Hva er behandlingsgrunnlag?
En av de grunnleggende prinsippene i GDPR er at behandling av personopplysninger må være lovlig. Men, hvordan blir en behandling av personopplysninger lovlig? Jo, for at en behandling skal være lovlig må du ha et gyldig behandlingsgrunnlag, også kalt et rettslig grunnlag. Har du ikke et behandlingsgrunnlag så har du ikke lov til å behandle personopplysningene. Et behandlingsgrunnlag kan altså forstås som en begrunnelse for hvorfor personopplysningene brukes. Det er god praksis at man kun har ett behandlingsgrunnlag per formål, det er også det vi anbefaler.
Hvilket behandlingsgrunnlag din virksomhet kan benytte seg av påvirkes også av om arbeidet er i offentlig eller privat regi. For eksempel kan en myndighet sjelden bruke det rettslige grunnlaget «berettiget interesse», mens en privat virksomhet sjelden kan bruke «offentlig myndighetsutøvelse».
Det finnes seks forskjellige behandlingsgrunnlag, alle disse finner du i GDPR artikkel 6.
-
Samtykke (artikkel 6.1 a)
Personene har selv sagt ja (samtykket) til at personopplysningene kan brukes av dere for det aktuelle formålet. Et samtykke er kun gyldig hvis personen aktivt og informert har bestemt seg for å samtykke, og har hatt et faktisk valg. Samtykke skal derfor ikke brukes ved ujevn maktbalanse, for eksempel mellom en arbeidsgiver og en ansatt eller en kommune og dens innbyggere, hvor det kan oppleves som tvunget å si ja. Samtykket kan heller ikke være en obligatorisk del av kontraktsbetingelser. En person skal heller ikke lide negative konsekvenser om vedkommende ikke gir sitt samtykke, eller senere trekker sitt samtykke.
-
Avtale (artikkel 6.1 b)
Dere trenger å behandle personopplysningene for å oppfylle en avtale hvor den registrerte er part. Dette kan for eksempel være for å oppfylle det som står i en arbeidsavtale, en tjenesteavtale eller en kjøpsavtale som personen omfattes av. Det kan også være slik at personopplysningene må behandles for at personen skal kunne inngå en avtale med den behandlingsansvarlige, det omfattes også av behandlingsgrunnlaget “avtale”.
-
Rettslig forpliktelse (Artikkel 6.1 c)
Dere har en rettslig forpliktelse til å utføre behandlingen av personopplysningene. Personopplysningene er nødvendige for at dere skal kunne oppfylle spesifikke lover og regler. Et eksempel er helsepersonelloven § 39 som gjør det obligatorisk for helsepersonell å føre journal for sine pasienter.
-
Beskytte registrertes grunnleggende interesser (artikkel 6.1 d)
Personopplysningene er nødvendige for å redde en persons liv. I hovedsak dreier det seg om tilfeller hvor en person ikke kan ta beslutninger eller gi samtykke, eksempelvis hvis vedkommende er bevisstløs. Det er svært få virksomheter som henviser til dette rettslige grunnlaget. Primært er det aktuelt innenfor helsetjenesten.
-
Offentlig myndighetsutøvelser eller en oppgave i allmenn interesse (artikkel 6.1 e)
Dere trenger personopplysningene enten i forbindelse med offentlig myndighetsutøvelse eller for å kunne utføre en såkalt «oppgave av allmenn interesse». Det skal dreie seg om en aktivitet som har i oppdrag å utføre noe som er fastsatt i lov som dere omfattes av (enten EU-rett eller nasjonal lovgivning). Dette behandlingsgrunnlaget brukes ofte av myndigheter, men kan også være aktuelt for private aktører i visse sammenhenger, som friskoler, private helseforetak eller selskaper som driver kollektivtransport.
-
Berettiget interesse (artikkel 6.1 f)
Dere har en berettiget interesse av å behandle personopplysningene for det aktuelle formålet. Dette krever at dere har gjort en interesseavveining der dere har veid organisasjonens interesse av å behandle personopplysningene mot de registrertes rettigheter og friheter, og kommet frem til at deres interesse veier tyngst. Dette behandlingsgrunnlaget kan i utgangspunktet ikke brukes av myndigheter.
Avhengig av sammenhengen kan de forskjellige rettslige grunnlagene være mer eller mindre passende å bruke. Det gjelder å finne det behandlingsgrunnlaget som passer for din egen virksomhet og de behandlingsaktivitetene som dere utfører/planlegger å utføre.
Kan jeg bytte behandlingsgrunnlag i ettertid?
Nei. Dere kan ikke bytte behandlingsgrunnlag for behandlingen i etterkant uten å informere de registrerte om dette. Det er blant annet derfor det er viktig å tenke nøye gjennom og velge riktig behandlingsgrunnlag.
Hva gjør vi hvis det ikke finnes et behandlingsgrunnlag for oss?
Da er behandlingen ikke lovlig, og dere må tenke på nytt.
Det er ikke alltid like enkelt i teorien som i praksis (eller omvendt). Med tjenesten Privacy as a Service får du hands-on hjelp med ditt personvernarbeid. Tjenesten tar utgangspunkt i hva du trenger og hvor din organisasjon er i dag. Les mer om hvordan vi kan hjelpe deg med å gjøre GDPR-arbeidet enklere.