PROTOKOLL: RETTSLIG GRUNNLAG

Å velge feil grunnlag er en av de vanligste årsakene til bøter under GDPR. Dersom du f.eks. baserer deg på samtykke når du egentlig burde brukt "Avtale", kan du ikke bytte grunnlag i ettertid dersom samtykket trekkes tilbake. Dette kalles hjemmels-låsing, og gjør behandlingen ulovlig fra det tidspunktet samtykket opphører.

Nei, hver spesifikke behandlingsaktivitet må ha ett primært rettslig grunnlag. Du kan derimot ha ulike grunnlag for ulike formål. Eksempel: Du behandler kjøpshistorikk for å levere varen (Avtale), men bruker de samme dataene til markedsføring (Berettiget interesse eller Samtykke). Dette krever to separate vurderinger i vårt verktøy.

En gyldig Legitimate Interest Assessment (LIA) må dokumentere den trefoldige testen: 1. Formål: At interessen er lovlig, konkret og reell. 2. Nødvendighet: At målet ikke kan nås på en mindre inngripende måte. 3. Balansetest: At virksomhetens behov veier tyngre enn den registrertes grunnleggende rettigheter. Vårt verktøy genererer denne protokollen automatisk.

Artikkel 6.1.c (Rettslig forpliktelse) brukes når loven pålegger deg å behandle data (f.eks. Bokføringsloven). Artikkel 6.1.e (Offentlig interesse) brukes primært av offentlige myndigheter for å utføre oppgaver som ligger til deres embete, men som ikke nødvendigvis er spesifisert i en enkelt lovparagraf.

I et arbeidsforhold er Artikkel 6.1.b (Avtale) det vanligste grunnlaget for kjerneopplysninger som lønn og personaladministrasjon. For mer perifere behandlinger, som bilder på intranettet eller kontrolltiltak, brukes ofte Berettiget interesse (6.1.f) etter drøfting med tillitsvalgte.

Ikke nødvendigvis. For eksisterende kundeforhold kan man ofte bruke Berettiget interesse (6.1.f) i kombinasjon med markedsføringslovens regler om "eksisterende kundeforhold". For nye prospekter er derimot Samtykke (6.1.a) den eneste trygge veien.