6.9 KiB
Juridisk Analyse: Supplerende Rettsgrunnlag for GDPR-behandlinger
Sammendrag
Denne rapporten analyserer fem poster i oversikten over rettsgrunnlag for behandling av personopplysninger der feltet "Supplerende rettsgrunnlag" er satt til "-". Analysen vurderer om dette er korrekt, eller om det bør angis et supplerende rettsgrunnlag i norsk lov.
Juridisk Bakgrunn
Samtykke som selvstendig rettsgrunnlag
Personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a) og artikkel 9 nr. 2 bokstav a) etablerer samtykke som et selvstendig og fullverdig rettsgrunnlag for behandling av henholdsvis alminnelige personopplysninger og særlige kategorier av personopplysninger.
Hovedregel: Når behandlingen er basert på samtykke, utgjør samtykket i seg selv det nødvendige rettsgrunnlaget. Det kreves normalt ikke supplerende hjemmel i nasjonal lovgivning.
Dette bekreftes av:
- Helseregisterloven § 9: "den registrerte samtykker" som selvstendig grunnlag for behandling
- Helseforskningsloven § 13: Samtykke som hovedregel for medisinsk og helsefaglig forskning
- Helseregisterloven § 19a: Krav om at mottaker kan godtgjøre rettslig grunnlag etter personvernforordningen artikkel 6 og 9
Avtale og fagforeningsopplysninger
For behandling basert på avtale (artikkel 6 nr. 1 bokstav b) kombinert med fagforeningsopplysninger (artikkel 9 nr. 2 bokstav d), gjelder særlige regler. GDPR artikkel 9 nr. 2 bokstav d) tillater behandling av fagforeningsopplysninger når:
"behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ som har et politisk, filosofisk, religiøst eller fagforeningsmessig formål [...] eller behandlingen gjelder personopplysninger som tydelig er offentliggjort av den registrerte"
Personopplysningsloven § 6 gir supplerende hjemmel for arbeidsforhold:
"Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter."
Analyse av Postene
Post 1: Forskning med samtykke
| Felt | Verdi |
|---|---|
| Kategori | Forskning |
| Personopplysninger | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| Særlige kategorier | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| Supplerende rettsgrunnlag | - |
Vurdering: Samtykke er et selvstendig rettsgrunnlag som ikke krever supplerende hjemmel i norsk lov. Helseforskningsloven § 13 bekrefter at samtykke er hovedregelen for medisinsk og helsefaglig forskning, men dette er en prosessuell regel, ikke et krav om supplerende hjemmel.
Konklusjon: "-" er korrekt. Ingen endring nødvendig.
Post 3: Helseanalyse med samtykke
| Felt | Verdi |
|---|---|
| Kategori | Helseanalyse |
| Personopplysninger | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| Særlige kategorier | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| Supplerende rettsgrunnlag | - |
Vurdering: Tilsvarende Post 1. Samtykkebasert behandling av helseopplysninger for helseanalyse krever ikke supplerende rettsgrunnlag utover GDPR-bestemmelsene. Helseregisterloven § 9 anerkjenner samtykke som selvstendig grunnlag.
Konklusjon: "-" er korrekt. Ingen endring nødvendig.
Post 6: Kvalitetssikringsprosjekter med samtykke
| Felt | Verdi |
|---|---|
| Kategori | Kvalitetssikringsprosjekter |
| Personopplysninger | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| Særlige kategorier | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| Supplerende rettsgrunnlag | - |
Vurdering: Kvalitetssikringsprosjekter basert på samtykke følger samme logikk som forskning og helseanalyse. Samtykket er tilstrekkelig rettsgrunnlag.
Konklusjon: "-" er korrekt. Ingen endring nødvendig.
Post 12: Administrative systemer med samtykke
| Felt | Verdi |
|---|---|
| Kategori | Administrative systemer |
| Personopplysninger | Samtykke, ref. GDPR artikkel 6 nr. 1 a) |
| Særlige kategorier | Samtykke, ref. GDPR artikkel 9 nr. 2 a) |
| Supplerende rettsgrunnlag | - |
Vurdering: Administrative systemer som behandler særlige kategorier av personopplysninger basert på samtykke, har tilstrekkelig rettsgrunnlag i GDPR artikkel 6 nr. 1 a) og artikkel 9 nr. 2 a).
Konklusjon: "-" er korrekt. Ingen endring nødvendig.
Post 13: Administrative systemer med avtale og fagforeningsopplysninger
| Felt | Verdi |
|---|---|
| Kategori | Administrative systemer |
| Personopplysninger | Avtale som den registrerte er part i, ref. GDPR artikkel 6 nr. 1 b) |
| Særlige kategorier | Opplysninger om fagforeninger, ref. GDPR artikkel 9 nr. 2 d) |
| Supplerende rettsgrunnlag | - |
Vurdering: Dette er en mer kompleks situasjon. GDPR artikkel 9 nr. 2 bokstav d) gjelder primært behandling utført av fagforeninger selv eller ideelle organisasjoner. For arbeidsgivers behandling av fagforeningsopplysninger i administrative systemer (f.eks. lønnssystemer for trekk av fagforeningskontingent), er det mer naturlig å vise til:
-
Personopplysningsloven § 6: "Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter."
-
GDPR artikkel 9 nr. 2 bokstav b): Behandling som er nødvendig for å oppfylle forpliktelser og utøve rettigheter på arbeidsrettens område.
Imidlertid, dersom behandlingen faktisk skjer innenfor rammen av artikkel 9 nr. 2 bokstav d) (f.eks. at den ansatte selv har offentliggjort fagforeningsmedlemskapet, eller at behandlingen skjer i forbindelse med fagforeningens egen virksomhet), kan "-" være korrekt.
Konklusjon: Situasjonen er tvetydig. Dersom behandlingen gjelder arbeidsgivers håndtering av fagforeningskontingent eller lignende arbeidsrettslige forhold, bør supplerende rettsgrunnlag være:
Personopplysningsloven § 6
Dersom behandlingen faktisk faller inn under artikkel 9 nr. 2 bokstav d) (fagforeningens egen behandling eller offentliggjorte opplysninger), er "-" korrekt.
Anbefaling: Avklar behandlingens art. For typiske arbeidsgiverfunksjoner, endre til "Personopplysningsloven § 6".
Oppsummering
| Post | Kategori | Nåværende verdi | Anbefalt verdi | Begrunnelse |
|---|---|---|---|---|
| 1 | Forskning | - | - | Samtykke er selvstendig rettsgrunnlag |
| 3 | Helseanalyse | - | - | Samtykke er selvstendig rettsgrunnlag |
| 6 | Kvalitetssikring | - | - | Samtykke er selvstendig rettsgrunnlag |
| 12 | Administrative systemer | - | - | Samtykke er selvstendig rettsgrunnlag |
| 13 | Administrative systemer | - | Personopplysningsloven § 6* | *Avhengig av behandlingens art |
Rettskilder
- Personvernforordningen (GDPR) artikkel 6 og 9
- Personopplysningsloven (lov 15. juni 2018 nr. 38) § 6
- Helseregisterloven (lov 20. juni 2014 nr. 43) §§ 2, 9, 19a
- Helseforskningsloven (lov 20. juni 2008 nr. 44) § 13
Rapport utarbeidet: 12. januar 2026