Kan en virksomhet behandle personopplysninger uten samtykke?

For å behandle personopplysninger, må man ha et lovlig grunnlag. Det kan for eksempel være gyldig samtykke. Man kan også behandle personopplysninger dersom man har hjemmel i lov.

Noen ganger har man ikke hjemmel i lov, og det er upraktisk eller umulig å innhente gyldig samtykke for å behandle personopplysningene. Da må man ha et annet grunnlag. Personopplysningsloven sier at man kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det betyr at man må velge den behandlingen som er minst inngripende.

Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. Man må altså vurdere om man kan oppnå formålet på en måte som ivaretar personvernet på en bedre måte. Det er ofte spørsmålet om hva som veier tyngst – virksomhetens interesse eller personvernet – som byr på problemer.

Denne vurderingen vil alltid være skjønnsmessig, og vurderingen vil kunne slå ulikt ut fra sak til sak. Derfor er det virksomheten selv som i første omgang må foreta denne vurderingen. Vurderingen består av fire trinn. Det er mange ulike momenter som kan trekkes inn i vurderingen, så opplistingen nedenfor er ikke uttømmende.

(NB! Dersom virksomheten skal behandle sensitive personopplysninger må den i tillegg ha et behandlingsgrunnlag i personopplysningsloven § 9 og søke om konsesjon.)

1. Virksomhetens interesse

  • Hvilke fordeler oppnår virksomheten med behandlingen?
  • Hvor viktige er disse fordelene for virksomheten?
  • Har behandlingen offentlig interesse eller varetar den ideelle interesser som kommer flere til gode? (Dette er ikke et krav, men det kan tale i virksomhetens favør når interesseavveiningen skal foretas.)

2. Hensynet til personvernet

  • Hva slags personopplysninger er det snakk om? Er personopplysningene veldig beskyttelsesverdige eller sensitive? Er det snakk om personopplysninger som allerede er offentlige et annet sted?
  • Hvor mange enkeltpersoners personvern vil påvirkes av behandlingen?
  • Vil ulempene vare over tid?
  • Kobles ulike typer personopplysninger sammen?
  • Analyseres personopplysningene for å avdekke ukjente sammenhenger eller forutse adferd, interesser eller preferanser?
  • Vil personopplysningene offentliggjøres eller deles med andre virksomheter?
  • Hva mener de berørte (ansatte, kunder eller andre)?
  • Synes de at behandlingen av personopplysninger er krenkende?
  • Har personene en berettiget forventning om å få ha disse personopplysningene i fred?
  • Kan behandlingen ha positive konsekvenser for personene?
  • Kan behandlingen ha negative konsekvenser for personene, for eksempel ekskludering, diskriminering eller ærekrenkelse?
  • Er behandlingen egnet til skape frykt eller uro, eller kan den føre til at personer modererer egne utsagn eller adferd ut fra bekymring over at de blir overvåket (nedkjølingseffekt)?
  • Hva er risikoen for (altså sannsynligheten for og konsekvensene av) at personopplysninger kommer på avveier? Mer om risikovurdering
  • Er personen mindreårig?

3. Tiltak for å minimere personvernkonsekvensene

  • Er det adgang til å reservere seg mot behandlingen?
  • Har systemene innebygd personvern?
  • Har virksomheten iverksatt andre tiltak for å minimere personvernkonsekvensene?

4. Balansetesten

Til slutt må virksomheten avgjøre om personvernet veier tyngre enn virksomhetens interesse. Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes uten samtykke dersom personvernkonsekvensene er små. Dersom personverkonsekvensene er større, må virksomhetens interesse i behandlingen være tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.

I mange tilfeller vil ikke inngrepet i personvernet stå i forhold til interessen virksomheten har i å samle inn opplysninger. Da må virksomheten basere behandlingen på gyldig samtykke, hjemmel i lov eller et av de andre grunnlagene personopplysningsloven § 8 nevner.

Mange plikter og regler

Dersom virksomheten oppfyller vilkårene over, kan den behandle personopplysninger. Den må imidlertid samtidig følge lovens øvrige bestemmelser. For eksempel slår personopplysningsloven § 11 fast at opplysningene som samles inn ikke kan brukes til nye, uforenlige formål uten samtykke og at de må være relevante, tilstrekkelige, korrekte og oppdaterte. Eksempler på andre plikter etter loven er informasjonsplikten, sletteplikten, melde- og konsesjonsplikten og plikten til informasjonssikkerhet og internkontroll. Loven bygger på grunnleggende personvernprinsipper.