Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett grunnlag per formål.

Virksomheten har dessuten plikt til å informere den enkelte om på hvilket grunnlag personopplysningene deres behandles. Dere finner oversikt over alle behandlingsgrunnlagene i personvernforordningen artikkel 6.

De kategoriene av opplysninger dette gjelder er:

1. opplysninger om rasemessig eller etnisk opprinnelse
2. opplysninger om politisk oppfatning
3. opplysninger om religion
4. opplysninger om filosofisk overbevisning
5. opplysninger om fagforeningsmedlemskap
6. genetiske opplysninger
7. biometriske opplysninger (når behandlingsformålet er å entydig identifisere noen)
8. helseopplysninger
9. opplysninger om seksuelle forhold
10. opplysninger om seksuell legning

Mange unntak - og mange forbehold

Det finnes imidlertid mange unntak fra forbudet. Lovens system er at det må foreligge et særskilt grunnlag i tillegg til behandlingsgrunnlag for å behandle denne typen opplysninger.

I forordningen (artikkel 9 nr. 2 og 3) er det en oversikt over når opplysningene i punkt 1 til 10 likevel vil kunne behandles. Nedenfor følger en forenklet oppsummering av denne oversikten. Det er viktig å understreke at det er mange forbehold, så virksomheter må uansett sette seg inn i forordningsteksten før de eventuelt setter i gang behandlingen av personopplysninger:

• Den registrerte har gitt uttrykkelig samtykke.
• Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle og utøve sine arbeidsrettslige, trygderettslige og sosialrettslige plikter og rettigheter i den grad behandlingen er tillatt etter lov eller tariffavtale.
• Behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser hvis den registrerte ikke er i stand til å gi samtykke.
• Behandlingen utføres av en stiftelse, sammenslutning eller ideelt organ som har mål av politisk, religiøs eller fagforeningsmessig art, så lenge det er snakk om personopplysninger om medlemmer og liknende, det foreligger nødvendige garantier og opplysningene ikke utleveres uten samtykke.
• Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.
• Behandlingen er nødvendig i forbindelse med rettskrav eller domstolene handler innenfor rammen av sin domsmyndighet.
• Behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.
• Behandlingen er nødvendig i forbindelse med forebyggende medisin, medisin i arbeidslivet, vurdering av en arbeidstakers arbeidskapasitet, medisinsk diagnostikk, ytelse av helse- eller sosialtjenester, sosialfaglig eller medisinsk behandling eller forvaltning av helse- eller sosialtjenester og -systemer. Dette gjelder imidlertid bare dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.
• Behandlingen er nødvendig av allmenne folkehelsehensyn.
• Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på visse betingelser og under forutsetning av at behandlingen har hjemmel i lov.

Der forordningen sier at en behandling av personopplysninger krever hjemmel i lov, stiller den også visse krav til loven eller ting loven skal inneholde. Det vil si at en hvilken som helt lovhjemmel i seg selv ikke nødvendigvis er tilstrekkelig.

I tillegg sier personopplysningsloven §§ 6, 7 og 9 at særlige kategorier av personopplysninger kan behandles:

• når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter
• dersom Datatilsynet har gitt tillattelse til det og har fastsatt vilkår for å verne den registrertes grunnleggende rettigheter og interesser
• dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Dette gjelder så lenge samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte. Det må også foreligge visse tiltak og man må ha rådført seg med personvernombudet.

Spesielt om straffedommer og lovovertredelser

Opplysninger om straffedommer og lovovertredelser er ikke å regne som særlige kategorier av personopplysninger. Behandling av slike opplysninger er likevel underlagt visse begrensninger, dette følger av artikkel 10. Nærmere bestemt kan slike opplysninger kun behandles:

• under en offentlig myndighets kontroll. Dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, må imidlertid virksomheten først rådføre seg med personvernombudet.
• med hjemmel i personopplysningsloven § 11
• med hjemmel i annen norsk lov så lenge loven inneholder garantier for den registrertes rettigheter og friheter.

Omfattende registre over straffedommer kan uansett kun føres under en offentlig myndighets kontroll.

For at et samtykke skal være gyldig, må det være

• frivillig
• spesifikt
• informert
• utvetydig
• gitt gjennom en aktiv handling
• dokumenterbart
• mulig å trekke tilbake like lett som det ble gitt

Hvor lenge et samtykke varer kommer an på hva man har bedt om samtykke til. For å unngå tvil anbefaler Datatilsynet at man spesifiser hvor lenge et samtykke er tiltenkt å vare når man ber om det. Vi anbefaler også at man med rimelige intervaller minner på den enkelte at de har gitt samtykke og at det kan trekkes tilbake.

Frivillig

Et samtykke er ikke gyldig dersom det foreligger press for å samtykke eller dersom det oppstår negative konsekvenser dersom man ikke samtykker. Den enkelte må være i stand til å foreta et fritt valg.

Dette betyr også at man ikke kan sette samtykke som et vilkår for å bruke en tjeneste. For eksempel, dersom en virksomhet ber om samtykke til å behandle personopplysninger som ikke er nødvendig for å levere tjenesten, og alle som ikke samtykker ikke får lov til å bruke tjenesten, er ikke samtykket gyldig. Konsekvensen er at alle personopplysninger som ble samlet inn på grunnlag av dette «samtykket» må slettes.

I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom virksomheten og den enkelte. For eksempel vil normalt ikke offentlige myndigheter eller arbeidsgivere kunne bruke samtykke som behandlingsgrunnlag siden den enkelte er i et avhengighetsforhold til virksomheten.

Spesifikt

Det må være klart hva den enkelte samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette.

Kravet til spesifisitet innebærer også at man må be om samtykke til hvert enkelt formål separat.

Informert

Et samtykke er bare gyldig dersom man vet hva man samtykker til. Dette må sees i lys av personvernprinsippene om rettferdighet og åpenhet. Virksomheten må selv vurdere hva den enkelte trenger å vite for å kunne foreta et reelt og informert valg, men samtykkeforespørselen må i det minste inneholde

• hvem den behandlingsansvarlige er
• formålet for hver av behandlingene som virksomheten ber om samtykke til
• hva slags personopplysninger som vil samles inn
• informasjon av retten til å trekke tilbake samtykke
• informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
• informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området 

Når virksomheten ber om samtykke, må den bruke klart, enkelt og forståelig språk som målgruppen forstår og fatte seg i korthet. Informasjon om hva man samtykker til, må være klart skilt fra annen informasjon. Det er for eksempel ikke lov å gjemme denne informasjonen i brukervilkårene.

Den generelle informasjonsplikten kommer fremdeles i tillegg til informasjon som gis i forbindelse med innhenting av samtykke. Les mer om plikten til å gi informasjon

Utvetydig gjennom aktiv handling

For å samtykke må den enkelte foreta en handling, for eksempel ved å klikke på en knapp, hake av i en boks eller skrive under på et skjema. Passivitet, stillhet eller på forhånd avhakede bokser kan aldri utgjøre et gyldig samtykke.

Samtykket skal dessuten være en handling som er separat fra avtaleinngåelse eller aksept av brukervilkår.

Det kan ikke foreligge tvil om den enkelte gjennom en handling har ment å samtykke eller gjøre noe annet.

Formkrav

Når man ber om samtykke elektronisk, må ikke forespørselen om samtykke være unødig forstyrrende for brukeropplevelsen. Dette er særlig viktig å huske på når det gjelder mindre skjermer – dersom det er vanskelig å bruke tjenesten fordi forespørselen om samtykke tar opp store deler av skjermen og ikke lar seg fjerne uten å samtykke, kan dette føre til at innhentede samtykker ikke er gyldige.

Når det gjelder selve samtykket, er det ingen formkrav. Samtykke kan gis skriftlig, muntlig, gjennom bevegelser eller på andre måter. Det eneste kravet er at samtykke må kunne dokumenteres.

Dokumentasjon

Et samtykke er bare gyldig hvis det kan dokumenteres. Dessuten må virksomheten kunne dokumentere at samtykket var gyldig. Det vil si at man må kunne dokumentere at alle lovens krav til samtykke er oppfylt, herunder kravet til informert samtykke. Virksomheter kan selv utvikle eller velge egnede løsninger for dokumentasjon av samtykke. Loven sier ikke hvordan dette skal gjøres.

Det er viktig at virksomhetene ikke samler mer opplysninger enn det som er nødvendig for å dokumentere samtykke.

Når det gjelder samtykker som gis ved å klikke på en knapp på en nettside eller i en app, kan man for eksempel ta vare på teknisk informasjon fra økten. Man kan ikke kreve at en person registrerer seg med navn bare for å holde oversikt over hvem som har og ikke har samtykket.

Tilbaketrekning av samtykke

Et samtykke må kunne trekkes tilbake uten negative konsekvenser, hvis ikke er det ikke gyldig. Som nevnt ovenfor må den enkelte få informasjon om retten til å trekke tilbake samtykke.

Dessuten kan det ikke være vanskeligere å trekke tilbake samtykke enn det var å gi det. Det betyr imidlertid ikke at samtykke må trekkes tilbake på nøyaktig samme måte som det ble avgitt, men tilbaketrekning må normalt kunne skje i samme system eller brukergrensesnitt.

