Behandlingsgrunnlag og formålsvurdering

For å kunne behandle personopplysninger må du ha rett til å gjøre det – det må foreligge et rettslig grunnlag. All behandling av personopplysninger uten rettslig grunnlag er ulovlig behandling.

Behandlingsgrunnlag

I personvernsammenheng tilsvarer rettslig grunnlag det som i personvernforordningen kalles behandlingsgrunnlag/behandlingens lovlighet. Kravet til behandlingsgrunnlag følger av bestemmelsen i personvernforordningen artikkel 6 (lovdata.no).

All  behandling av personopplysninger må ha en primær hjemmel i denne bestemmelsen. Dersom det skal behandles særlige kategorier av personopplysninger (sensitive personopplysninger), stilles det ytterligere krav til både behandlingen og det rettslige grunnlaget.

Personvernforordningen artikkel 6

For behandling av hver enkelt personopplysning til hvert enkelt formål, må det finnes et behandlingsgrunnlag. Minst ett av vilkårene i personvernforordningen artikkel 6 nr. 1 må være oppfylt for å kunne starte en behandling:

  1. Samtykke
  2. Nødvendig for å oppfylle en avtale
  3. Nødvendig for å oppfylle en rettslig plikt
  4. Nødvendig for å beskytte vitale interesser
  5. Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
  6. Nødvendig for å ivareta legitime interesser (interesseavveiing)

Ettersom listen i art. 6 er uttømmende, er det ikke lenger nok at det er fastsatt i lov at det er adgang til en behandling – dette blir i så fall et supplerende rettslig grunnlag til enten art. 6 nr. 1 bokstav c eller e.

a) Samtykke

For at et samtykke skal være gyldig og kunne fungere som behandlingsgrunnlag, må det være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Dersom UiO ønsker å bruke opplysningen til et nytt/annet formål, må nytt samtykke innhentes fra personene opplysningene gjelder.

Frivillig

For å sørge for at samtykket avgis frivillig, må det gis reelle valgmuligheter. Det vil si at det ikke kan medføre negative konsekvenser for den enkelte dersom han eller hun ikke ønsker å avgi samtykke. I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom institusjonen og den enkelte. For eksempel vil normalt ikke UiO som arbeidsgiver kunne bruke samtykke som behandlingsgrunnlag overfor ansatte, siden den enkelte er i et avhengighetsforhold til institusjonen.

Spesifikt

Det må være helt klart hva den enkelte samtykker til – formålet med behandlingen må være klart og presist formulert. Personopplysningene som behandles på grunnlag av et samtykke kan kun brukes til formålet som ble oppgitt ved innhenting av samtykke. Dette innebærer også at man må be om samtykke til hvert enkelt formål separat.

Informert

Et samtykke er bare gyldig dersom man vet hva man samtykker til. Språket i en samtykkeerklæring må være klart, enkelt og forståelig, og informasjonen om hva den enkelte samtykker til må komme klart frem i teksten.

Den som personopplysningene kan knyttes til skal informeres om følgende:

  1. Navn og adresse på behandlingsansvarlig
  2. Formålet for hver av behandlingene det bes om samtykke til
  3. Hva slags personopplysninger som vil samles inn
  4. Om opplysningene vil bli utlevert til andre og hvem som eventuelt er mottakere
  5. Om det er frivillig å gi fra seg opplysningene
  6. Informasjon om retten til å trekke tilbake et samtykke
  7. Annet som gjør den som skal samtykke i stand til å bruke sine rettigheter etter personvernlovgivningen på best mulig måte
Utvetydig gjennom aktiv handling

For at samtykket skal være gyldig, må den enkelte foreta en handling, for eksempel ved å klikke på en knapp, hake av i en boks eller skrive under på et skjema. Passivitet, stillhet eller på forhånd avhakede bokser vil aldri utgjøre et gyldig samtykke. Det skal ikke foreligge tvil om den enkelte gjennom en handling har ment å samtykke eller gjøre noe annet.

Dokumenterbart

Det er ingen formkrav til selve samtykket – det kan gis skriftlig, muntlig, gjennom bevegelser eller på andre måter. Det eneste kravet er at samtykket må kunne dokumenteres for å sikre etterprøvbarhet. I denne dokumentasjonsplikten ligger også at man må kunne dokumentere at samtykket var gyldig.

Mulig å trekke tilbake like lett som det ble gitt

Den enkelte må bli informert om retten til å kunne trekke tilbake samtykke, og samtykket må kunne trekkes tilbake uten negative konsekvenser. Det kan ikke være vanskeligere å trekke tilbake samtykke enn det var å gi det. Ved tilbaketrekning av samtykke skal normalt de aktuelle personopplysningene slettes.

b) Nødvendig for å oppfylle en avtale

Man kan behandle personopplysninger dersom det er nødvendig for å oppfylle en avtale som den det gjelder er part i. Et eksempel på dette er der en arbeidsgiver trenger opplysninger om arbeidstakeres bankforbindelse for å kunne utbetale lønn i henhold til arbeidsavtalen. Det samme gjelder dersom behandlingen er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelse.

c) Nødvendig for å oppfylle en rettslig plikt

UiO kan behandle personopplysninger dersom det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler institusjonen. Den rettslige forpliktelsen må ha hjemmel i lov eller forskrift, og behandlingsgrunnlaget må fastsettes i en lov som UiO er underlagt. Det må også være klart at det er tale om en plikt, og at det derfor ikke foreligger valgfrihet når det gjelder behandlingen av personopplysninger.

