Artikkel
Kravet om et supplerende rettsgrunnlag etter GDPR artikkel 6 (3)
Deloitte Advokatfirma
All behandling av personopplysninger krever et gyldig behandlingsgrunnlag. Dersom behandlingen er basert på behandlingsgrunnlagene rettslig forpliktelse, allmennhetens interesse eller offentlig myndighetsøvelse, kreves i tillegg et såkalt supplerende rettsgrunnlag.
Publisert: 12. august 2024
Kravet om et behandlingsgrunnlag
All behandling av personopplysninger må være lovlig, rettferdig og åpen. Det betyr blant annet at det må foreligge et gyldig behandlingsgrunnlag, et rettslig grunnlag, etter GDPR artikkel 6 før behandling av personopplysninger starter. Dersom særlige kategorier av personopplysninger behandles, for eksempel helseopplysninger, kreves også at et ytterligere behandlingsgrunnlag i GDPR artikkel 9 er oppfylt.
To vanlige behandlingsgrunnlag er oppfyllelse av en rettslig forpliktelse som påhviler den behandlingsansvarlige (GDPR artikkel 6 nr. 1 bokstav c) og utførelse av en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighetsutøvelse som den behandlingsansvarlige er pålagt (GDPR artikkel 6 nr. 1 bokstav e).
Dersom behandlingen av personopplysninger hjemles i rettslig forpliktelse, er det viktig å huske på at det ikke er tilstrekkelig at den behandlingsansvarlige frivillig har påtatt seg forpliktelser; det må være klart at det er en plikt for den behandlingsansvarlige.
Ved bruk av behandlingsgrunnlaget utførelse av en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet som den behandlingsansvarlige er pålagt, oppstilles et krav om nødvendighet. Dette innebærer at behandlingen av personopplysninger må være nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet. Behandlingen må i tillegg være målrettet og proporsjonal sett opp mot formålet. Man har ikke lovlig behandlingsgrunnlag for behandlingen dersom det foreligger en fornuftig og mindre inngripende måte for å oppnå samme resultat.
Supplerende rettsgrunnlag
Bruk av både rettslig forpliktelse, utførelse av en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet som behandlingsgrunnlag krever et supplerende rettsgrunnlag i nasjonal rett eller unionsretten.
Både lov- og forskriftsbestemmelser kan være supplerende rettsgrunnlag. Det supplerende rettsgrunnlaget skal fastsette formålet med behandlingen, men det er imidlertid ikke nødvendig at det rettsgrunnlaget regulerer behandlingen uttrykkelig. Det er ikke nødvendig med en egen lovbestemmelse for hver enkelt behandling, noe som betyr at en lov kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter.
Ifølge forarbeidene til personopplysningsloven følger det at kravene til det supplerende rettsgrunnlaget må tolkes i lys av EMK artikkel 8 og Grunnloven § 102, i tillegg til legalitetsprinsippet i Grunnloven § 113. Dette innebærer at rettsgrunnlaget må oppfylle kravet til klarhet, nødvendighet og forholdsmessighet. Etter personvernforordningens fortalepunkt 41 bør det rettslige grunnlaget være tydelig og presist, og anvendelsen bør være forutsigbar for personer som omfattes av det. Kravet om forutberegnelighet skal verne mot vilkårlighet og sikre tilstrekkelig presisjon.
Hvorvidt det foreligger et tilstrekkelig supplerende rettsgrunnlag beror på en konkret vurdering, herunder av hvor inngripende behandlingen av personopplysninger er. Hva som kreves av det supplerende rettsgrunnlaget, kan ikke besvares generelt, men må avgjøres etter en konkret vurdering. En inngripende behandling, eksempelvis behandling av særlige kategorier av personopplysninger som helseopplysninger, tilsier strengere krav til utformingen av det supplerende rettsgrunnlaget når det gjelder tydelighet og forutberegnelighet. For å sikre en god vurdering av om det supplerende rettsgrunnlaget er tilstrekkelig klart, må den behandlingsansvarlige ha oversikt over alle behandlingsaktiviteter, herunder hvilke personopplysninger som behandles, hvem det behandles personopplysninger om og behandlingens omfang.
Forholdet mellom lov og forskrift ved regelverksendringer
Dersom det identifiseres at det er behov for regelverksendringer på grunn av manglende tilstrekkelig lovhjemmel, må forholdet mellom lov og forskrift vurderes. Deloitte advokatfirmas erfaring er at bestemmelser som presiserer og utdyper behandlingen av personopplysninger kan bli detaljerte, og at selve presiseringen og utdypingen av personopplysninger dermed kan passe bedre i en forskrift enn i selve lovteksten. Presisering og utdyping i forskrift vil også gi større rom for vurdering og justering av hvilke personopplysninger som vil være relevante for å ivareta lovens formål og brukernes personvern.
Den behandlingansvarliges ansvar
Husk at det er den behandlingansvarliges ansvar å sikre at et gyldig behandlingsgrunnlag er på plass før behandlingen av personopplysninger begynner, inkludert at det foreligger et tilstrekkelig supplerende rettsgrunnlag. For å sikre at kravet til et gyldig behandlingsgrunnlag oppfylles, er det derfor helt nødvendig å vite hvem som er behandlingsansvarlig for den konkrete behandlingen av personopplysninger. Avklaring av ulike roller med tilhørende ansvarsområder etter personvernregelverket kan i noen tilfeller være utfordrende.
Deloitte Advokatfirma kan bistå!
Deloitte Advokatfirma har ustrakt erfaring med personvernregelverket, og kan bistå virksomheter med alle områder innenfor personvernretten. Vi bistår både offentlige og private virksomheter med vurderinger av om det foreligger gyldig behandlingsgrunnlag og har i flere sammenhenger bistått inn i lov- og forskriftsarbeid på personvernfeltet.