GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 6 (1) (B) GDPR

Kontrakter med registrerte personer

Bedrifter har rett til å behandle personopplysninger når de inngår en kontrakt med registrerte i henhold til artikkel 6 (1) (b) GDPR. Behandlingen av den registrertes personopplysninger kan også finne sted dersom det er nødvendig for utførelsen av den aktuelle kontrakten av selskapet. Selskapet kan imidlertid ikke behandle flere personopplysninger enn det som er nødvendig for å oppfylle kontrakten.

Rettsgrunnlaget kontrakter med registrerte

Det som er viktig å huske på når selskaper vurderer behandling av personopplysninger på grunnlag av dette juridiske grunnlaget, er at den registrerte må være en kontraktspart i kontrakten som er inngått med selskapet. 

Hvis selskapet konkluderer med at dette juridiske grunnlaget kan brukes til behandling av personopplysninger, må det gi den registrerte informasjonen som kreves av artikkel 13 og / eller 14 GDPR. Det står blant annet at selskapet må gi informasjon om personopplysningene det behandler, formålet med behandlingen og når det vil slette dem. I tillegg skal det gis informasjon om de registrertes rettigheter i henhold til GDPR.

What breaches of the GDPR can lead to an administrative fine?

Behandle ikke flere personopplysninger enn det som er nødvendig for formålet

Vær oppmerksom på at et selskap kan ønske å behandle flere personopplysninger enn det som er nødvendig for å oppfylle kontrakten. For eksempel, hvis en e-handelsplattform ønsker å analysere kundenes kjøpsadferd for å tilpasse tilbudet tilsvarende. I slike tilfeller skal foretaket ikke bruke det rettslige grunnlaget for kontrakter med registrerte for dette formålet. Samtykke kan i stedet være et passende rettslig grunnlag for dette. Dette skyldes at analysen av kjøpsatferden ikke er nødvendig for utførelsen av kontrakten som er inngått mellom selskapet og den registrerte. 

Behandle personopplysninger på grunnlag av en kontrakt med den registrerte

Følgende er noen eksempler på når det kan være hensiktsmessig for et selskap å utføre en behandlingsoperasjon på det juridiske grunnlaget for en kontrakt med en registrert: 

E-handel

E-handelsvirksomheter som selger klær, må behandle kundens personopplysninger, for eksempel navn og leveringsadresse, for å kunne oppfylle leveransen og dermed deres forpliktelser i henhold til kontrakten med den registrerte.

Arbeidsgivere

Arbeidsgivere har normalt ikke rett til å behandle personopplysningene til sine ansatte på grunnlag av samtykke som rettslig grunnlag, da det er et ulikt maktforhold mellom dem. I stedet har kontrakter med registrerte (arbeidskontrakten) en tendens til å være mer hensiktsmessig å bruke. For eksempel må en arbeidsgiver betale lønn til sine ansatte for utført arbeid. Dette kan gjøres på grunnlag av en kontrakt med den registrerte som rettslig grunnlag, da utbetaling av lønn er en del av arbeidsgiverens forpliktelser i henhold til arbeidsavtalen.

Kredittyter

Før en kreditor gir en person tilgang til kreditt, har selskapet rett til å behandle den enkeltes personopplysninger for å se om den enkelte har tilstrekkelig kredittverdighet. Dette må imidlertid gjøres på forespørsel fra den registrerte. Dette betyr at selskapet behandler personopplysninger før inngåelse av en kontrakt med en registrert, og kan, som nevnt ovenfor, være lovlig.

Slett personopplysninger når det ikke lenger er nødvendig

Bedrifter bør slette personopplysninger når de ikke lenger er nødvendige for det formålet de ble samlet inn for. Det betyr imidlertid ikke at selskapet må slette personopplysningene umiddelbart etter at de har levert produktet eller tjenesten til kunden. For eksempel, hvis enheten har visse forpliktelser på grunn av kundens juridiske garanti, gir en garanti til kunden eller lignende, kan enheten måtte beholde personopplysningene knyttet til kjøpet så lenge dette gjelder. Formålet med dette er å gjøre det mulig for selskapet å vite om en person har rett til det han ber om. For eksempel i tilfeller som gjelder klager eller påkallelse av garanti. 

Rett til dataportabilitet

De registrerte har rett til dataportabilitet dersom personopplysningene behandles på grunnlag av samtykke eller kontrakt med de registrerte. Dette innebærer at den registrerte har rett til å få sine personopplysninger overført til en annen behandlingsansvarlig. For eksempel fra en sosial medieplattform til en annen. På den annen side får den anvendelse bare dersom det er teknisk mulig for foretaket å foreta en slik overføring.

Praktisk eksempel på dataportabilitet

Et praktisk eksempel på når dette kan skje er hvis en person ønsker å bytte strømleverandør fordi han eller hun har funnet et bedre alternativ. I dette tilfellet kan kunden be den nåværende leverandøren om å overføre personopplysningene direkte til den nye leverandøren, hvis det er teknisk mulig å gjøre det. Kunden har imidlertid alltid rett til å få sine personopplysninger tilbake fra den nåværende leverandøren i et maskinlesbart og vanlig brukt format. Formålet med dette er at de aktuelle personopplysningene skal kunne brukes i andre systemer. 

Mer informasjon om juridiske grunnlag

Rettslig forpliktelse er et annet rettslig grunnlag

Et selskap er underlagt mange forskjellige lover og forskrifter. Noen ganger må et selskap behandle personopplysninger for å oppfylle en bestemt juridisk forpliktelse som selskapet er underlagt. I slike tilfeller kan et selskap behandle personopplysninger basert på juridisk forpliktelse som rettslig grunnlag. Et eksempel er at bedrifter må lagre kvitteringer for et visst antall år i henhold til gjeldende lov. Selskapet kan derfor ikke slette personopplysningene som fremkommer i dokumentasjonen tidligere enn dette. For eksempel må selskaper i Sverige lagre regnskapsdokumenter i syv (7) år i samsvar med den svenske regnskapsloven.

Lyst til å lære mer?

Les mer
Skroll til toppen