Behandlingsansvarlige må bygge på et rettslig grunnlag ("behandlingsgrunnlag") for å behandle personopplysninger lovlig. Det er viktig å identifisere det hensiktsmessige behandlingsgrunnlaget da det kan komme med spesifikke krav (for eksempel må samtykke være frivillig, spesifikt, informert og entydig) og ha konsekvenser for den enkeltes rettigheter (for eksempel retten til portabilitet gjelder bare når behandlingsgrunnlaget er samtykke eller en avtale).
På denne siden finner du mer informasjon om de ulike behandlinsgrunnlagene etter GDPR. Finn ut mer om hvilke rettigheter som gjelder for hvert behandlingsgrunnlag.
Hva er de mulige rettslige grunnlagene etter GDPR?
Behandlingsansvarlige kan bare behandle personopplysninger under en av følgende omstendigheter:
- med samtykke fra den registrerte;
- når det foreligger en kontraktsforpliktelse (en avtale mellom virksomheten og den registrerte);
- for å oppfylle en rettslig forpliktelse i henhold til EU- eller nasjonal lovgivning;
- når behandlingen er nødvendig for å utføre en oppgave som utføres i allmennhetens interesse i henhold til EU- eller nasjonal lovgivning;
- for å verne den registrertes vitale interesser;
- for virksomhetens berettigede interesser (med mindre den registrertes interesser eller grunnleggende rettigheter går foran).
I tillegg etablerer GDPR ytterligere vilkår for behandling av sensitive personopplysninger.
Samtykke
Virksomheten din kan velge å bygge på samtykke for behandling av personopplysninger.
Hvis en behandlingsansvarlig bruker samtykke som rettslig grunnlag for behandling av personopplysninger, må de sørge for at dette samtykket er frivillig, informert, spesifikt og utvetydig. Dette betyr at de registrerte må ha et genuint fritt valg om hvorvidt de er enige i behandlingen av sine personopplysninger; de trenger tilstrekkelig informasjon slik at de kan forstå hvilke opplysninger som behandles, til hvilket formål og hvordan dette gjøres; og de må ha mulighet til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.
Hvis virksomheten må behandle opplysningene og ikke virkelig kan gjøre det mulig for den registrerte å trekke tilbake sitt samtykke, er dette en indikasjon på at samtykke ikke er det riktige behandlingsgrunnlaget, og det er behov for å vurdere om et annet behandlingsgrunnlag kan være aktuelt.
Vilkår for samtykke
Frivillig
Samtykke er frivillig når den registrerte er i stand til å nekte og trekke tilbake samtykket uten risiko for ytre press eller negative konsekvenser. Den registrerte må også ha rett til å trekke tilbake sitt samtykke når som helst; denne prosessen må gjøres enkel for den registrerte å gjennomføre (like enkelt som det var å gi samtykke). Tilbaketrekking av samtykke må ikke påvirke behandlingen av den enkeltes personopplysninger som ble gjort før denne tilbaketrekkingen, da samtykket fortsatt var gyldig.
For eksempel vil ansatte i prinsippet ikke være i stand til å gi et frivillig samtykke til en behandling utført av arbeidsgiveren, siden ansatte kan føle at de ikke kan avslå arbeidsgiverens anmodning.
Spesifikt
For at samtykke skal være gyldig, må det også være spesifikt for behandlingsformålet. Dette vilkåret er nært knyttet til vilkåret om informert samtykke: enkeltpersoner må informeres om de spesifikke formålene på et enkelt og lett forståelig språk, slik at de har en klar ide om hvilke formål opplysningene behandles for. Dette betyr også at hvis formålet med behandlingen endres eller hvis ytterligere behandlingsaktiviteter blir lagt til, bør den registrerte samtykke på nytt. På samme måte, hvis en behandlingsaktivitet har flere formål, bør samtykke gis for hvert av formålene.
For eksempel samler en streamingtjeneste sine kunders personopplysninger for å tilby dem skreddersydde visningsforslag. Etter en stund bestemmer streamingtjenesten seg for å dele kundenes personopplysninger med tredjeparter, slik at de kan sende målrettet reklame til kundene basert på deres preferanser. Siden dette er et nytt formål, vil strømmetjenesten måtte be om kundens samtykke.
Informert
Når du ber om samtykke fra en enkeltperson, må organisasjonen sørge for at denne forespørselen formidles til den enkelte på en forståelig og lett tilgjengelig måte, ved hjelp av klart og enkelt språk. Det bør gis opplysninger om formålene, hvem den behandlingsansvarlige er, kategoriene av personopplysninger som samles inn, eventuelle mottakere og retten til å trekke tilbake samtykket.
Utvetydig
For at samtykke skal være utvetydig, må det være gitt ved en eksplisitt bekreftende handling (uten bokser avhaket på forhånd og separat fra generelle vilkår).
Det anbefales å oppdatere samtykket med jevne mellomrom. I tillegg må du kunne dokumentere at den registrerte har gitt sitt samtykke, for eksempel gjennom en skriftlig eller signert erklæring, eller ved en eksplisitt handling som å hake av i en boks.
Vilkår som gjelder for barns samtykke
Som behandlingsansvarlig bør du ha rimelige tiltak for å kontrollere alderen på den registrerte.
Barn over 16 år anses å være i stand til å gi sitt eget samtykke.
For barn under 16 år må virksomheten din be om samtykke fra barnets verge eller forelder. I dette tilfellet må du gjøre en rimelig innsats for å kontrollere at personen som samtykker på vegne av barnet, har foreldreansvaret. Vær imidlertid oppmerksom på at GDPR gir EU-land muligheten til å, gjennom nasjonal lovgivning, fastsette en samtykkealder mellom 13 og 16, når tjenester leveres via internett. Derfor er det anbefalt å undersøke hvilke nasjonale bestemmelser som gjelder for deg.
Når samtykke kan gis av barn, bør språket som brukes til å formidle informasjonen om tjenesten, tilpasses etter alder.
Oppfyllelse av en avtale
Behandling av personopplysningene til den registrerte for oppfyllelsen av en avtale er et gyldig rettslig grunnlag, for eksempel i følgende tilfeller:
- Virksomheten din må behandle den enkeltes personopplysninger for å kunne levere en tjeneste.
- En potensiell klient eller kunde har bedt deg om å gjøre noe før de inngår en kontrakt med virksomheten din, for eksempel kan de ønske å motta et tilbud for tjenestene du tilbyr, som kanskje krever at du behandler vedkommendes personopplysninger.
Behandlingen må være nødvendig for å oppfylle en avtale. I praksis betyr dette at virksomheten din ikke kan fortsette med oppfyllelsen av avtalen eller tjenesten uten de aktuelle personopplysningene. Det anbefales at organisasjonen dokumenterer årsakene som forklarer hvorfor behandlingen av den enkeltes opplysninger er nødvendige for å oppfylle avtalen.
I tillegg må du forsøke å samle inn minst mulig personlig informasjon som er nødvendig for å utføre den kontraktsmessige tjenesten eller for å ta nødvendige skritt i forkant av oppfyllelsen. Du kan særlig ikke bruke avtalen til å kunstig utvide kategoriene av personopplysninger eller behandlingsaktiviteter. Snarere bør du sørge for at det er en reell gjensidig forståelse av avtalens formål, basert på forventningene til en gjennomsnittlig person når du inngår avtalen.
Dette rettslige grunnlaget kan også gjelde for visse handlinger knyttet til kontraktsmessig garanti, og for visse handlinger som med rimelighet kan forutses og som er nødvendig innenfor et normalt avtaleforhold, for eksempel å sende formelle påminnelser om utestående betalinger eller korrigere feil eller forsinkelser under oppfyllelsen av avtalen.
Dette juridiske grunnlaget gjelder imidlertid ikke hvis du ønsker å behandle personopplysninger for markedsføringsformål, forebygging av svindel, målrettet reklame eller andre formål knyttet til virksomhetens forretningsmodell. I slike tilfeller kan andre rettslige grunnlag være aktuelle, for eksempel samtykke eller berettiget interesse, forutsatt at de relevante vilkårene er oppfylt.
Lovgivningen kan også pålegge behandling av personopplysninger, selv etter at avtalen er avsluttet (for eksempel for å oppbevare registre for regnskapsmessige formål).
Naturligvis må avtalen også være gyldig i henhold til gjeldende lovgivning.
I praksis
- Du er et selskap som selger klær, både online og i en butikk, og du må kanskje behandle noen av kundenes personopplysninger, for eksempel kredittkortopplysninger, for å kunne behandle kjøp gjort av kundene dine. I dette tilfellet kan behandling av kundens personopplysninger være nødvendig for å oppfylle en avtale.
- Du er et selskap som tilbyr boligforsikring. En potensiell kunde har bedt om et tilbud for sin boligforsikring. I den forbindelse kan noen av deres personopplysninger være nødvendige for at du skal kunne gi dem en nøyaktig pris for deres boligforsikring.
- Du er en virksomhet som selger bøker, som noen av kundene dine har kjøpt. Da disse kundene kjøpte disse bøkene, kan du ha samlet inn noen av deres personopplysninger som var nødvendig for å behandle transaksjonen. Du ønsker nå å behandle kundenes personopplysninger, inkludert opplysninger om tidligere kjøp, for å anbefale andre bøker som de kanskje liker. Du kan ikke bygge på oppfyllelse av en avtale som rettslig grunnlag fordi behandling av kundenes opplysninger med det formål å reklamere for andre bøker ikke er nødvendig for å oppfylle avtalen.
