En av de viktigste tingene vi som coacher og eksperter gjør i vårt GDPR-arbeid, er å sørge for å ha de rette behandlingsgrunnlagene for den informasjonen vi innhenter. I dette innlegget deler jeg de vanligste behandlingsgrunnlagene med deg. Men: Om det første du tenker når du leser denne overskriften er «Hva i all verden er et behandlingsgrunnlag?», start med å lese artikkelen om akkurat det HER.
Ok, nå som du vet hva et juridisk gyldig behandlingsgrunnlag er, får du her en liste over de vanligste behandlingsgrunnlagene:
Artikkel 6
Alle de 6 vanligste juridisk gyldige behandlingsgrunnlagene grunnlagene finner vi i Artikkel 6 i personvernforordningen.
Om du vil lese lovteksten i sin helhet på norsk, finner du den hos lovdata HER, og vil du lese den engelske lovteksten, så finner du den HER.
Ok, dette blir en kort og konsis artikkel, så la oss sette i gang:
ARTIKKEL 6.1.a
handler om samtykke. Om du for eksempel ønsker å sende nyhetsbrev til lista di, så må du ha samtykke etter Art 6.1.a for at det skal være lovlig. Legg merke til at et samtykke til enhver tid skal være lett å trekke tilbake.
ARTIKKEL 6.1.b
handler om kontrakter og/eller avtaler. Om du for eksempel har en freebee, og du vil at folk skal bestille den ved å legge igjen navn og epostadresse, så går dette under Art 6.1.b Avtale. Avtalen er at de legger igjen navn og epostaddresse i bytte mot freebee`en de ønsker at du skal sende til dem.
LEGG MERKE TIL at selve optin-siden for freebee`en din går under Art 6.1.b Avtale, mens om du vil sende folk nyhetsbrev etter de har lagt igjen epost addresse og eventuelt navn, så må det skje etter Art 6.1.a Samtykke. Det er derfor det er veldig vanlig å skrive over eller under optin-feltene noe a la «ved å legge igjen navn og epostaddresse samtykker du til å motta jevnlig epost med *sånn, sånn og de beste tilbudene på programmene/produktene våre. Du kan når som helst melde deg av igjen.*
ARTIKKEL 6.1.c
handler om juridiske forpliktelser du har. Denne artikkelen kommer til bruk f eks i forbindelse med bokføringsloven, så all dokumentasjon på inntekter og utgifter med fakturaer og kvitteringer lagres i henhold til Art 6.1.c Juridisk forpliktelse, helt spesifikt juridisk forpliktelse til bokføringsloven.
ARTIKKEL 6.1.d
handler om når «behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser» (kilde: Lovdata). Altså når det er snakk om liv eller død eller helsa står i fare til den som eier opplysningene eller andre mennesker. Dette gjelder altså data om enkeltindivider eller noen få personer, men ikke i stor skala.
ARTIKKEL 6.1.e
handler om hvorvidt behandlingen er for allmennhetens beste, eller som det står i Lovdata: «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Denne er mye brukt hos offentlige myndigheter som folkeregisteret, skatteetaten, politi etc.
ARTIKKEL 6.1.f
handler om såkalte legitime interesser, eller som det står i Lovdata: «behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.» Denne benyttes ofte i forbindelse med f eks statistikk og analyse av trafikk og besøkendes adferd på nettsider, trafikk og konvertering som resultat av en annonse eller kampanje etc.
Så der har du de 6 vanligste juridisk gyldige behandlingsgrunnlagene i GDPR.
De jeg ser går oftest igjen i de GDPR-dokumentene jeg lager for kunder, er
- Art 6.1.a Samtykke
- Art 6.1.b Avtale
- Art 6.1.c Juridisk forpliktelse og
- Art 6.1.f Berettiget interesse
Flere av kundene mine behandler også såkalte særlig sensitive opplysninger. Dette er f eks fysisk og psykisk helse, livssyn, seksualitet og/eller kriminalitet. Da må det legges til behandlingsgrunnlag etter Artikkel 9 og/eller 10 i tillegg – men det får bli en egen artikkel.
Jeg håper denne oversikten kommer til nytte for deg i ditt personvernarbeid. Og skulle du trenge min hjelp – send meg en epost på anne@annekariwasenius.com eller en DM på Instagram.
Husk – jeg er her for DIN suksess 🙂