Innhold

Avtale som behandlingsgrunnlag

En dame og en mann som håndhilser.

Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag. Et slikt grunnlag kan være at det er nødvendig for bedriften for å oppfylle en avtale med den registrerte.

Selv om man har en avtale med noen, er det ikke fritt frem for å behandle personopplysninger om kunden:

  1. Den registrerte må være part i avtalen. I praksis betyr det at avtale kan være behandlingsgrunnlag bare når kunden er en privatperson (eller et enkeltpersonforetak). En avtale med en persons arbeidsgiver er ikke en slik avtale. Det betyr at opplysninger om en kontaktperson hos kunde eller leverandør ikke er omfattet av dette behandlingsgrunnlaget.

  2. Det må være snakk om å oppfylle en forpliktelse som er basert på en avtale. Forpliktelsen kan fremgå uttrykkelig av avtalen, for eksempel at selger skal levere noe hjemme hos kunden. Forpliktelser kan også følge mer implisitt, for eksempel om utbetaling av lønn til bankkontoen til en ansatt uten at kontonummeret står i arbeidsavtalen.

    Det er ikke nødvendig at den aktuelle avtalen er skriftlig, den kan være muntlig eller være inngått digitalt.

  3. Behandlingen av personopplysninger må være nødvendig for å oppfylle den forpliktelsen det er snakk om. Det må være en direkte forbindelse mellom den forpliktelsen man har og de(n) opplysningen(e) man vil behandle. 

    Hvis selger skal levere en vare hjemme hos kjøper er det for eksempel nødvendig å ha leveringsadressen. Det kan også være nødvendig å gi den videre til en transportør. Skal kjøper hente varen hos selger, er det ikke nødvendig for selger å ha adressen.

    Det er bare bedriftens (selgers) egne forpliktelser som kan gjøre at avtalen er behandlingsgrunnlag. De forpliktelsene kunden har, for eksempel til å betale, gir ikke behandlingsgrunnlag for bedriften.

  4. Merk at en avtale kan aldri være behandlingsgrunnlag for sensitive personopplysninger.

Bedriften (selger) kan ha behandlingsgrunnlag også i fasen før en avtale eventuelt blir inngått. Det vil gjelde når kunden har bedt om det. Ønsker en kunde å få sydd en bunad, vil han gi systua forskjellige kroppsmål som systua bruker for å lage et tilbud. En kunde som ønsker tilbud på bilforsikring vil gi forsikringsselskapet opplysninger om seg selv og om bilen.

Hvis bedriften vil behandle andre opplysninger enn de som er nødvendige for å oppfylle forpliktelser må den ha et annet behandlingsgrunnlag enn avtale. Det vil typisk være en berettiget interesse eller samtykke .

 

Det er ikke adgang til å skaffe seg behandlingsgrunnlag ved å innta samtykke i en avtale som betingelse for kjøpet, for eksempel i en butikks standard salgsvilkår. Et samtykke til e-postmarkedsføring vil altså ikke være gyldig hvis kunden er nødt til å gi samtykket for å få handle en vare.

De seks grunnkravene til behandling av personopplysninger gjelder for all behandling av personopplysninger, også når det er avtale som er behandlingsgrunnlag. Les om disse grunnkravene i vår innføringsartikkel.