Användning av personuppgifter är nödvändig för att fullgöra ett avtal, och/eller för att fullgöra en offentlig uppgift när de används på ett proportionerligt, effektivt och så integritetsvänligt sätt som praktiskt möjligt. Lästid: 1,5 minuter.
Proportionalitetsbedömning
För att kunna avgöra om en förädlingsverksamhet är nödvändig för att dess syfte skall kunna uppfyllas, måste en bedömning av proportionaliteten göras. Detta innebär att din behandling inte behöver vara det enda sättet att uppnå ditt syfte. Samtidigt betyder det inte att innebörden av termen “nödvändig” är samma som “det mest effektiva sättet”. Istället måste du falla någonstans i mitten.
Som ett exempel, låt oss titta på hur man bedömer om behandling av personuppgifter är nödvändig för att fullgöra ett avtal. I detta fall behöver inte behandlingen vara absolut nödvändig för att kontraktet ska kunna fullgöras. Behandlingen bör i stället utgöra ett proportionerligt och effektivt sätt att uppfylla en avtalsmässig förpliktelse.
Om du upptäcker att du skulle kunna uppnå de avsedda ändamålen med mindre påträngande användning av personuppgifter, bör du överväga det alternativet. GDPR kräver dock inte alltid att du använder det minst inkräktande sättet att bearbeta om alternativet medför orimlig mängd arbete eller investeringar.
Separata ändamål; separat laglig grund
Kom ihåg att alltid hålla GDPR-principerna i åtanke. Om en individ gör ett köp från din webbutik, måste du bearbeta sin adress för att leverera produkter. Denna behandling är nödvändig för att fullgöra avtalet. Men om du senare använder den adressen för att skicka riktad reklam har du gått utöver det ursprungliga syftet. Den ytterligare behandlingen, reklam till en kund, är inte nödvändig för det ursprungliga kontraktet. Därför kommer du inte att kunna använda den lagenliga grunden ‘fullgörande av ett avtal’ för din annonseringsverksamhet.
Ovanstående betyder inte att du inte får skicka riktad reklam till kundens adress. Det betyder helt enkelt att en annan laglig grund kommer att vara tillämplig, vars användning du måste motivera.
Sammanfattningsvis
Det menande av benämna “nödvändigt” enligt GDPREN är inte lika det effektivaste långt av att uppnå en ämna. Det betyder inte heller det enda möjliga sättet att uppfylla dina skyldigheter. Nödvändiga medel personuppgifter används på ett proportionerligt, effektivt och så integritet vänligt sätt som praktiskt möjligt.