# Juridisk Analyse: Supplerende Rettsgrunnlag for GDPR-behandlinger

## Sammendrag

Denne rapporten analyserer fem poster i oversikten over rettsgrunnlag for behandling av personopplysninger der feltet "Supplerende rettsgrunnlag" er satt til "-". Analysen vurderer om dette er korrekt, eller om det bør angis et supplerende rettsgrunnlag i norsk lov.

---

## Juridisk Bakgrunn

### Samtykke som selvstendig rettsgrunnlag

Personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a) og artikkel 9 nr. 2 bokstav a) etablerer samtykke som et selvstendig og fullverdig rettsgrunnlag for behandling av henholdsvis alminnelige personopplysninger og særlige kategorier av personopplysninger.

**Hovedregel:** Når behandlingen er basert på samtykke, utgjør samtykket i seg selv det nødvendige rettsgrunnlaget. Det kreves normalt ikke supplerende hjemmel i nasjonal lovgivning.

Dette bekreftes av:
- Helseregisterloven § 9: "den registrerte samtykker" som selvstendig grunnlag for behandling
- Helseforskningsloven § 13: Samtykke som hovedregel for medisinsk og helsefaglig forskning
- Helseregisterloven § 19a: Krav om at mottaker kan godtgjøre rettslig grunnlag etter personvernforordningen artikkel 6 og 9

### Avtale og fagforeningsopplysninger

For behandling basert på avtale (artikkel 6 nr. 1 bokstav b) kombinert med fagforeningsopplysninger (artikkel 9 nr. 2 bokstav d), gjelder særlige regler. GDPR artikkel 9 nr. 2 bokstav d) tillater behandling av fagforeningsopplysninger når:

> "behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ som har et politisk, filosofisk, religiøst eller fagforeningsmessig formål [...] eller behandlingen gjelder personopplysninger som tydelig er offentliggjort av den registrerte"

Personopplysningsloven § 6 gir supplerende hjemmel for arbeidsforhold:

> "Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter."

---

## Analyse av Postene

### Post 1: Forskning med samtykke

| Felt | Verdi |
|------|-------|
| **Kategori** | Forskning |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |

**Vurdering:** Samtykke er et selvstendig rettsgrunnlag som ikke krever supplerende hjemmel i norsk lov. Helseforskningsloven § 13 bekrefter at samtykke er hovedregelen for medisinsk og helsefaglig forskning, men dette er en prosessuell regel, ikke et krav om supplerende hjemmel.

**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.

---

### Post 3: Helseanalyse med samtykke

| Felt | Verdi |
|------|-------|
| **Kategori** | Helseanalyse |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |

**Vurdering:** Tilsvarende Post 1. Samtykkebasert behandling av helseopplysninger for helseanalyse krever ikke supplerende rettsgrunnlag utover GDPR-bestemmelsene. Helseregisterloven § 9 anerkjenner samtykke som selvstendig grunnlag.

**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.

---

### Post 6: Kvalitetssikringsprosjekter med samtykke

| Felt | Verdi |
|------|-------|
| **Kategori** | Kvalitetssikringsprosjekter |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |

**Vurdering:** Kvalitetssikringsprosjekter basert på samtykke følger samme logikk som forskning og helseanalyse. Samtykket er tilstrekkelig rettsgrunnlag.

**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.

---

### Post 12: Administrative systemer med samtykke

| Felt | Verdi |
|------|-------|
| **Kategori** | Administrative systemer |
| **Personopplysninger** | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| **Særlige kategorier** | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| **Supplerende rettsgrunnlag** | - |

**Vurdering:** Administrative systemer som behandler særlige kategorier av personopplysninger basert på samtykke, har tilstrekkelig rettsgrunnlag i GDPR artikkel 6 nr. 1 a) og artikkel 9 nr. 2 a).

**Konklusjon:** "-" er **korrekt**. Ingen endring nødvendig.

---

### Post 13: Administrative systemer med avtale og fagforeningsopplysninger

| Felt | Verdi |
|------|-------|
| **Kategori** | Administrative systemer |
| **Personopplysninger** | Avtale som den registrerte er part i, ref. GDPR artikkel 6 nr. 1 b) |
| **Særlige kategorier** | Opplysninger om fagforeninger, ref. GDPR artikkel 9 nr. 2 d) |
| **Supplerende rettsgrunnlag** | - |

**Vurdering:** Dette er en mer kompleks situasjon. GDPR artikkel 9 nr. 2 bokstav d) gjelder primært behandling utført av fagforeninger selv eller ideelle organisasjoner. For arbeidsgivers behandling av fagforeningsopplysninger i administrative systemer (f.eks. lønnssystemer for trekk av fagforeningskontingent), er det mer naturlig å vise til:

1. **Personopplysningsloven § 6**: "Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter."

2. **GDPR artikkel 9 nr. 2 bokstav b)**: Behandling som er nødvendig for å oppfylle forpliktelser og utøve rettigheter på arbeidsrettens område.

Imidlertid, dersom behandlingen faktisk skjer innenfor rammen av artikkel 9 nr. 2 bokstav d) (f.eks. at den ansatte selv har offentliggjort fagforeningsmedlemskapet, eller at behandlingen skjer i forbindelse med fagforeningens egen virksomhet), kan "-" være korrekt.

**Konklusjon:** Situasjonen er tvetydig. Dersom behandlingen gjelder arbeidsgivers håndtering av fagforeningskontingent eller lignende arbeidsrettslige forhold, bør supplerende rettsgrunnlag være:

> **Personopplysningsloven § 6**

Dersom behandlingen faktisk faller inn under artikkel 9 nr. 2 bokstav d) (fagforeningens egen behandling eller offentliggjorte opplysninger), er "-" korrekt.

**Anbefaling:** Avklar behandlingens art. For typiske arbeidsgiverfunksjoner, endre til "Personopplysningsloven § 6".

---

## Oppsummering

| Post | Kategori | Nåværende verdi | Anbefalt verdi | Begrunnelse |
|------|----------|-----------------|----------------|-------------|
| 1 | Forskning | - | - | Samtykke er selvstendig rettsgrunnlag |
| 3 | Helseanalyse | - | - | Samtykke er selvstendig rettsgrunnlag |
| 6 | Kvalitetssikring | - | - | Samtykke er selvstendig rettsgrunnlag |
| 12 | Administrative systemer | - | - | Samtykke er selvstendig rettsgrunnlag |
| 13 | Administrative systemer | - | Personopplysningsloven § 6* | *Avhengig av behandlingens art |

---

## Rettskilder

- Personvernforordningen (GDPR) artikkel 6 og 9
- Personopplysningsloven (lov 15. juni 2018 nr. 38) § 6
- Helseregisterloven (lov 20. juni 2014 nr. 43) §§ 2, 9, 19a
- Helseforskningsloven (lov 20. juni 2008 nr. 44) § 13

---

*Rapport utarbeidet: 12. januar 2026*