Behandlingsgrunnlag

Behandlingsgrunnlag

Alle behandlinger av personopplysninger må ha et behandlingsgrunnlag – også kalt rettslig grunnlag – for å være lov. Virksomheten må derfor ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn. Hvis ikke det finnes, er bruken av personopplysningene ulovlig. Her finner du en gjennomgang av de ulike behandlingsgrunnlagene og når de gjelder. 

Innledning

Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett grunnlag per formål.

Virksomheten har dessuten plikt til å informere den enkelte om på hvilket grunnlag personopplysningene deres behandles. Dere finner oversikt over alle behandlingsgrunnlagene i personvernforordningen artikkel 6.

Eksempel

En medlemsforening behandler både navn, e-postadresse og postnummer.

  • Formålet med navn er å vite hvem som er medlem i foreningen. Foreningen kan ikke oppfylle medlemsavtalen uten å vite hvem medlemmene er. Foreningen kommer frem til at behandlingsgrunnlaget er «nødvendig for avtale».
  • Formålet med e-postadressen er å sende ut markedsføring. Foreningen har kommet frem til at behandlingsgrunnlaget er «samtykke». Det betyr også at virksomheten må respektere den enkeltes ønsker hvis samtykket trekkes tilbake. Virksomheten kan ikke bytte behandlingsgrunnlag hvis samtykke trekkes tilbake eller samtykke ikke var gyldig innhentet.
  • Formålet med postnummer er todelt. For det første brukes postnummeret for å unngå navneforveksling, for eksempel dersom et medlem har et vanlig navn. For det andre brukes postnummer til å lage statistikk over geografisk spredning av medlemmer. 
    Foreningen kommer frem til at behandlingsgrunnlaget for behandling av postnummer for identifikasjon er «nødvendig for avtale» slik som navn. Når formålet er statistikk, er behandlingsgrunnlaget «interesseavveining».

Spesielt om særlige kategorier av personopplysninger (sensitive personopplysninger) - forbud og unntak.

I utgangspunktet er det forbudt å behandle visse kategorier av personopplysninger. Mange omtaler disse opplysningstypene som sensitive personopplysninger. 

De kategoriene av opplysninger dette gjelder er:

  1. opplysninger om rasemessig eller etnisk opprinnelse
  2. opplysninger om politisk oppfatning
  3. opplysninger om religion
  4. opplysninger om filosofisk overbevisning
  5. opplysninger om fagforeningsmedlemskap
  6. genetiske opplysninger
  7. biometriske opplysninger (når behandlingsformålet er å entydig identifisere noen)
  8. helseopplysninger
  9. opplysninger om seksuelle forhold
  10. opplysninger om seksuell legning

Mange unntak - og mange forbehold

Det finnes imidlertid mange unntak fra forbudet. Lovens system er at det må foreligge et særskilt grunnlag i tillegg til behandlingsgrunnlag for å behandle denne typen opplysninger.

I forordningen (artikkel 9 nr. 2 og 3) er det en oversikt over når opplysningene i punkt 1 til 10 likevel vil kunne behandles. Nedenfor følger en forenklet oppsummering av denne oversikten. Det er viktig å understreke at det er mange forbehold, så virksomheter må uansett sette seg inn i forordningsteksten før de eventuelt setter i gang behandlingen av personopplysninger:

  • Den registrerte har gitt uttrykkelig samtykke.
  • Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle og utøve sine arbeidsrettslige, trygderettslige og sosialrettslige plikter og rettigheter i den grad behandlingen er tillatt etter lov eller tariffavtale.
  • Behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser hvis den registrerte ikke er i stand til å gi samtykke.
  • Behandlingen utføres av en stiftelse, sammenslutning eller ideelt organ som har mål av politisk, religiøs eller fagforeningsmessig art, så lenge det er snakk om personopplysninger om medlemmer og liknende, det foreligger nødvendige garantier og opplysningene ikke utleveres uten samtykke.
  • Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.
  • Behandlingen er nødvendig i forbindelse med rettskrav eller domstolene handler innenfor rammen av sin domsmyndighet.
  • Behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.
  • Behandlingen er nødvendig i forbindelse med forebyggende medisin, medisin i arbeidslivet, vurdering av en arbeidstakers arbeidskapasitet, medisinsk diagnostikk, ytelse av helse- eller sosialtjenester, sosialfaglig eller medisinsk behandling eller forvaltning av helse- eller sosialtjenester og -systemer. Dette gjelder imidlertid bare dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.
  • Behandlingen er nødvendig av allmenne folkehelsehensyn.
  • Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på visse betingelser og under forutsetning av at behandlingen har hjemmel i lov.