d) Nødvendig for å beskytte vitale interesser

UiO kan behandle personopplysninger dersom det er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser. Dette behandlingsgrunnlaget er svært snevert, og det må være snakk om behandling av personopplysninger i forbindelse med liv og død eller fare for helsa.

e) Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet

UiO kan behandle personopplysninger dersom det er nødvendig for å utøve en oppgave i offentlig interesse. Det samme gjelder dersom behandlingen er nødvendig for å utøve offentlig myndighet som UiO er pålagt. For å behandle personopplysninger etter dette behandlingsgrunnlaget, må behandlingen også ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som UiO er underlagt. Til forskjell for behandlingsgrunnlaget «nødvendig for å oppfylle en rettslig plikt», kreves det ikke her at UiO er pålagt en plikt.

f) Nødvendig for å ivareta legitime interesser (interesseavveiing)

UiO kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen som søkes ivaretatt må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten.

Den aktuelle behandlingen av personopplysninger må være nødvendig for denne interessen. I dette ligger at en må vurdere om formålet kan oppnås på en måte som bedre ivaretar personvernet – man må velge den behandlingen som er minst inngripende.

Deretter må det foretas en interesseavveiing for å avgjøre om den enkeltes personvern veier tyngre enn UiOs berettigede interesse. Denne avveiingen gjøres trinnvis:

  1. Virksomhetens interesse
  2. Hensynet til personvernet
  3. Tiltak for å minimere personvernkonsekvensene
  4. Balansetest

Formålsvurdering

Når en ny behandling av personopplysninger skal starte opp må det, foruten å foretas en vurdering av det rettslige grunnlaget, også angis formålet med behandlingen. Dette følger av personvernforordningen artikkel 5 nr. 1 bokstav b, som sier at personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål».

Å angi formålet for en behandling er ofte en enkel øvelse, da formålet med behandlingen ofte er selve begrunnelsen for behandlingen som skal foretas. For forskningsprosjekter vil det som oftest være prosjektbeskrivelsen som er formålet, f.eks.: «Formålet med behandlingen av personopplysninger er å undersøke om x er y i forhold til z». Hva gjelder administrativ behandling av personopplysninger er prinsippet det samme – en samler inn personopplysninger for formål som eksempelvis studieadministrasjon, personaladministrasjon eller sikkerhetsformål.

Det er viktig å merke seg at personopplysninger som er samlet inn til ett konkret formål, ikke senere kan brukes til et annet formål som er uforenlig med det opprinnelige formålet med behandlingen. Det vil da måtte gjøres en ny vurdering av hvorvidt det finnes et behandlingsgrunnlag for det nye formålet.  

Behandling av særlige kategorier av personopplysninger

Å behandle særlige kategorier av personopplysninger (sensitive personopplysninger), er i utgangspunktet forbudt, jf. personvernforordningen artikkel 9 nr. 1.

Særlige kategorier av personopplysninger er opplysninger om:

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religion
  • filosofisk overbevisning
  • fagforeningsmedlemskap
  • genetiske opplysninger
  • biometriske opplysninger med det formål å entydig identifisere noen
  • helseopplysninger
  • opplysninger om seksuelle forhold
  • opplysninger om seksuell legning

Forbudet mot å behandle slike opplysninger er imidlertid ikke absolutt, og det finnes mange unntak. Det må foreligge et særskilt grunnlag i tillegg til det primære behandlingsgrunnlaget for å behandle opplysninger av denne typen.

I personvernforordningen artikkel 9 nr. 2 og 3 er unntakshjemlene, som gjør det lovlig å behandle slike opplysninger, uttømmende listet opp:

  1. Den registrerte har gitt uttrykkelig samtykke
  2. Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle og utøve sine arbeidsrettslige, trygderettslige og sosialrettslige plikter og rettigheter i den grad behandlingen er tillatt etter lov eller tariffavtale
  3. Behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser hvis den registrerte ikke er i stand til å gi samtykke
  4. Behandlingen utføres av en stiftelse, sammenslutning eller ideelt organ som har mål av politisk, religiøs eller fagforeningsmessig art, så lenge det er snakk om personopplysninger om medlemmer og liknende, og opplysningene ikke utleveres uten samtykke
  5. Behandlingen gjelder opplysninger som den registrerte selv åpenbart har offentliggjort
  6. Behandlingen er nødvendig i forbindelse med rettskrav eller domstolene handler innenfor rammen av sin domsmyndighet
  7. Behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov
  8. Behandlingen er nødvendig i forbindelse med forebyggende medisin, medisin i arbeidslivet, vurdering av en arbeidstakers arbeidskapasitet, medisinsk diagnostikk, ytelse av helse- eller sosialtjenester, sosialfaglig eller medisinsk behandling eller forvaltning av helse- eller sosialtjenester og –systemer. Dette gjelder imidlertid bare dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell
  9. Behandlingen er nødvendig for allmenne folkehelsehensyn
  10. Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, så lenge det foreligger visse tiltak og behandlingen har hjemmel i lov.

Publisert 20. apr. 2016 10:27 - Sist endret 22. nov. 2018 09:14