Fagartikkel: Behandlingsgrunnlag for personopplysninger
Retten til å bestemme over egne personopplysninger er et uttrykk mange har hørt om. Et vesentlig element i personvernet er at den enkelte skal ha kontroll over, og i størst mulig grad kunne bestemme over, egne personopplysninger, herunder ha rett til å få vite hvilke opplysninger andre kjenner til om en selv og hva de brukes til, skriver advokat og personvernombud Helene Dorans.
Av Helene Dorans, advokat i Juristforbundet / personvernombud
Retten til privatliv følger blant annet av den europeiske menneskerettskonvensjon (EMK) artikkel 8 og står sentralt i EUs personvernforordning.
Personvernforordningen fastslår at enhver behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Dette innebærer at virksomheten eller den som er behandlingsansvarlige, må vurdere om det finnes et grunnlag før opplysningene innhentes og behandles. Hvis ikke det foreligger et behandlingsgrunnlag vil heller ikke behandlingen av personopplysninger være lovlig.
Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her
En gjennomgang av grunnlagene
De ulike behandlingsgrunnlagene fremgår av personvernforordningen artikkel 6. Finnes det flere aktuelle behandlingsgrunnlag, må virksomheten bestemme seg for hvilket grunnlag som gjelder for den aktuelle behandlingen. I tillegg må virksomheten opplyse om hvilket behandlingsgrunnlag som gjelder for den aktuelle behandlingen. Dette finner man som regel informasjon om i virksomhetens personvernerklæring, eller i behandlingsprotokollen.
Behandler virksomheten personopplysninger som defineres som særlig kategori, f.eks. helseopplysninger eller medlemskap i fagforening, må tilleggsvilkårene i artikkel 9 være oppfylt for at behandling kan skje.
En av de vanligste behandlingsgrunnlagene er samtykke, jf. artikkel 6, nr. 1 bokstav a. Et samtykke innebærer at den registrerte godkjenner at virksomheten kan behandle personopplysninger. Forordningen fastsetter strenge krav til innholdet i et samtykke, jf. artikkel 7. For at et samtykke skal være gyldig som behandlingsgrunnlag må det for det første være gitt frivillig. Videre oppstilles det krav til at samtykket er spesifikt og informert, og at den registrerte kan trekke tilbake samtykket når som helst. Et samtykke til å behandle personopplysninger etter personvernforordningen er ikke det samme som et samtykke til markedsføring etter markedsføringsloven § 15. I så tilfelle må det innhentes nytt, spesifikt samtykke som tilfredsstiller kravene etter markedsføringsloven.
En virksomhet kan også behandle personopplysninger dersom det er nødvendig for å oppfylle en avtale som den det gjelder er part i, jf. artikkel 6 nr. 1 bokstav b. Som eksempel vil Juristforbundet ha grunnlag for å behandle nødvendige personopplysninger om medlemmene for å oppfylle medlemsavtalen, slik som navn, adresse, postnummer, arbeidssted og lignende. Personopplysninger som ikke er nødvendig for å oppfylle medlemsavtalen kan ikke innhentes, med mindre det finnes et annet, lovlig behandlingsgrunnlag for dette.
Et annet behandlingsgrunnlag for virksomheter til å behandle personopplysninger vil være dersom det er nødvendig for å oppfylle en rettslig forpliktelse, jf. bokstav c. Den rettslige forpliktelsen må ha hjemmel i lov eller forskrift. Dette innebærer at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt. Hvorvidt tariffavtaler omfattes av bokstav c er i norsk rett foreløpig uavklart. Vi mener det er gode grunner taler for at også slike avtaler må anses som et behandlingsgrunnlag for personopplysninger, slik det praktiseres i våre naboland Sverige og Danmark.
Behandling av personopplysninger kan også skje etter bokstav d, dersom det er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser. Dette behandlingsgrunnlaget anses å ha et snevert virkeområde, hvor behandlingen i all hovedsak skjer i forbindelse med liv og død, eller fare for helse. Videre, etter bokstav e, kan behandling av personopplysninger skje der det anses nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Et mer anvendt behandlingsgrunnlag finnes i forordningen artikkel 6 nr. 1 bokstav f. En virksomhet kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse. Virksomhetens berettigede interesse må være lovlig, klart definert på forhånd, reell og saklig. Videre må den aktuelle behandlingen av personopplysninger være nødvendig for å ivareta denne interessen.
Virksomheten må foreta en interessevurdering hvor virksomhetens behov for å behandle personopplysningene må vurderes opp imot den enkeltes personvern. Dersom formålet kan oppnås på en annen måte som bedre ivaretar personvernet, plikter virksomheten å velge den behandlingen som er minst inngripende for den registrerte.
Overtredelsesebyr ved mangelfullt grunnlag
Datatilsynet kan ilegge den behandlingsansvarlige et overtredelsesgebyr på opptil 20 000 000 euro, jf. artikkel 83 nr. 5 jf. nr. 2 eller, dersom det dreier seg om et foretak, opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, dersom en virksomhet behandler personopplysninger uten lovlig behandlingsgrunnlag. For å ivareta den enkeltes personvern er det avgjørende at den enkelte virksomhet begrenser innsamlingen av personopplysninger til de tilfeller der virksomheten har et lovlig grunnlag for det.