Der forordningen sier at en behandling av personopplysninger krever hjemmel i lov, stiller den også visse krav til loven eller ting loven skal inneholde. Det vil si at en hvilken som helt lovhjemmel i seg selv ikke nødvendigvis er tilstrekkelig.

I tillegg sier personopplysningsloven §§ 6, 7 og 9 at særlige kategorier av personopplysninger kan behandles:

  • når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter
  • dersom Datatilsynet har gitt tillattelse til det og har fastsatt vilkår for å verne den registrertes grunnleggende rettigheter og interesser
  • dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Dette gjelder så lenge samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte. Det må også foreligge visse tiltak og man må ha rådført seg med personvernombudet.

Spesielt om straffedommer og lovovertredelser

Opplysninger om straffedommer og lovovertredelser er ikke å regne som særlige kategorier av personopplysninger. Behandling av slike opplysninger er likevel underlagt visse begrensninger, dette følger av artikkel 10. Nærmere bestemt kan slike opplysninger kun behandles:

  • under en offentlig myndighets kontroll. Dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, må imidlertid virksomheten først rådføre seg med personvernombudet.
  • med hjemmel i personopplysningsloven § 11
  • med hjemmel i annen norsk lov så lenge loven inneholder garantier for den registrertes rettigheter og friheter.

Omfattende registre over straffedommer kan uansett kun føres under en offentlig myndighets kontroll.

Samtykke

En virksomhet kan behandle personopplysninger dersom den har innhentet gyldig samtykke fra personen eller personene det gjelder.

For at et samtykke skal være gyldig, må det være

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Hvor lenge et samtykke varer kommer an på hva man har bedt om samtykke til. For å unngå tvil anbefaler Datatilsynet at det spesifiseres hvor lenge et samtykke er tiltenkt å vare når det blir bedt om det. Vi anbefaler også at den enkelte blir minnet på med jevne intervaller at samtykke er gitt og at det kan trekkes tilbake.

Frivillig

Et samtykke er ikke gyldig dersom det foreligger press for å samtykke eller dersom det oppstår negative konsekvenser dersom man ikke samtykker. Den enkelte må være i stand til å foreta et fritt valg.

Dette betyr også at en virksomhet ikke kan sette samtykke som et vilkår for å bruke en tjeneste. For eksempel, dersom en virksomhet ber om samtykke til å behandle personopplysninger som ikke er nødvendig for å levere tjenesten, og alle som ikke samtykker ikke får lov til å bruke tjenesten, er ikke samtykket gyldig. Konsekvensen er at alle personopplysninger som ble samlet inn på grunnlag av dette «samtykket» må slettes.

I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom virksomheten og den enkelte. For eksempel vil normalt ikke offentlige myndigheter eller arbeidsgivere kunne bruke samtykke som behandlingsgrunnlag siden den enkelte er i et avhengighetsforhold til virksomheten.

Spesifikt

Det må være klart hva den enkelte samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette.

Kravet til spesifisitet innebærer også at man må be om samtykke til hvert enkelt formål separat.

Informert

Et samtykke er bare gyldig dersom man vet hva man samtykker til. Dette må sees i lys av personvernprinsippene om rettferdighet og åpenhet. Virksomheten må selv vurdere hva den enkelte trenger å vite for å kunne foreta et reelt og informert valg, men samtykkeforespørselen må i det minste inneholde

  • hvem den behandlingsansvarlige er
  • formålet for hver av behandlingene som virksomheten ber om samtykke til
  • hva slags personopplysninger som vil samles inn
  • informasjon av retten til å trekke tilbake samtykke
  • informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
  • informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området 

Når virksomheten ber om samtykke, må den bruke klart, enkelt og forståelig språk som målgruppen forstår og fatte seg i korthet. Informasjon om hva man samtykker til, må være klart skilt fra annen informasjon. Det er for eksempel ikke lov å gjemme denne informasjonen i brukervilkårene.

Den generelle informasjonsplikten kommer fremdeles i tillegg til informasjon som gis i forbindelse med innhenting av samtykke. Les mer om plikten til å gi informasjon

Utvetydig gjennom aktiv handling

For å samtykke må den enkelte foreta en handling, for eksempel ved å klikke på en knapp, hake av i en boks eller skrive under på et skjema. Passivitet, stillhet eller på forhånd avhakede bokser kan aldri utgjøre et gyldig samtykke.

Samtykket skal dessuten være en handling som er separat fra avtaleinngåelse eller aksept av brukervilkår.

Det kan ikke foreligge tvil om at den enkelte gjennom en handling har ment å samtykke eller gjøre noe annet.

Formkrav

Når man ber om samtykke elektronisk, må ikke forespørselen om samtykke være unødig forstyrrende for brukeropplevelsen. Dette er særlig viktig å huske på når det gjelder mindre skjermer – dersom det er vanskelig å bruke tjenesten fordi forespørselen om samtykke tar opp store deler av skjermen og ikke lar seg fjerne uten å samtykke, kan dette føre til at innhentede samtykker ikke er gyldige.

Når det gjelder selve samtykket, er det ingen formkrav. Samtykke kan gis skriftlig, muntlig, gjennom bevegelser eller på andre måter. Det eneste kravet er at samtykke må kunne dokumenteres.

Dokumentasjon

Et samtykke er bare gyldig hvis det kan dokumenteres. Dessuten må virksomheten kunne dokumentere at samtykket var gyldig. Det vil si at man må kunne dokumentere at alle lovens krav til samtykke er oppfylt, herunder kravet til informert samtykke. Virksomheter kan selv utvikle eller velge egnede løsninger for dokumentasjon av samtykke. Loven sier ikke hvordan dette skal gjøres.

Det er viktig at virksomhetene ikke samler mer opplysninger enn det som er nødvendig for å dokumentere samtykke.

Når det gjelder samtykker som gis ved å klikke på en knapp på en nettside eller i en app, kan man for eksempel ta vare på teknisk informasjon fra økten. Man kan ikke kreve at en person registrerer seg med navn bare for å holde oversikt over hvem som har og ikke har samtykket.

Tilbaketrekning av samtykke

Et samtykke må kunne trekkes tilbake uten negative konsekvenser, hvis ikke er det ikke gyldig. Som nevnt ovenfor må den enkelte få informasjon om retten til å trekke tilbake samtykke.

Dessuten kan det ikke være vanskeligere å trekke tilbake samtykke enn det var å gi det. Det betyr imidlertid ikke at samtykke må trekkes tilbake på nøyaktig samme måte som det ble avgitt, men tilbaketrekning må normalt kunne skje i samme system eller brukergrensesnitt.

Ved tilbaketrekning av samtykke skal normalt de aktuelle personopplysningene slettes. Unntak gjelder blant annet der virksomheten har bedt om samtykke til å behandle opplysningene for flere formål og personen bare trekker tilbake samtykke for ett eller noen av formålene. Unntak gjelder også for eksempel dersom de samme personopplysningene behandles til ulike formål med grunnlag i andre behandlingsgrunnlag.

Les mer om retten til sletting med unntak

Bytte til andre behandlingsgrunnlag

Dersom samtykke er behandlingsgrunnlaget, må virksomheten holde seg til dette. Dersom en person trekker tilbake samtykke, eller det viser seg at samtykke ikke var gyldig innhentet, må virksomheten ta konsekvensen av dette og bringe til opphør den aktuelle behandlingen av personopplysninger. Dersom en virksomhet i slike tilfeller i etterkant prøver å bytte behandlingsgrunnlag til «nødvendig for legitime interesser», bryter virksomheten rettferdighetsprinsippet og åpenhetsprinsippet, noe som kan være et alvorlig lovbrudd.

Krav om eksplisitt samtykke i enkelte tilfeller

Samtykke er ett av flere mulige behandlingsgrunnlag. For noen behandlinger av personopplysninger er det imidlertid ikke tilstrekkelig med behandlingsgrunnlag – det må foreligge et særskilt grunnlag i tillegg. Dette gjelder behandling av sensitive personopplysninger, automatiserte individuelle avgjørelser og overføring til utlandet. I disse tilfellene kan eksplisitt samtykke være et mulig tilleggsgrunnlag.

Med eksplisitt samtykke menes et samtykke som er gitt på en ekstra tydelig måte. Eksempler på dette er der den enkelte sende en skriftlig erklæring om hva hun samtykker til eller må bruke BankID for å signere en samtykkeforespørsel.

Samtykke til forskning

Når en virksomhet samler inn personopplysninger til bruk i vitenskapelig forskning (i tråd med etablerte metodiske og etiske standarder), kan det noen ganger være vanskelig å formulere et presist formål på innsamlingstidspunktet. Der behandlingsgrunnlaget for behandlingen av personopplysninger er samtykke, utfordres kravene om spesifikt og informert samtykke.

