Behövs godkännande från kontaktpersoner införda i kundregister för lagring av deras personuppgifter enligt GDPR?
I vissa fall krävs ett uttryckligt samtycke från den registrerade, t.ex. om det är en känslig personuppgift, för att behandlingen ska vara laglig. Annars är samtycke ett av de alternativa villkor som ställs för att behandling av personuppgifter ska vara laglig enligt GDPR, EU:s allmänna dataskyddsförordning som börjar gälla den 25 maj 2018. Nuvarande personuppgiftslagen har liknande krav.
Ditt företag ska enligt GDPR stödja sin behandling av personuppgifter på något av följande alternativ:
a) samtycke,
b) i samband med avtal med den registrerade,
c) för att fullgöra en rättslig förpliktelse,
d) för att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person,
e) för att utföra en uppgift av allmänt intresse eller myndighetsutövning,
f) intresseavvägning.
I ett företag är det vanligtvis fråga om behandling efter inhämtat samtycke, för att kunna fullgöra avtal, eller efter en sådan intresseavvägning som är grunden för en laglig behandling av personuppgifter. Ditt företag ska som personuppgiftsansvarig ha dokumenterat vilket av villkoren som används som stöd för att det är en laglig behandling.
Behandling av personuppgifter med stöd av samtycke kan vara krångligt ibland. Till att börja med krävs att du har fått ett uttryckligt samtycke till behandlingen, efter att den som ska registreras fått tillräcklig information om bl.a. ändamålet med registreringen. Samtycket ska vara frivilligt, specifikt, informerat och otvetydigt.
Ditt företag som personuppgiftsansvarig ska ha samtycket dokumenterat. Om samtycket lämnas i ett dokument som även tar upp andra frågor ska frågan om samtycket klart och tydligt skiljas från övriga punkter i en begriplig och lätt tillgänglig form. Språket ska vara klart och tydligt.
Samtycke ska vara frivilligt för att vara giltigt
Samtycke ska vara frivilligt för att vara giltigt. Detta innebär bl.a. att den som ska lämna samtycke måste ha ett alternativ. Vid bedömning av om samtycket är frivilligt tas hänsyn till att om genomförandet av ett avtal har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändiga för genomförandet av avtalet.
Dessutom kan den registrerade när som helst återkalla samtycket. Det ska vara lika lätt att återkalla ett samtycke som att lämna det. Innan den registrerade lämnar sitt samtycke ska ditt företag ha informerat om att samtycket kan dras tillbaka.
Att grunda sin behandling på en intresseavvägning innebär att ditt företag får behandla personuppgifterna om de är nödvändiga för ändamål som rör ditt företags eller annans berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd för personuppgifterna. Särskilt skydd ska ges den registrerades intressen om den registrerade är ett barn.
Intresseavvägning med hänsyn till personlig integritet
I ditt fall kan ditt företag väga sitt behov av att ha vissa kontaktuppgifter till personer hos kundföretagen mot dessa personers intresse av att inte bli registrerade. Vid normala kontaktuppgifter väger förmodligen ditt företags intresse, att kunna ge service m.m. till kunden, tyngre än kontaktpersonens behov av personlig integritet. Däremot kan vissa andra typer av uppgifter om kontaktpersonen, av mer personliga karaktär, vid en intresseavvägning leda till att ditt företag inte får behandla uppgifterna.
De personer som finns registrerade hos ditt företag har rätt att begära att få ut vilka uppgifter som finns registrerade och få dem rättade. I vissa fall har de även rätt att få uppgifterna raderade. När du registrerar någon i ditt företags kundregister efter den 25 maj 2018 ska du också lämna viss information till den registrerade bl.a. om den rättsliga grunden för behandling t.ex. en intresseavvägning.