Innhenting og behandling av personopplysninger

Et grunnleggende prinsipp er at bedrifter ikke skal samle inn eller lagre flere opplysninger om kundene sine enn det er behov for. Hvilke opplysninger som er aktuelle å samle inn og lagre, kan variere, men formålet skal kunne beskrives presist. Opplysningene som er samlet inn, skal behandles etisk forsvarlig, i henhold til lovverk, og skal heller ikke gjenbrukes til andre formål.

Et aktuelt formål kan være å registrere besøkende hos en bedrift. Å registrere besøkende kan være aktuelt dersom bedriften av sikkerhetsgrunner behøver å ha oversikt over hvem som befinner seg på området. Kontaktopplysninger kan lagres dersom det av sikkerhetsmessige grunner er behov for det. Ofte er det tilstrekkelig å registrere navnet på den besøkende og hvilken ansatt vedkommende skal besøke.

Under covid-19-pandemien er det av smittesporingsgrunner blitt satt i verk registrering av besøkende på steder som kafeer, utesteder og restauranter. Dette er da en sikkerhetsmessig grunn til å samle inn kontaktopplysninger – i tilfelle det skulle vise seg at besøkende i ett gitt tidsrom må kontaktes om testing og eventuell karantene.

Personvernlovgivningen gir ikke adgang til å bruke de innsamlede opplysningene til andre formål enn dem de er samlet inn for. Personopplysningene som er samlet inn i forbindelse med smittesporingsarbeid, kan derfor ikke brukes i andre sammenhenger.

Registrering av deltakere ved et arrangement

Det kan være behov for å registrere deltakere ved et arrangement. Det kan være at arrangøren skal ha kontroll på hvor mange som befinner seg på arrangementet. Det kan også være at kun inviterte eller betalende gjester skal ha adgang. I slike tilfeller må det vurderes om kontaktopplysninger er å anse som nødvendig, eller om det er tilstrekkelig å registrere navn eller å vise fram ID eller adgangskort.

Markedsføringsformål

Hvis kontaktopplysninger lagres til markedsføringsformål, skal det uttrykkelig informeres om og godkjennes av kunden. Dette gjøres ved at registrerte personer aktivt godkjenner at opplysningene benyttes for å sende oppdateringer eller nyhetsbrev, eller at de frivillig melder seg inn i en kundeklubb.

Ansvarlighet

Noen bedrifter har systemer for loggføring og sporing av ansatte. Bedrifter som krever adgangskort for å slippe inn folk på arbeidsplassen, eller som har ulik sikkerhetsklarering for ulike soner, kan se hvilke ansatte som befinner seg på området. Opplysninger av denne typen må behandles ansvarlig. Når det for eksempel er satt inn et sikkerhetsklareringssystem for å sikre at kun de med tilgang får slippe inn, skal ikke systemet benyttes til å sjekke hvem som er på jobb.

Datatilsynet har laget en oversikt over personvernprinsippene, som du finner lenke til nederst på denne siden. I prinsippet om ansvarlighet heter det seg at bedrifter skal dokumentere og jobbe aktivt for å sikre at regelverket opprettholdes.

Lagring

På samme måte som vi ikke skal samle inn flere opplysninger enn strengt nødvendig, skal heller ikke opplysningene lagres lenger enn det som er formålstjenlig. De skal med andre ord slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble samlet inn for.