaring fra markedsavdelingen i et IT-selskap

En markedssjef i Oslo ønsket å bruke kundelister, samlet inn for nyhetsbrev, til en målrettet kampanje i sosiale medier uten nytt samtykke. Det var en stressende situasjon med korte tidsfrister.

De antok først at listen var deres eiendom og kunne brukes fritt. Men etter en intern gjennomgang innså de at samtykket kun gjaldt e-post, ikke profilering på eksterne plattformer.

Selskapet måtte derfor kontakte alle kundene på nytt for å be om et oppdatert samtykke som inkluderte målrettet annonsering. Det tok tre uker å få nok svar.

Resultatet ble at de mistet 40% av listen, men de som ble igjen var mer engasjerte. De lærte at å bygge rettslig grunnlag riktig fra starten er mye billigere enn å rette opp feil i etterkant.

Totaloversikt

Behandlingsgrunnlaget er låst

Du kan ikke fritt endre behandlingsgrunnlag underveis; det må identifiseres korrekt før oppstart.

Samtykketilbakekalling betyr sletting

Hvis samtykket trekkes, må du som hovedregel slette dataene fremfor å lete etter alternative behandlingsgrunnlag.

Lurer du på hva du må gjøre hvis noen trekker sitt samtykke? Les mer om Hva må du gjøre hvis noen trekker sitt samtykke?
Dokumentasjon er nøkkelen

Ved bruk av berettiget interesse må du ha en skriftlig interesseavveining som forsvarer behandlingen mot den registrertes personvernhensyn.

Spørsmål innen samme tema

Kan jeg bytte behandlingsgrunnlag dersom jeg endrer virksomhetsmodell?

Som hovedregel nei. Hvis virksomhetsmodellen endres så drastisk at det opprinnelige grunnlaget ikke lenger er gyldig, må du som regel innhente et nytt samtykke eller vurdere om du kan basere behandlingen på et annet grunnlag som er forenlig med det nye formålet.

Hva gjør jeg hvis jeg oppdager at jeg har brukt feil behandlingsgrunnlag?

Du må stanse behandlingen umiddelbart og vurdere om det finnes et gyldig grunnlag for å fortsette. Dersom behandlingen har vært ulovlig, må du vurdere om dette utgjør et avvik som må meldes til Datatilsynet innen 72 timer.

Er berettiget interesse en trygg havn for å slippe samtykke?

Nei, berettiget interesse er ikke en snarvei. Det krever at du gjør en grundig og dokumentert interesseavveining hvor du beviser at dine behov ikke overkjører den registrertes rettigheter og personvern.

Mest likt
Mest sett
Nyeste spørsmål

Kommenter svaret:

Takk for tilbakemeldingen! Din kommentar hjelper oss å forbedre svarene i fremtiden.

Vennligst oppgi årsaken: