Kort svar
Behandlingsgrunnlag må velges per formål og før opplysningene tas i bruk. Det er ikke noe man rydder opp i etterpå.
Dere må ta stilling til hva opplysningene brukes til, hvilket grunnlag som faktisk passer for hvert formål og hvordan vurderingen dokumenteres og forklares til de registrerte. Virksomheten kan ikke velge det grunnlaget som virker mest praktisk i ettertid, og den kan heller ikke bruke ett grunnlag for alt.
Når dette blir aktuelt
- når dere innfører nytt CRM, HR-system, analyseverktøy eller AI-løsning
- når markedsføring, kundeoppfølging og statistikk bygger på de samme opplysningene, men til ulike formål
- når ansatte eller kunder spør hvorfor dere behandler bestemte opplysninger
- når samtykke tidligere har blitt brukt som standard uten at maktforhold, nødvendighet eller alternativer er vurdert
Det dere bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilket konkret formål hver behandling har | uten et tydelig formål er det umulig å velge riktig grunnlag |
| Hvorfor akkurat dette grunnlaget er nødvendig | hindrer at dere bruker samtykke, avtale eller berettiget interesse feil |
| Hva som må sies i personvernerklæring, skjemaer og interne notater | gjør det mulig å forklare og forsvare valget senere |
Slik bør dere gå fram
- Lag en oversikt over hvilke personopplysninger dere bruker, hvem de gjelder og hva formålet er i hvert enkelt steg.
- Skill mellom formål som er nødvendige for avtale eller rettslig plikt, og formål som krever en egen vurdering av samtykke eller berettiget interesse.
- Vurder om behandlingen også berører sensitive personopplysninger, ansattforhold, tredjelandsoverføring eller profilering, fordi det kan utløse ekstra krav.
- Dokumenter vurderingen kort og konkret, og sørg for at personvernerklæring, samtykketekst og interne rutiner sier det samme som dere faktisk gjør.
Dokumenter og spor som bør være på plass
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- oversikt over behandlingsaktiviteter med formål, kategorier av opplysninger og mottakere
- kort vurdering av valgt behandlingsgrunnlag per formål
- tekstene brukerne eller ansatte faktisk ser i skjemaer, kontrakter og personvernerklæring
- vurdering av samtykke eller interesseavveining der det er relevant
- avtaler og interne rutiner som viser hvem som bestemmer formål og midler
Typiske feil
- ett behandlingsgrunnlag brukes som standard for hele virksomheten
- samtykke brukes i arbeidsforhold eller andre situasjoner der den registrerte reelt sett ikke står fritt
- virksomheten viser til avtale, selv om behandlingen ikke er nødvendig for å oppfylle avtalen
- berettiget interesse brukes uten at interesseavveiingen er dokumentert
- personvernerklæringen beskriver et annet formål enn det systemet faktisk brukes til
Når bør dere få konkret hjelp?
Få hjelp hvis dere bruker opplysninger til flere formål samtidig, behandler ansattdata, baserer dere på berettiget interesse i stor skala, eller kombinerer behandling med profilering, overvåking eller AI. Det samme gjelder hvis grunnlaget har blitt valgt sent i prosessen og må ryddes opp før dere svarer Datatilsynet, en kunde eller en ansatt.
Relaterte guider
- Berettiget interesse: hvordan gjøre interesseavveining?
- Samtykke: når fungerer det og når bør det unngås?
- Sensitive personopplysninger: når er de i spill og hva kreves?