Innhold

Behandlingsgrunnlag for personopplysninger

Bølge.

For å kunne behandle personopplysninger må man ha et juridisk grunnlag. Her kan du lese om de vanligste behandlingsgrunnlagene, både for alminnelige og sensitive personopplysninger, og for opplysninger som gjelder lovovertredelser.

Personvernforordningen regner opp seks mulige behandlingsgrunnlag, og fire av dem er mest aktuelle for bedrifter:

  1. den registrerte personen har gitt bedriften samtykke til behandlingen
  2. det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
  3. det er nødvendig for å overholde lover og regler
  4. bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte

Disse behandlingsgrunnlagene er likestilte, det er altså ikke slik at for eksempel samtykke er det "beste" grunnlaget, selv om man hører det av og til.

Det er bedriften selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle. Hvis behandlingsgrunnlaget er samtykke (nr. 1) eller berettiget interesse (nr. 4) er det egne krav til dokumentasjon.

Merk at behandlingen må være "nødvendig" i de tre siste tilfellene. Dette er mindre strengt enn det kan høres ut. Bedriften må vurdere konkret om det er snakk om en målrettet og forholdsmessig behandling, og om det er mulig å oppnå formålet på annen måte.

Har ikke bedriften et av de fire behandlingsgrunnlagene kan den heller ikke behandle opplysningene.

Hvis bedriften skal behandle sensitive personopplysninger, må den ha ytterligere grunnlag for den behandlingen.

  1. Avtale som behandlingsgrunnlag

    Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag. Et slikt grunnlag kan være at det er nødvendig for bedriften for å oppfylle en avtale med den registrerte.

  2. Rettslig forpliktelse som behandlingsgrunnlag

    Du trenger behandlingsgrunnlag for å behandle enhver personopplysning. Et slikt grunnlag kan være at det er nødvendig for bedriften for å oppfylle en rettslig forpliktelse.

  3. Berettiget interesse som behandlingsgrunnlag

    Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag. Et slikt grunnlag kan være at bedriften har en berettiget interesse i å behandle opplysningene.

  1. Samtykke som behandlingsgrunnlag

    Du trenger behandlingsgrunnlag for å behandle enhver personopplysning. Et slikt behandlingsgrunnlag er samtykke, som den registrerte gir selv.

  2. Sensitive opplysninger og behandlingsgrunnlag

    Det er strenge regler om beskyttelse av sensitive opplysninger. En bedrift som skal behandle slike opplysninger må derfor grundig sikre seg at riktig behandlingsgrunnlag er på plass.

  3. Personopplysninger om lovovertredelser

    Opplysninger om en persons straffedommer og lovovertredelser er personopplysninger. Det er strenge vilkår for bedrifter for å behandle slike opplysninger.