Innhold

Rettslig forpliktelse som behandlingsgrunnlag

En dame som sitter å skriver på en PC.

Du trenger behandlingsgrunnlag for å behandle enhver personopplysning. Et slikt grunnlag kan være at det er nødvendig for bedriften for å oppfylle en rettslig forpliktelse.

Kort sagt betyr dette at bedriften er nødt til å behandle personopplysninger for å kunne etterleve regler. Selve behandlingen – som innhenting, oppbevaring og rapportering – trenger ikke stå uttrykkelig i regelen. Forpliktelsen må fremgå av norsk lov eller forskrift eller av et forvaltningsvedtak eller en dom.

En avtaleforpliktelse regnes ikke som en rettslig forpliktelse i denne sammenheng.

Noen eksempler på rettslige forpliktelser:

  • Bokføringsloven, som pålegger bedrifter å oppbevare regnskapsmateriale, som kan inneholde personopplysninger
  • A-opplysningsloven, som pålegger alle arbeidsgiver å sende opplysninger om ansatteforhold til Skatteetaten, NAV og Statistisk sentralbyrå hver måned
  • Aksjeloven, som pålegger aksjeselskaper å oppbevare opplysninger om tidligere aksjeeiere i ti år
  • Skatteforvaltningsloven, som pålegger dokumentasjon og oppbevaring i ti år av opplysninger om transaksjoner med nærstående
  • Foretaksregisterloven, som pålegger selskaper å registrere personopplysninger om styremedlemmer

De seks grunnkravene til behandling av personopplysninger gjelder for all behandling av personopplysninger, også når det er en rettslig forpliktelse som er behandlingsgrunnlag.