Loven åpner derfor for at formålet i slike tilfeller kan være litt mindre presist formulert i samtykkeforespørselen, men det må fortsatt være en generell formålsangivelse. Hvor generell den kan være, kommer blant annet an på hvor beskyttelsesverdige personopplysninger det er snakk om. I tillegg må man ha på plass andre tiltak for å vareta personvernet. Eksempler på slike tiltak kan være:

  • Virksomheten ber om samtykke til ett og ett trinn av forskningsstudiet av gangen.
  • Virksomheten gir den enkelte oppdatert informasjon underveis slik at samtykket over tid blir informert og spesifikt. Den enkelte blir samtidig minnet på retten til å trekke tilbake samtykke.
  • Virksomheten gir den enkelte en utfyllende forskningsplan der også forskningsspørsmål og arbeidsmetoder fremgår.

Der behandlingsgrunnlaget er samtykke, kan selvsagt samtykket trekkes tilbake. Som nevnt ovenfor er hovedregelen da at personopplysningene skal slettes (eventuelt anonymiseres). Det er viktig å være oppmerksom på dette før virksomheten iverksetter forskningsprosjektet.

Samtykke til barns bruk av digitale tjenester

I forordningen er begrepet informasjonssamfunnstjeneste brukt. Dette er normalt en kommersiell tjeneste som leveres elektronisk, på avstand og etter individuell forespørsel. Sosiale medier er et eksempel på informasjonssamfunnstjenester.

Der slike tjenester er rettet mot barn og samtykke er behandlingsgrunnlaget, må samtykke innhentes fra foreldre eller foresatte dersom barna er under 13 år gamle. I slike tilfeller må virksomheten iverksette rimelige tiltak for å verifisere at samtykke er gitt fra rette vedkommende.

Merk at andre EU/EØS-land kan ha andre aldersgrenser for når foreldrene må gi samtykke for de mindreårige (15 eller 16 år). Reglene kan ta utgangspunkt i hvor virksomheten er etablert eller barnas hjemsted. Virksomheter som er etablert i flere EØS-stater må derfor også passe på å følge reglene andre land setter.

Les mer om mindreårige og samtykke

Nødvendig for å oppfylle en avtale

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å oppfylle en avtale som den det gjelder er part i. Det samme gjelder der behandlingen er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelse.

Nødvendig for avtale som personen er part i

Dette behandlingsgrunnlaget dekker behandling av personopplysninger som faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

Eksempel

En person bestiller klær på nett. For å kunne oppfylle avtalen må virksomheten ha personens betalingsinfo, så den kan ta seg betalt, og adresse, så den kan sende varene.

En arbeidsgiver trenger opplysninger om arbeidstakeres bankforbindelse for å kunne utbetale lønn i henhold til arbeidsavtalen.

Behandling av personopplysninger på bakgrunn av ensidige vilkår i en avtale («liten skrift») kan ikke baseres på dette behandlingsgrunnlaget.

Eksempel

En person abonnerer på en nettavis. I brukervilkårene står det at nettavisen vil overvåke alt personen gjør på nettavisen for profilering og markedsføring. Denne behandlingen er ikke nødvendig for avtalen, siden overvåkingen ikke er nødvendig for å gi tilgang til nyhetene. (At virksomheten mener at overvåkingen er nødvendig for at den skal kunne tilby nyheter med profitt på det frie markedet, er et annet spørsmål som ikke påvirker denne vurderingen.)

Behandlingsgrunnlaget dekker det som er nødvendig for å oppfylle avtalen, altså normalsituasjonen. Det dekker ikke behandling av personopplysninger i forbindelse med avtalebrudd.

Nødvendig for tiltak personen har etterspurt før avtaleinngåelse

Dersom det er snakk om et tiltak som utføres før avtaleinngåelse, er det viktig å huske på at det er snakk om tiltak som personen, ikke virksomheten, har etterspurt.

Eksempel

En person ber om å få tilsendt informasjon om en tjeneste før hun eventuelt bestemmer seg for å inngå avtalen. For å kunne sende informasjonen må virksomheten lagre adressen hennes. Behandlingsgrunnlaget er «nødvendig for avtale».

En virksomhet kredittsjekker kunden før avtaleinngåelse fordi virksomheten ikke vil risikere at kunden ikke kan eller vil betale. Det er ikke kunden som har etterspurt dette tiltaket, så «nødvendig for avtale» er ikke behandlingsgrunnlaget.

Nødvendig for å oppfylle en rettslig plikt

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å oppfylle en rettslig forpliktelse. Med andre ord: Dersom virksomheten er pålagt å behandle visse bestemte personopplysninger, har den også lov til det.

