– Dette er et spennende produkt. La oss sende ut informasjon om dette til alle tidligere kunder! En mulig markedsføringsidé som mange av oss kan kjenne igjen.
Men retningslinjene til myndighetene er klare: Personopplysninger kan bare samles inn for "spesifikke, eksplisitte og legitime formål". Dette betyr at vi i hvert prosjekt må være tydelige på hvorfor, hva og hvor lenge vi skal behandle personopplysninger.
I tillegg må målene være konkrete, ikke vage eller uklare. Det er ikke nok at målet utelukkende er å "forbedre brukeropplevelsen", "cybersikkerhet" eller "fremtidig forskning". Det er for bredt uttrykt, og personer kan ikke enkelt vurdere hva slik behandling av personopplysninger kan innebære. Det er heller ikke nok å spesifisere "kontroller" som formålet med logging og overvåking, man må også å indikere formålet med kontrollen og begrunne behovet. Dette innebærer at behandlingen av personopplysninger må ha et rettslig grunnlag i personvernforordningen og skal skje i samsvar med annen gjeldende lovgivning og alminnelige rettsprinsipper.
Behandle innsamlede personopplysninger på nye måter?
Selvfølgelig er det vanskelig å tenke på alle mulige scenarier i begynnelsen av et prosjekt der personopplysninger samles inn. Ofte dukker det opp behov som var vanskelige å forutsi.
Hvis de nye behovene passer inn i de opprinnelige formålene, er det tilstrekkelig å informere de registrerte personene om den nye behandlingen av personopplysninger før den begynner. Hvis det derimot er snakk om å bruke personopplysningene på en ny måte, må det gis et nytt samtykke til behandling av personopplysninger. Da må vi starte fra bunnen av og finne et juridisk grunnlag for behandling av personopplysninger, sørge for at det skjer i samsvar med de grunnleggende prinsippene og så videre...
Etter fem år med GDPR er dette noe vi virkelig burde vite, men ofte fortsatt glemmer.
Vi har nå lansert 2023-versjonen av GDPR og personvern hvor vi bruker NanoLearning som metode for å skape bevissthet hver dag hele året. Fordi til syvende og sist er fungerende personvern også avhengig av at vi som brukere faktisk tenker og handler med beskyttelse av personvern som en del av vår virksomhet. At vi nøye formulerer formålene med å samle inn personopplysninger. Og at vi er tydelige i vår kommunikasjon.