Logo og hjelpeverktøy

Hovedmeny

Fastsette formål

Før ei verksemd kan sette i gang med å behandle personopplysningar, må det definerast eit eller fleire klart formulerte formål.

Fastsette formål
Fastsette formål

Ei verksemd kan aldri samle eller lagre personopplysningar utan eit formål. Personopplysningar skal berre nyttast for spesifikke, uttrykkelege, angitte og legitime formål.

Det at opplysningane kan vise seg å komme til nytte ein dag, er ikkje eit godt nok formål. Verksemda må ha eit reelt formål med opplysningane, og det må vere klart uttrykt og bestemt på førehand. Dette inneber at dersom verksemda ønskjer å bruke personopplysningar, må ho starte med å formulere formålet skriftleg først.

Les meir om formål og formålsbegrensning

Når ein skal formulere formålet, er det viktig å vere konkret og open. Vide eller vage formuleringar er ikkje tillatne. Verksemda har plikt til å gje den einskilde informasjon om formålet med behandlinga av personopplysningar på ein forståeleg måte.

Døme

  1. Ei foreining skriv at ho bruker personopplysningane til medlemane for administrasjon.
    Dette er for vagt. Foreininga kan til dømes i staden seie at formålet med personopplysningane er å fakturere medlemsavgifta, invitere medlemane til foreiningsmøte og dokumentere at verksemda ikkje juksar med medlemstala.

  2. Ein nettstad oppgjev at personopplysningane til brukarane kan brukast for å tilby relevant kommunikasjon og ei god brukaroppleving.
    Dette er ikkje i tråd med lova fordi det ikkje er klart nok kva nettstaden vil nytte personopplysningane til. I staden kan man til dømes seie at nettstaden analyserer kva brukaren klikkar på for å gje tilpassa marknadsføring og avdekkje kva for funksjonar som er mest brukte, dersom det er tilfellet.  

Ein bør unngå å seie at opplysningar «kan» brukast til eit eller fleire formål. I staden bør verksemda seie når opplysningane faktisk vil bli brukte til dei oppgjevne formåla.

Formålet må sjølvsagt halde seg innanfor kva som er lovleg. Det inneber mellom anna at handsaminga må ha eit rettsleg grunnlag

Bordet fangar

Det definerte formålet avgjer kva verksemda kan bruke opplysningane til seinare. Lova forbyr å bruke personopplysningar på måtar som ikkje er i samsvar med det opphavlege formålet.

Spørsmålet er derfor kva som er «i samsvar» med det opphavlege formålet. Her skal verksemda leggje vekt på

  • alle samband mellom formålet opplysningane vart samla inn for, og formålet for den tiltenkte behandlinga
  • i kva for samanheng opplysningane vart samla inn og forholdet mellom verksemda og den einskilde
  • arten av personopplysningane og kor sensitive dei er
  • dei moglege konsekvensane for den einskilde ved den vidare behandlinga av opplysningane
  • om det ligg føre tiltak for personvernet

Verksemda må òg sjå på kva rimelige forventingar den einskilde har om korleis opplysningane deira vil bli behandla. 

Forbodet mot behandling som ikkje er i samsvar med det opphavlege formålet, gjeld ikkje behandling av personopplysningar for

  • arkivformål i offentleg interesse
  • vitskapelege og historiske forskingsformål
  • statistikkformål

Det må ligge føre passande personverngarantiar for desse typane behandling, i tråd med personvernforordninga artikkel 89.

Formålet avgjer lagringstida

Personopplysningalova seier at personopplysningar ikkje kan lagrast lenger enn det som er naudsynt for formålet. I praksis betyr dette at verksemda må fastsetje sletterutinar som sikrar at opplysningane blir sletta når det ikkje lenger er naudsynleg å ta vare på dei.

Virksomhetenes plikter