Fagartikkel: Behandlingsgrunnlag for personopplysninger
Retten til å bestemme over egne personopplysninger er et uttrykk mange har hørt om. Et vesentlig element i personvernet er at den enkelte skal ha kontroll over, og i størst mulig grad kunne bestemme over, egne personopplysninger, herunder ha rett til å få vite hvilke opplysninger andre kjenner til om en selv og hva de brukes til, skriver advokat og personvernombud Helene Dorans.
Av Helene Dorans, advokat i Juristforbundet / personvernombud
Retten til privatliv følger blant annet av den europeiske menneskerettskonvensjon (EMK) artikkel 8 og står sentralt i EUs personvernforordning.
Personvernforordningen fastslår at enhver behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Dette innebærer at virksomheten eller den som er behandlingsansvarlige, må vurdere om det finnes et grunnlag før opplysningene innhentes og behandles. Hvis ikke det foreligger et behandlingsgrunnlag vil heller ikke behandlingen av personopplysninger være lovlig.
Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her
En gjennomgang av grunnlagene
De ulike behandlingsgrunnlagene fremgår av personvernforordningen artikkel 6. Finnes det flere aktuelle behandlingsgrunnlag, må virksomheten bestemme seg for hvilket grunnlag som gjelder for den aktuelle behandlingen. I tillegg må virksomheten opplyse om hvilket behandlingsgrunnlag som gjelder for den aktuelle behandlingen. Dette finner man som regel informasjon om i virksomhetens personvernerklæring, eller i behandlingsprotokollen.
Behandler virksomheten personopplysninger som defineres som særlig kategori, f.eks. helseopplysninger eller medlemskap i fagforening, må tilleggsvilkårene i artikkel 9 være oppfylt for at behandling kan skje.
En av de vanligste behandlingsgrunnlagene er samtykke, jf. artikkel 6, nr. 1 bokstav a. Et samtykke innebærer at den registrerte godkjenner at virksomheten kan behandle personopplysninger. Forordningen fastsetter strenge krav til innholdet i et samtykke, jf. artikkel 7. For at et samtykke skal være gyldig som behandlingsgrunnlag må det for det første være gitt frivillig. Videre oppstilles det krav til at samtykket er spesifikt og informert, og at den registrerte kan trekke tilbake samtykket når som helst. Et samtykke til å behandle personopplysninger etter personvernforordningen er ikke det samme som et samtykke til markedsføring etter markedsføringsloven § 15. I så tilfelle må det innhentes nytt, spesifikt samtykke som tilfredsstiller kravene etter markedsføringsloven.
En virksomhet kan også behandle personopplysninger dersom det er nødvendig for å oppfylle en avtale som den det gjelder er part i, jf. artikkel 6 nr. 1 bokstav b. Som eksempel vil Juristforbundet ha grunnlag for å behandle nødvendige personopplysninger om medlemmene for å oppfylle medlemsavtalen, slik som navn, adresse, postnummer, arbeidssted og lignende. Personopplysninger som ikke er nødvendig for å oppfylle medlemsavtalen kan ikke innhentes, med mindre det finnes et annet, lovlig behandlingsgrunnlag for dette.
Et annet behandlingsgrunnlag for virksomheter til å behandle personopplysninger vil være dersom det er nødvendig for å oppfylle en rettslig forpliktelse, jf. bokstav c. Den rettslige forpliktelsen må ha hjemmel i lov eller forskrift. Dette innebærer at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt. Hvorvidt tariffavtaler omfattes av bokstav c er i norsk rett foreløpig uavklart. Vi mener det er gode grunner taler for at også slike avtaler må anses som et behandlingsgrunnlag for personopplysninger, slik det praktiseres i våre naboland Sverige og Danmark.
Behandling av personopplysninger kan også skje etter bokstav d, dersom det er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser. Dette behandlingsgrunnlaget anses å ha et snevert virkeområde, hvor behandlingen i all hovedsak skjer i forbindelse med liv og død, eller fare for helse. Videre, etter bokstav e, kan behandling av personopplysninger skje der det anses nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Et mer anvendt behandlingsgrunnlag finnes i forordningen artikkel 6 nr. 1 bokstav f. En virksomhet kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse. Virksomhetens berettigede interesse må være lovlig, klart definert på forhånd, reell og saklig. Videre må den aktuelle behandlingen av personopplysninger være nødvendig for å ivareta denne interessen.
Virksomheten må foreta en interessevurdering hvor virksomhetens behov for å behandle personopplysningene må vurderes opp imot den enkeltes personvern. Dersom formålet kan oppnås på en annen måte som bedre ivaretar personvernet, plikter virksomheten å velge den behandlingen som er minst inngripende for den registrerte.
Overtredelsesebyr ved mangelfullt grunnlag
Datatilsynet kan ilegge den behandlingsansvarlige et overtredelsesgebyr på opptil 20 000 000 euro, jf. artikkel 83 nr. 5 jf. nr. 2 eller, dersom det dreier seg om et foretak, opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, dersom en virksomhet behandler personopplysninger uten lovlig behandlingsgrunnlag. For å ivareta den enkeltes personvern er det avgjørende at den enkelte virksomhet begrenser innsamlingen av personopplysninger til de tilfeller der virksomheten har et lovlig grunnlag for det.
Felles for alle behandlingsgrunnlag er at virksomheten aktivt må ta stilling til, og foreta en konkret vurdering av, de ulike behandlingsgrunnlagene før personopplysninger skal behandles. Særlig viktig er det å kunne vise til hvilke vurderinger som er gjort. Behandlingsansvarlig må samtidig sørge for å etterleve de generelle prinsippene for behandling av personopplysninger etter artikkel 5 nr. 1. Ved mistanke om brudd på forordningen kan virksomhetens personvernombud eller -ansvarlig kontaktes. Det er også mulig å kontakte Datatilsynet for videre veiledning.