Ved tilbaketrekning av samtykke skal normalt de aktuelle personopplysningene slettes. Unntak gjelder blant annet der virksomheten har bedt om samtykke til å behandle opplysningene for flere formål og personen bare trekker tilbake samtykke for ett eller noen av formålene. Unntak gjelder også for eksempel dersom de samme personopplysningene behandles til ulike formål med grunnlag i andre behandlingsgrunnlag.

Les mer om retten til sletting med unntak

Bytte til andre behandlingsgrunnlag

Dersom samtykke er behandlingsgrunnlaget, må virksomheten holde seg til dette. Dersom en person trekker tilbake samtykke, eller det viser seg at samtykke ikke var gyldig innhentet, må virksomheten ta konsekvensen av dette og bringe til opphør den aktuelle behandlingen av personopplysninger. Dersom en virksomhet i slike tilfeller i etterkant prøver å bytte behandlingsgrunnlag til «nødvendig for legitime interesser», bryter virksomheten rettferdighetsprinsippet og åpenhetsprinsippet, noe som kan være et alvorlig lovbrudd.

Krav om eksplisitt samtykke i enkelte tilfeller

Samtykke er ett av flere mulige behandlingsgrunnlag. For noen behandlinger av personopplysninger er det imidlertid ikke tilstrekkelig med behandlingsgrunnlag – det må foreligge et særskilt grunnlag i tillegg. Dette gjelder behandling av sensitive personopplysninger, automatiserte individuelle avgjørelser og overføring til utlandet. I disse tilfellene kan eksplisitt samtykke være et mulig tilleggsgrunnlag.

Med eksplisitt samtykke menes et samtykke som er gitt på en ekstra tydelig måte. Eksempler på dette er der den enkelte sende en skriftlig erklæring om hva hun samtykker til eller må bruke BankID for å signere en samtykkeforespørsel.

Samtykke til forskning

Når en virksomhet samler inn personopplysninger til bruk i vitenskapelig forskning (i tråd med etablerte metodiske og etiske standarder), kan det noen ganger være vanskelig å formulere et presist formål på innsamlingstidspunktet. Der behandlingsgrunnlaget for behandlingen av personopplysninger er samtykke, utfordres kravene om spesifikt og informert samtykke.

Loven åpner derfor for at formålet i slike tilfeller kan være litt mindre presist formulert i samtykkeforespørselen, men det må fortsatt være en generell formålsangivelse. Hvor generell den kan være, kommer blant annet an på hvor beskyttelsesverdige personopplysninger det er snakk om. I tillegg må man ha på plass andre tiltak for å vareta personvernet. Eksempler på slike tiltak kan være:

• Virksomheten ber om samtykke til ett og ett trinn av forskningsstudiet av gangen.
• Virksomheten gir den enkelte oppdatert informasjon underveis slik at samtykket over tid blir informert og spesifikt. Den enkelte blir samtidig minnet på retten til å trekke tilbake samtykke.
• Virksomheten gir den enkelte en utfyllende forskningsplan der også forskningsspørsmål og arbeidsmetoder fremgår.

Der behandlingsgrunnlaget er samtykke, kan selvsagt samtykket trekkes tilbake. Som nevnt ovenfor er hovedregelen da at personopplysningene skal slettes (eventuelt anonymiseres). Det er viktig å være oppmerksom på dette før virksomheten iverksetter forskningsprosjektet.

Samtykke til barns bruk av digitale tjenester

I forordningen er begrepet informasjonssamfunnstjeneste brukt. Dette er en kommersiell tjeneste som leveres elektronisk, på avstand og etter individuell forespørsel. Sosiale medier er et eksempel på informasjonssamfunnstjenester.

Der slike tjenester er rettet mot barn og samtykke er behandlingsgrunnlaget, må samtykke innhentes fra foreldre eller foresatte dersom barna er under 13 år gamle. I slike tilfeller må virksomheten iverksette rimelige tiltak for å verifisere at samtykke er gitt fra rette vedkommende.

Merk at andre EU/EØS-land kan ha andre aldersgrenser for når foreldrene må gi samtykke for de mindreårige (15 eller 16 år). Reglene kan ta utgangspunkt i hvor virksomheten er etablert eller barnas hjemsted. Virksomheter som er etablert i flere EØS-stater må derfor også passe på å følge reglene andre land setter.

Les mer om mindreårige og samtykke

Nødvendig for avtale som personen er part i

Dette behandlingsgrunnlaget dekker behandling av personopplysninger som faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

Behandling av personopplysninger på bakgrunn av ensidige vilkår i en avtale («liten skrift») kan ikke baseres på dette behandlingsgrunnlaget.

