Behandlingsgrunnlag

GDPR gir seks forskjellige grunner – kalt behandlingsgrunnlag – til at det kan være lov å behandle personopplysninger. Grunnlaget kan være for eksempel samtykke, eller at behandlingen er nødvendig for å oppfylle en avtale eller en rettslig plikt.
En behandling i GDPR-sammenheng viser til alt du gjør med personopplysninger: samle dem inn, lagre dem, dele dem, se på dem, bruke dem, analysere dem, sammenstille dem, endre dem, slette dem – alt sammen.
Det kan være lett å tenke at du ikke har behandlet opplysningene – du har jo bare samlet dem inn! Men dette er også en behandling. Det samme er sletting og destruering. Alt dette krever dermed en forankring i et av de seks behandlingsgrunnlagene for å være lovlig.

De seks grunnlagene

Det første behandlingsgrunnlaget er samtykke. Men før du velger samtykke som grunnlag, bør du undersøke om behandlingen kan (eller må) gjøres på et annet grunnlag.
Utover samtykke er det fem andre grunnlag. Nærmere bestemt at behandlingen kan være nødvendig for …
  • å inngå eller oppfylle en avtale (forsikring, salg, tjenester)
  • en rettslig forpliktelse (NAV, arbeidsgiver)
  • å verne den registrertes liv og helse (medisinsk behandling)
  • å utføre en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet (skoler og universitet)
  • en berettiget interesse hos behandlingsansvarlig eller en tredjepart, som veier tyngre enn den registrertes personvern
All behandling av personopplysninger må ha et definert formål, og hvert formål skal knyttes til et av disse seks behandlingsgrunnlagene. Husker du også på personvernprinsippene – som dataminimering og formålsbegrensning, som du vil lære mer om i neste emne – er du på god vei til å forstå og følge GDPR.
Dette formålet – og hvilket behandlingsgrunnlag du baserer det på – bør du skrive ned og dokumentere før dere begynner å behandle personopplysninger. Dette er viktig både for deres egen del, og med tanke på mulig tilsyn hvis det skulle oppstå en sak.

Hva er et gyldig samtykke?

Samtykke høres kanskje enkelt og greit ut, men i praksis er dette langt ifra det enkleste behandlingsgrunnlaget, og bør velges når ingen av de andre alternativene er mulige. Det stilles nemlig viktige krav for at et samtykke skal være gyldig. Derfor er samtykke som grunnlag ofte både misforstått og misbrukt.
Et samtykke må være:
  • Frivillig – det må være et reelt valg, uten tvang, og uten avhengighetsforhold (f.eks. mellom ansatt og arbeidsgiver)
  • Spesifikt – det må være et separat samtykke for hvert enkelt formål, du kan ikke be om «ja til alt»
  • Informert – det skal være forståelig og utvetydig hva en samtykker til
  • Aktivt – boksen kan ikke være ferdig krysset av, samtykket må bli gitt gjennom en aktiv handling
  • Like lett å trekke tilbake som det blir gitt – når som helst og uten begrunnelse
Du skal alltid informere om hvem som er behandlingsansvarlig og deres kontaktopplysninger. Du skal fortelle formålet, hvilke personopplysninger du ber om, og hvem som eventuelt vil motta dem. Og du skal både informere om og legge til rette for at samtykket kan trekkes tilbake når som helst – uten at man må gi noen grunn til det.
Hvis du bruker automatiserte individuelle avgjørelser, for eksempel behandling ved hjelp av kunstig intelligens, må du også informere om dette. I tillegg skal du informere om hvorvidt opplysningene vil overføres utenfor EU/EØS  – og hvordan de i tilfelle skal sikres.
Det er vanlig å samle denne informasjonen i en personvernerklæring. Datatilsynet har maler for disse som du kan ta utgangspunkt i.