Vilkår for å behandle personopplysninger

For å kunne bruke personopplysninger må du ha rett til å gjøre det – det må foreligge et rettslig grunnlag.

Behandlingsgrunnlag

I personvernsammenheng tilsvarer rettslig grunnlag det som i personopplysningsloven kalles behandlingsgrunnlag - vilkår for å behandle personopplysninger. Kravet til behandlingsgrunnlag følger av bestemmelsene i personopplysningsloven §§ 8 og 9 (lovdata.no).

For å kunne starte en behandling må først ett av disse kravene være oppfylt: 1) klar hjemmel i lov, 2) samtykke eller 3) nødvendige grunner må foreligge. Videre må behandlingen meldes. Dersom det skal behandles sensitive opplysninger stilles det ytterligere krav til både behandlingen og det rettslige grunnlaget.

Klar hjemmel i lov

Lovhjemmel kan bare være rettslig grunnlag dersom det i lov, eller i forskrift som er i gitt i medhold av en lov, klart sies at personopplysninger kan samles inn og behandles.

Det er ikke tilstrekkelig at det i en lov eller forskrift er bestemmelser som forutsetter innsamling med videre av personopplysninger.

Samtykke

Samtykket skal være en «frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv», jf. pol. § 2 nr. 7.

Samtykket vil bare omfatte den behandlingen det er innhentet for og informert om, dvs. «uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet», jf. kravet i pol. § 11, første ledd, bokstav b.

Dersom UiO ønsker å bruke opplysningen til et nytt/annet formål, må nytt samtykke innhentes fra personene opplysningene gjelder.

Uttrykkelig

I utgangspunktet foreligger det ingen formkrav for hvordan samtykke skal gis. Imidlertid må UiO både kunne dokumentere at den enkelte har fått riktig informasjon og sikre at denne kan trekke samtykket sitt tilbake (inkludert slette den enkeltes data). Dette kravet medfører naturlig at alle samtykker må dokumenteres på en oversiktlig måte.

Informert

Den som personopplysningene kan knyttes til skal informeres om følgende:

  1. Navn og adresse på behandlingsansvarlig
  2. Formålet med behandlingen

  3. Om opplysningene vil bli utlevert til andre og hvem som eventuelt er mottakere

  4. Om det er frivillig å gi fra seg opplysningene

  5. At samtykket kan trekkes tilbake

  6. Annet som gjør den som skal samtykke i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig mate.

Frivillig

For å sørge for at samtykket avgis frivillig, må det gis reelle valgmuligheter. Det vil si at det ikke kan medføre negative konsekvens for den enkelte dersom han/hun ikke ønsker å avgi samtykke. Dersom et samtykke ikke kan gis frivillig må behandlingsgrunnlaget være hjemmel i lov.

Nødvendige grunner

I bestemmelsene i personopplysningsloven §§ 8 og 9 angis ”nødvendige grunner” som selvstendig behandlingsgrunnlag. Det er imidlertid kun de nødvendige grunner som er angitt i disse to bestemmelsene som kan være rettslige grunner. Her er det også viktig å huske at dette ikke er bestemmelser som kan ”tøyes”, men må tolkes restriktivt.

Meldeplikt

Før man starter en behandling av personopplysninger skal man også, i henhold til bestemmelsen i lovens § 31, melde behandlingen til personvernombudet.

Formålsvurdering

Når en ny behandling av personopplysninger skal starte opp må det, foruten å foreta en vurdering av det rettslige grunnlaget, også angis formålet med behandlingen. Dette følger av bestemmelsen i personopplysningsloven § 11 som sier at formålet må være uttrykkelig angitt og saklig begrunnet i virksomheten. Dette betyr at formålet med behandlingen må være klart beskrevet og være en del av UiOs virksomhet.

Dette er ofte en enkel øvelse fordi formålet med behandlingen jo er selve begrunnelsen for den behandlingen som skal gjøres. For forskningsprosjekter vil det oftest være prosjektbeskrivelsen som er formålet, eksempelvis: "Formålet med behandlingen er å undersøke om x i forhold til Y". Når det gjelder en administrativ behandling gjelder det samme - vi samler inn personopplysninger for formål slik som eksempelvis studieadministrasjon, personaladministrasjon eller sikkerhetsformål.

Det som er viktig å merke seg er at personopplysninger som er samlet inn til ett konkret formal ikke senere kan brukes til et annet formål som er uforenlig med det opprinnelige formålet med innsamlingen uten at det gjøres en ny vurdering av om det er et rettslig grunnlag for det nye formålet.

Behandlinger av sensitive personopplysninger

For å kunne behandle sensitive personopplysninger må vilkåret i bestemmelsene personopplysningsloven i § 8 og § 9 (lovdata.no) være oppfylt. I tillegg krever lovgiver i bestemmelsen i lovens § 33 at man som hovedregel, når man behandler sensitive personopplysninger, også har fått konsesjon for behandlingen fra Datatilsynet.

Publisert 20. apr. 2016 10:27 - Sist endret 8. feb. 2017 14:36