Behandlingsgrunnlaget dekker det som er nødvendig for å oppfylle avtalen, altså normalsituasjonen. Det dekker ikke behandling av personopplysninger i forbindelse med avtalebrudd.

Nødvendig for tiltak personen har etterspurt før avtaleinngåelse

Dersom det er snakk om et tiltak som utføres før avtaleinngåelse, er det viktig å huske på at det er snakk om tiltak som personen, ikke virksomheten, har etterspurt.

Den rettslige forpliktelsen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

Den rettslige forpliktelsen må være klart nok formulert. Det må være klart at det er en plikt, altså at det ikke foreligger valgfrihet. Dessuten må det komme frem hva plikten innebærer når det gjelder behandling av personopplysninger og hva slags personopplysninger som er gjenstand for plikten.

Dette behandlingsgrunnlaget kan normalt ikke brukes for å legitimere masseinnhenting av personopplysninger. Der dette er nødvendig, bør behandlingen ha hjemmel i lov i tråd med «nødvendig for rettslig plikt» eller «nødvendig for oppgave i offentlig interesse eller utøvelse av offentlig myndighet».

Begge alternativene henviser først og fremst til offentlige myndigheters behandling av personopplysninger, men behandlingsgrunnlaget er også relevant der private virksomheter eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

I begge tilfellene må behandlingen også ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget «nødvendig for å oppfylle en rettslig plikt», kreves det ikke her at virksomheten er pålagt en plikt.

Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. Les mer om plikten til å fastsette et formål

Den aktuelle behandlingen av personopplysninger må være nødvendig for denne interessen. Det vil si at virksomheten må vurdere om den kan oppnå formålet på en måte som bedre varetar personvernet. Man må altså velge den behandlingen som er minst inngripende.

Deretter må virksomheten foreta en interesseavveining for å avgjøre om den enkeltes personvern veier tyngre enn virksomhetens berettigede interesse. Denne avveiningen bør gjøres trinnvis. Nedenfor har vi skissert hvordan disse trinnene bør se ut og gitt eksempler på hva man kan legge vekt på i hvert trinn.

1. Virksomhetens interesse

• Hvilke fordeler oppnår virksomheten med behandlingen?
• Hvor viktige er disse fordelene for virksomheten?
• Har behandlingen offentlig interesse eller varetar den ideelle interesser som kommer flere til gode? (Dette er ikke et krav, men det kan tale i virksomhetens favør når interesseavveiningen skal foretas.)

2. Hensynet til personvernet

• Hva slags personopplysninger er det snakk om? Er personopplysningene veldig beskyttelsesverdige eller sensitive? Er det snakk om personopplysninger som allerede er offentlige et annet sted?
• Hvor mange enkeltpersoners personvern vil påvirkes av behandlingen?
• Vil ulempene vare over tid?
• Kobles ulike typer personopplysninger sammen?
• Analyseres personopplysningene for å avdekke ukjente sammenhenger eller forutse adferd, interesser eller preferanser?
• Vil personopplysningene offentliggjøres eller deles med andre virksomheter?
• Hva mener de berørte (ansatte, kunder eller andre)?
• Synes de at behandlingen av personopplysninger er krenkende?
• Har personene en berettiget forventning om å få ha disse personopplysningene i fred?
• Kan behandlingen ha positive konsekvenser for personene?
• Kan behandlingen ha negative konsekvenser for personene, for eksempel ekskludering, diskriminering eller ærekrenkelse?
• Er behandlingen egnet til skape frykt eller uro, eller kan den føre til at personer modererer egne utsagn eller adferd ut fra bekymring over at de blir overvåket (nedkjølingseffekt)?
• Hva er risikoen for (altså sannsynligheten for og konsekvensene av) at personopplysninger kommer på avveier? Les mer om informasjonssikkerhet
• Er personen mindreårig?

3. Tiltak for å minimere personvernkonsekvensene

• Er det adgang til å reservere seg mot behandlingen?
• Har systemene innebygd personvern?
• Har virksomheten iverksatt andre tiltak for å minimere personvernkonsekvensene?

4. Balansetesten

Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes dersom personvernkonsekvensene er små. Dersom personvernkonsekvensene er større, må virksomhetens interesse i behandlingen være mer tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.

I mange tilfeller vil ikke inngrepet i personvernet stå i forhold til interessen virksomheten har i å samle inn opplysninger. Da må virksomheten basere behandlingen på gyldig samtykke eller et av de andre behandlingsgrunnlagene.