torbjorn/lovdata-test
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

first round

Browse Source
This commit is contained in:
Torbjørn Lindahl
2026-01-13 15:06:15 +01:00
parent dc7f9fb048
commit f60b2935d2
11 changed files with 876 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

144
gdpr-behandlingsgrunnlag/opus-4.5/rapport.md Normal file
View File

@@ -0,0 +1,144 @@
# Juridisk Analyse: Supplerende Rettsgrunnlag for GDPR-behandlinger
## Sammendrag
Denne rapporten analyserer fem poster i oversikten over rettsgrunnlag for behandling av personopplysninger der feltet "Supplerende rettsgrunnlag" er satt til "-". Analysen vurderer om dette er korrekt, eller om det bør angis et supplerende rettsgrunnlag i norsk lov.
---
## Juridisk Bakgrunn
### Samtykke som selvstendig rettsgrunnlag
Personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a) og artikkel 9 nr. 2 bokstav a) etablerer samtykke som et selvstendig og fullverdig rettsgrunnlag for behandling av henholdsvis alminnelige personopplysninger og særlige kategorier av personopplysninger.
**Hovedregel:** Når behandlingen er basert på samtykke, utgjør samtykket i seg selv det nødvendige rettsgrunnlaget. Det kreves normalt ikke supplerende hjemmel i nasjonal lovgivning.
Dette bekreftes av:
- Helseregisterloven § 9: "den registrerte samtykker" som selvstendig grunnlag for behandling
- Helseforskningsloven § 13: Samtykke som hovedregel for medisinsk og helsefaglig forskning
- Helseregisterloven § 19a: Krav om at mottaker kan godtgjøre rettslig grunnlag etter personvernforordningen artikkel 6 og 9
### Avtale og fagforeningsopplysninger
For behandling basert på avtale (artikkel 6 nr. 1 bokstav b) kombinert med fagforeningsopplysninger (artikkel 9 nr. 2 bokstav d), gjelder særlige regler. GDPR artikkel 9 nr. 2 bokstav d) tillater behandling av fagforeningsopplysninger når:
> "behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ som har et politisk, filosofisk, religiøst eller fagforeningsmessig formål [...] eller behandlingen gjelder personopplysninger som tydelig er offentliggjort av den registrerte"
Personopplysningsloven § 6 gir supplerende hjemmel for arbeidsforhold:
> "Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter."
---
## Analyse av Postene
### Post 1: Forskning med samtykke
| Felt | Verdi |
|------|-------|
| **Kategori** | Forskning |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |
**Vurdering:** Samtykke er et selvstendig rettsgrunnlag som ikke krever supplerende hjemmel i norsk lov. Helseforskningsloven § 13 bekrefter at samtykke er hovedregelen for medisinsk og helsefaglig forskning, men dette er en prosessuell regel, ikke et krav om supplerende hjemmel.
**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.
---
### Post 3: Helseanalyse med samtykke
| Felt | Verdi |
|------|-------|
| **Kategori** | Helseanalyse |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |
**Vurdering:** Tilsvarende Post 1. Samtykkebasert behandling av helseopplysninger for helseanalyse krever ikke supplerende rettsgrunnlag utover GDPR-bestemmelsene. Helseregisterloven § 9 anerkjenner samtykke som selvstendig grunnlag.
**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.
---
### Post 6: Kvalitetssikringsprosjekter med samtykke
| Felt | Verdi |
|------|-------|
| **Kategori** | Kvalitetssikringsprosjekter |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |
**Vurdering:** Kvalitetssikringsprosjekter basert på samtykke følger samme logikk som forskning og helseanalyse. Samtykket er tilstrekkelig rettsgrunnlag.
**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.
---
### Post 12: Administrative systemer med samtykke
| Felt | Verdi |
|------|-------|
| **Kategori** | Administrative systemer |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |
**Vurdering:** Administrative systemer som behandler særlige kategorier av personopplysninger basert på samtykke, har tilstrekkelig rettsgrunnlag i GDPR artikkel 6 nr. 1 a) og artikkel 9 nr. 2 a).
**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.
---
### Post 13: Administrative systemer med avtale og fagforeningsopplysninger
| Felt | Verdi |
|------|-------|
| **Kategori** | Administrative systemer |
| **Personopplysninger** | Avtale som den registrerte er part i, ref. GDPR artikkel 6 nr. 1 b) |
| **Særlige kategorier** | Opplysninger om fagforeninger, ref. GDPR artikkel 9 nr. 2 d) |
| **Supplerende rettsgrunnlag** | - |
**Vurdering:** Dette er en mer kompleks situasjon. GDPR artikkel 9 nr. 2 bokstav d) gjelder primært behandling utført av fagforeninger selv eller ideelle organisasjoner. For arbeidsgivers behandling av fagforeningsopplysninger i administrative systemer (f.eks. lønnssystemer for trekk av fagforeningskontingent), er det mer naturlig å vise til:
1. **Personopplysningsloven § 6**: "Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter."
2. **GDPR artikkel 9 nr. 2 bokstav b)**: Behandling som er nødvendig for å oppfylle forpliktelser og utøve rettigheter på arbeidsrettens område.
Imidlertid, dersom behandlingen faktisk skjer innenfor rammen av artikkel 9 nr. 2 bokstav d) (f.eks. at den ansatte selv har offentliggjort fagforeningsmedlemskapet, eller at behandlingen skjer i forbindelse med fagforeningens egen virksomhet), kan "-" være korrekt.
**Konklusjon:** Situasjonen er tvetydig. Dersom behandlingen gjelder arbeidsgivers håndtering av fagforeningskontingent eller lignende arbeidsrettslige forhold, bør supplerende rettsgrunnlag være:
> **Personopplysningsloven § 6**
Dersom behandlingen faktisk faller inn under artikkel 9 nr. 2 bokstav d) (fagforeningens egen behandling eller offentliggjorte opplysninger), er "-" korrekt.
**Anbefaling:** Avklar behandlingens art. For typiske arbeidsgiverfunksjoner, endre til "Personopplysningsloven § 6".
---
## Oppsummering
| Post | Kategori | Nåværende verdi | Anbefalt verdi | Begrunnelse |
|------|----------|-----------------|----------------|-------------|
| 1 | Forskning | - | - | Samtykke er selvstendig rettsgrunnlag |
| 3 | Helseanalyse | - | - | Samtykke er selvstendig rettsgrunnlag |
| 6 | Kvalitetssikring | - | - | Samtykke er selvstendig rettsgrunnlag |
| 12 | Administrative systemer | - | - | Samtykke er selvstendig rettsgrunnlag |
| 13 | Administrative systemer | - | Personopplysningsloven § 6* | *Avhengig av behandlingens art |
---
## Rettskilder
- Personvernforordningen (GDPR) artikkel 6 og 9
- Personopplysningsloven (lov 15. juni 2018 nr. 38) § 6
- Helseregisterloven (lov 20. juni 2014 nr. 43) §§ 2, 9, 19a
- Helseforskningsloven (lov 20. juni 2008 nr. 44) § 13
---
*Rapport utarbeidet: 12. januar 2026*