Felles for alle behandlingsgrunnlag er at virksomheten aktivt må ta stilling til, og foreta en konkret vurdering av, de ulike behandlingsgrunnlagene før personopplysninger skal behandles. Særlig viktig er det å kunne vise til hvilke vurderinger som er gjort. Behandlingsansvarlig må samtidig sørge for å etterleve de generelle prinsippene for behandling av personopplysninger etter artikkel 5 nr. 1. Ved mistanke om brudd på forordningen kan virksomhetens personvernombud eller -ansvarlig kontaktes. Det er også mulig å kontakte Datatilsynet for videre veiledning.
Ledige stillinger:
Jurister og Twitter-rivaler med satire som «våpen»
Kan en tingrettsdommer og en politiadvokat bruke Twitter som ytringsfrihetsarena? Svaret er et rungende JA fra Kim Heger og Hans Vang. Men med klare forbehold. Satirisk humor med samfunnskritisk brodd er ok. Tvitring fra saker de jobber med som jurister - det er fy.
Avdekket åtte års ventetid på svar om familieinnvandring
Sivilombudet har bedt Justis- og beredskapsdepartementet holde ombudet løpende orientert om hva departementet foretar seg for å sikre en mer effektiv behandling av søknader i familieinnvandringssaker.
Sommerpraten: Professor Christina Voigt
Jusprofessor Christina Voigt prøver å få unna administrative oppgaver så hun kan jobbe med skriving - i ferien.
Noen betraktninger rundt begrepet grunnleggende og en statsmakt som slår seg selv på munnen
Lovgivende og utøvende statsmakt slår seg selv på munnen når de forvrenger meningsinnholdet av begrepet grunnleggende som sentral byggestein i vår rettspleie. De devaluerer Grunnloven ved å gjøre Lov til ulov og ulov til lov, skriver professor Jarle Aarstad.
Ubetinget fengselsstraff gjør at færre unge begår ny kriminalitet
Bruk av ubetinget fengselsstraff overfor lovbrytere i alderen 18-24 år reduserer sannsynligheten for tilbakefall med hele 30 prosent over en femårsperiode etter avsagt dom. Dette oppsiktsvekkende funnet er ett av flere som fremkommer i en ny analyse av barne- og ungdomskriminalitet, utført på oppdrag for Justisdepartementet.
- Respekt for andre fagfelt er viktig
Tore Killingland kritiserer NIM for å følge opp en plenumsdom fra Høyesterett om tolkningen av en bestemmelse i Grunnlovens menneskerettighetskapittel. Kritikken er formulert som «ydmyke 10 bud fra en ikke-jurist». NIM imøteser selvsagt faglig uenighet og kritikk. Men kritikken fra Killingland er etter vårt syn lite treffende, skriver Jenny Sandvig og Hannah Brænden.
Gir næringslivet hjelp til å gjenkjenne korrupsjon
Økokrim lanserer en liste over indikatorer på korrupsjon som skal hjelpe andre aktører å gjenkjenne slike lovbrudd. Hensikten er å gjøre virksomheter bedre i stand til å forebygge og avdekke denne kriminalitetsformen som ofte er kompleks og krevende å oppdage.
Tiltalt kastet lommebok i ansiktet på tingrettsdommer
Hendelsen skjedde i forbindelse med at tiltalte skulle vise ID til dommeren.
– Fått et tydelig inntrykk av at politiet i Oslo ikke ønsker en kvitteringsordning
Juristforbundets inkluderingsutvalg ber Oslos politimester om avklaringer for å fortsette i arbeidsgruppe som ser på tiltak for å forebygge at politikontroller kan oppleves som diskriminerende.
Starter opp med master i akutt rettsmedisin: – I rettsmedisin møtes jussen og medisinen
– Det handler om å kunne gjøre en sporsikring og skadedokumentasjon av god kvalitet slik at den kan benyttes av politiet og rettsvesen, sier professor Kjersti Alsaker ved Høgskulen på Vestlandet.
Statsforvalterstrukturen er til utredning: Skal statsforvalterstrukturen følge fylkesstrukturen?
Spørsmålet påvirker rundt 250 jurister og mange kjenner på usikkerhet.
Jurister på glattisen i andre fagområder - Grunnlovens § 112 og klimakrav
Her er ydmyke 10 bud fra en ikke-jurist med lang erfaring fra forvaltning og klimaarbeid, skriver klimarådgiver Tore Killingland.
- Det opplevdes som at jeg ikke lenger var god nok for Norge
Den jusutdannede toppdiplomaten Olav Myklebust ble fratatt sikkerhetsklarering og mistet jobben som ambassadør for Norge fordi han etablerte et forhold med en thailandsk kjæreste.
Riksrevisjonen: Offentlig ansatte usikre på når plikten til å avverge straffbare handlinger gjelder
Riksrevisjonen retter alvorlig kritikk av myndighetenes innsats når det gjelder vold i nære relasjoner. Det er risiko for at voldsutsatte ikke får den hjelpen de trenger, mener de.