Dermed må virksomheten be om kundenes samtykke for å kunne annonsere andre bøker til dem eller kan, avhengig av omstendighetene, bygge på berettigede interesser.
Oppfyllelse av en rettslig forpliktelse som påhviler den behandlingsansvarlige
GDPR gir et annet rettslig grunnlag, nemlig: behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.
Dette rettslige grunnlaget kan bero på hvor en behandlingsaktivitet er pålagt virksomheten i henhold til EU- eller nasjonal lovgivning. Nærmere bestemt må fire vilkår være oppfylt:
- den rettslige forpliktelsen må defineres av EU- eller nasjonal lovgivning som den behandlingsansvarlige er underlagt;
- den aktuelle lovbestemmelsen må etablere en klar og spesifikk forpliktelse til å behandle disse personopplysningene;
- den aktuelle lovbestemmelsen må i det minste definere formålene med behandlingen;
- denne forpliktelsen bør være pålagt den behandlingsansvarlige og ikke de registrerte.
Hvis disse vilkårene ikke er oppfylt, kan behandlingsaktiviteten ikke bygge på den rettslige forpliktelsen, og et annet behandlingsgrunnlag må benyttes.
GDPR fastsetter mange forskjellige omstendigheter der behandlingsansvarlige er juridisk forpliktet til å behandle klientenes eller kundenes personopplysninger. For eksempel må arbeidsgivere vanligvis behandle sine ansattes personopplysninger for velferdsformål, eller en bedrift trenger ofte å behandle klientenes eller kundenes personopplysninger for skattemessige formål.
Les mer
Et individs vitale interesser
Behandling av personopplysninger for å verne en persons vitale interesser kan bare gjøres i sjeldne og spesifikke tilfeller. Dette kan for eksempel være tilfelle hvis du trenger å behandle personopplysninger for å beskytte noens liv. Men basert på GDPR, er dette rettslige grunnlaget svært begrenset i omfang og kan bare bygges på i nødstilfeller.
I praksis
Virksomheten din tilbyr raftingturer. Under en av turene du organiserte, blir en av deltakerne alvorlig skadet. Som et resultat av dette er deltakeren bevisstløs og må få akutt medisinsk behandling på et sykehus. Som virksomhet må du kanskje kommunisere (= behandle) den enkeltes personopplysninger til sykehuset som må gi behandling for å redde personens liv. I denne sammenheng kan du behandle denne personens opplysninger for å verne deres vitale interesser.
Allmennhetens interesse
I noen spesifikke tilfeller kan virksomheten din behandle personopplysninger for en oppgave som utføres i allmennhetens interesse. I dette tilfellet må behandlingen ha grunnlag i EU- eller nasjonal lovgivning. Formålet må fastsettes i det rettslige grunnlaget eller være nødvendig for å utføre en oppgave som utføres i allmennhetens interesse eller i utøvelsen av offentlig myndighet som er tillagt den behandlingsansvarlige. Dette behandlingsgrunnlaget kan derfor være aktuelt særlig for behandling gjort av offentlige myndigheter med sikte på å utføre sine oppgaver.
I praksis
Virksomheten din er en legepraksis, som består av en tannlege og en fastlege. Du må kanskje behandle både tannlegens og fastlegens personopplysninger for å sikre at deres kvalifikasjoner, moral og etisk oppførsel oppfyller kravene fastsatt i landet der legepraksisen er etablert.
Berettiget interesse
Virksomheten din kan behandle personopplysninger for formål med berettigede interesser, forutsatt at disse interessene (kommersielle, beskyttelse av eiendom osv.) ikke skaper en ubalanse til skade for rettighetene og interessene til den registrerte.
Selv om GDPR og relevant rettspraksis fra EU-domstolen (CJEU) gir eksempler på berettigede interesser, er det ingen uttømmende liste.
Du må imidlertid sørge for at den aktuelle interessen oppfyller et visst antall vilkår:
- den må være lovlig, tydelig, ekte og tilstede;
- behandlingen må være nødvendig for å ivareta denne interessen;
- den berettigede interessen må ta hensyn til den enkeltes rett til personvern, som ikke kan tilsidesettes. I forbindelse med dette vilkåret må det foretas en avveining av de aktuelle berettigede interessene opp mot den registrertes interesser eller grunnleggende rettigheter og friheter, samt hva den registrerte med rimelighet kan forvente. Denne balansetesten må gjøres i lys av de konkrete forholdene som disse behandlingsaktivitetene foretas i.