Den rettslige forpliktelsen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

Den rettslige forpliktelsen må være klart nok formulert. Det må være klart at det er en plikt, altså at det ikke foreligger valgfrihet. Dessuten må det komme frem hva plikten innebærer når det gjelder behandling av personopplysninger og hva slags personopplysninger som er gjenstand for plikten.

Nødvendig for å beskytte vitale interesser

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser. Dette behandlingsgrunnlaget er svært snevert. Det må være snakk om behandling av personopplysninger i forbindelse med liv og død eller fare for helsa.

Dette behandlingsgrunnlaget kan normalt ikke brukes for å legitimere masseinnhenting av personopplysninger. Der dette er nødvendig, bør behandlingen ha hjemmel i lov i tråd med «nødvendig for rettslig plikt» eller «nødvendig for oppgave i offentlig interesse eller utøvelse av offentlig myndighet».

Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å utføre en oppgave i allmennhetens interesse. Det samme gjelder dersom behandlingen er nødvendig for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt. 

Begge alternativene henviser først og fremst til offentlige myndigheters behandling av personopplysninger, men behandlingsgrunnlaget er også relevant der private virksomheter eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

I begge tilfellene må behandlingen også ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget «nødvendig for å oppfylle en rettslig plikt», kreves det ikke her at virksomheten er pålagt en plikt.

Nødvendig for å ivareta legitime interesser - interesseavveiing

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. 

Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. Les mer om plikten til å fastsette et formål

Den aktuelle behandlingen av personopplysninger må være nødvendig for denne interessen. Det vil si at virksomheten må vurdere om den kan oppnå formålet på en måte som bedre varetar personvernet. Man må altså velge den behandlingen som er minst inngripende.

Deretter må virksomheten foreta en interesseavveining for å avgjøre om den enkeltes personvern veier tyngre enn virksomhetens berettigede interesse. Denne avveiningen bør gjøres trinnvis. Nedenfor har vi skissert hvordan disse trinnene bør se ut og gitt eksempler på hva man kan legge vekt på i hvert trinn.

1. Virksomhetens interesse

  • Hvilke fordeler oppnår virksomheten med behandlingen?
  • Hvor viktige er disse fordelene for virksomheten?
  • Har behandlingen offentlig interesse eller varetar den ideelle interesser som kommer flere til gode? (Dette er ikke et krav, men det kan tale i virksomhetens favør når interesseavveiningen skal foretas.)

2. Hensynet til personvernet

  • Hva slags personopplysninger er det snakk om? Er personopplysningene veldig beskyttelsesverdige eller sensitive? Er det snakk om personopplysninger som allerede er offentlige et annet sted?
  • Hvor mange enkeltpersoners personvern vil påvirkes av behandlingen?
  • Vil ulempene vare over tid?
  • Kobles ulike typer personopplysninger sammen?
  • Analyseres personopplysningene for å avdekke ukjente sammenhenger eller forutse adferd, interesser eller preferanser?
  • Vil personopplysningene offentliggjøres eller deles med andre virksomheter?
  • Hva mener de berørte (ansatte, kunder eller andre)?
  • Synes de at behandlingen av personopplysninger er krenkende?
  • Har personene en berettiget forventning om å få ha disse personopplysningene i fred?
  • Kan behandlingen ha positive konsekvenser for personene?
  • Kan behandlingen ha negative konsekvenser for personene, for eksempel ekskludering, diskriminering eller ærekrenkelse?
  • Er behandlingen egnet til skape frykt eller uro, eller kan den føre til at personer modererer egne utsagn eller adferd ut fra bekymring over at de blir overvåket (nedkjølingseffekt)?
  • Hva er risikoen for (altså sannsynligheten for og konsekvensene av) at personopplysninger kommer på avveier? Les mer om informasjonssikkerhet
  • Er personen mindreårig?

3. Tiltak for å minimere personvernkonsekvensene

  • Er det adgang til å reservere seg mot behandlingen?
  • Har systemene innebygd personvern?
  • Har virksomheten iverksatt andre tiltak for å minimere personvernkonsekvensene?

4. Balansetesten

Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes dersom personvernkonsekvensene er små. Dersom personvernkonsekvensene er større, må virksomhetens interesse i behandlingen være mer tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.

I mange tilfeller vil ikke inngrepet i personvernet stå i forhold til interessen virksomheten har i å samle inn opplysninger. Da må virksomheten basere behandlingen på gyldig samtykke eller et av de andre behandlingsgrunnlagene.