I praksis
Du driver et renoveringsfirma. En av kundene dine bestrider kvaliteten på en kjøkkenrenovering og nekter å betale regningen i sin helhet. Som et første skritt overfører du kundens opplysninger til advokaten din for å forhandle et forlik med kunden. Ettersom kunden fortsatt nekter å betale, engasjerer du et inkassobyrå. Du overfører bare de personopplysningene som er nødvendige for prosedyren til inkassobyrået, og byrået utfører bare begrensede kontroller for å bekrefte kontaktinformasjonen til kunden og for å starte en rettsprosedyre.
Selv om det første trinnet fortsatt kan falle inn under behandlingen som er nødvendig for å oppfylle en kontrakt, kan ytterligere tiltak som er truffet, for eksempel engasjement av et inkassobyrå, anses som innenfor den behandlingsansvarliges berettigede interesse. Ettersom handlingene som utføres av byrået ikke er for påtrengende og virkningen på kunden er begrenset, kan legitim interesse være et passende rettslig grunnlag.
Behandling av sensitive personopplysninger
Ytterligere krav gjelder hvis du har til hensikt å behandle opplysninger som avslører rasemessig eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning, eller fagforeningsmedlemskap, samt ved behandling av genetiske opplysninger, biometriske opplysninger med det formål å entydig identifisere en fysisk person, opplysninger om helse eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Disse særlige kategoriene av opplysninger blir ofte referert til som "sensitive opplysninger".
Behandling av sensitive opplysninger er i utgangspunktet forbudt, bortsett fra i følgende spesifikke tilfeller.
- Den reigstrerte har gitt sitt uttrykkelige samtykke til at deres sensitive opplysninger kan behandles.
- Behandlingen av sensitive opplysninger er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine forpliktelser, spesielt i forbindelse med arbeidsrett, trygderett og sosialrett. For eksempel kan den behandlingsansvarlige måtte behandle sensitive opplysninger for å kunne avgjøre om de har rett til visse trygdeytelser eller ansettelsesstipend.
- Behandling av sensitive opplysninger er nødvendig for å beskytte de vitale interessene til en person der personen er fysisk eller juridisk ute av stand til å gi samtykke. For eksempel, hvis en person blir etterlatt bevisstløs som følge av en ulykke og krever øyeblikkelig medisinsk behandling, kan deres særlige kategorier av personopplysninger måtte behandles for at riktig medisinsk behandling skal leveres.
- Behandlingen av sensitive opplysninger utføres i forbindelse med legitime aktiviteter av en stiftelse, forening eller annen ideell organisasjon med et politisk, filosofisk, religiøst eller fagforeningsmål, og bare for behandling av personopplysninger om deres medlemmer, tidligere medlemmer eller personer som har regelmessig kontakt med dem.
- De sensitive opplysningene ble åpenbart offentliggjort av enkeltpersoner.
- Behandling av sensitive opplysninger er nødvendig i forbindelse med et rettskrav.
- Behandling av sensitive opplysninger er nødvendig for saker av viktige allmenne interesser.
- Behandling av sensitive opplysninger er nødvendig i sammenheng med forebyggende medisin eller arbeidsmedisin. For eksempel kan det være nødvendig å vurdere en persons sensitive opplysninger, slik som medisinske opplysninger, for å vurdere deres arbeidskapasitet som ansatt.
- Behandling av sensitive opplysninger er nødvendig av allmenne folkehelsehensyn på grunnlag av EU- eller nasjonal lovgivning. For eksempel kan behandling av enkeltpersoners sensitive opplysninger være nødvendig for å sikre høy kvalitet på helsevesenet og en høy kvalitet på medisinske produkter, eller for å bekjempe alvorlige helsetrusler, for eksempel virus.
- Behandling av sensitive opplysninger er nødvendig for arkivformål i allmennhetens interesse, eller for vitenskapelige, statistiske, historiske eller forskningsformål. For eksempel kan behandling av sensitive opplysninger være nødvendig for å gi nøyaktig statistikk om et lands situasjon på et bestemt felt.
Sjekkliste for behandling av sensitive personopplysninger
- Spør deg selv om du trenger å behandle en persons særlige kategorier av personopplysninger for den planlagte behandlingen.
- Identifiser det rettslige grunnlaget (= rettslig begrunnelse) for behandling av den registrertes personopplysninger. Du bør referere til artikkel 6 i GDPR.
- Identifiser om ytterligere vilkår for behandling av sensitive data etterleves. Du bør referere til artikkel 9 i GDPR.
- Identifisere risikoene og tiltakene for personopplysningssikkerhet, for eksempel de tekniske og organisatoriske tiltakene, som virksomheten din kan ha behov for å sette på plass ved behandling av særlige kategorier av personopplysninger.
- Ikke glem å holde oversikt over begrunnelsene for behandling av den registrertes særlige kategorier av personopplysninger, om risikoen som dette kan medføre, og av tiltakene du har satt i verk for å redusere disse risikoene.