Artikkel 6 GDPR
De seks rettsgrunnlagene
Det er viktig for bedrifter å kjenne til de seks juridiske grunnlagene i GDPR. GDPR er en forkortelse for General Data Protection Regulation, som er en EU-forordning. Rettslig grunnlag er et annet ord for rettslig grunnlag, og et selskap som behandler personopplysninger må støtte enhver behandling på et av de juridiske grunnlagene.
De seks rettslige grunnlagene i GDPR
Hvis behandlingen av personopplysninger skjer uten rettslig grunnlag, er behandlingen ulovlig og utgjør et brudd på GDPR. I tillegg må selskapene overholde de andre elementene i GDPR, for eksempel behandling av personopplysninger i samsvar med de syv databeskyttelsesprinsippene.
Nedenfor er et sammendrag av de seks rettslige grunnlagene i EUs generelle databeskyttelsesforordning:
Samtykke i henhold til artikkel 6 (1) (a) GDPR
Samtykke er et relativt vanlig rettslig grunnlag for selskaper å støtte behandling av personopplysninger. Bruken av dette juridiske grunnlaget for behandling av personopplysninger er imidlertid ikke alltid hensiktsmessig eller tillatt.
Derfor er det nyttig for selskaper å først analysere om noe annet rettslig grunnlag, for eksempel kontrakter med den registrerte eller legitim interesse, er mer hensiktsmessig. Samtykke betyr at en person samtykker til behandling av hans eller hennes personopplysninger for flere eller et bestemt formål.
Vær oppmerksom på at samtykke skal kunne trekkes tilbake av den enkelte like enkelt som samtykke var. Hvis samtykket trekkes tilbake, opphører behandlingen av personopplysninger basert på samtykke. Hvis det er for vanskelig å trekke tilbake samtykket, er samtykket ikke gyldig.
I tilfelle av ulike maktforhold
I de fleste tilfeller er behandling av personopplysninger på grunnlag av samtykke ikke tillatt dersom det er ulike maktforhold mellom partene. Dette gjelder der den registrerte er den svakeste parten i forhold til den behandlingsansvarlige som ønsker å utføre behandlingen av personopplysningene. For eksempel mellom en arbeidsgiver og arbeidstaker, eller mellom en offentlig myndighet og borgere.
Dette er fordi det er vanskelig å bevise og sikre at samtykket er gitt fritt. I slike situasjoner der det er et ulikt maktforhold, kan den registrerte ikke være redd for å nekte behandling av personopplysningene. Samtykke er derfor ikke et passende rettslig grunnlag å bruke i tilfeller av ulike maktforhold. I stedet kan det juridiske grunnlaget for kontrakter med registrerte eller legitim interesse være mer hensiktsmessig å bruke.
Passiv godkjenning er forbudt
For at samtykke skal være gyldig under GDPR, må det aktivt gis. I tillegg, for å være gyldig, må samtykke gis fritt. Med andre ord, selskaper har ikke lov til å ha en krysset samtykkeboks på deres nettside, da det ikke anses å være et aktivt samtykke gitt av den aktuelle personen.
Kontrakter med registrerte i henhold til artikkel 6 (1) (b) GDPR
Et selskap som driver en e-handelsplattform og selger klær som leveres hjem til kunden, må behandle kundens personopplysninger, som navn og adresse, for å kunne utføre leveransen. Med andre ord utføres behandlingen med det formål å oppfylle foretakets forpliktelser i henhold til kontrakten som er inngått mellom foretaket og kunden.
Eksempler på felles kontrakter med registrerte
E-handel
Et selskap som driver en e-handelsplattform og selger klær som leveres hjem til kunden, må behandle kundens personopplysninger, som navn og adresse, for å kunne utføre leveransen. Med andre ord utføres behandlingen med det formål å oppfylle foretakets forpliktelser i henhold til kontrakten som er inngått mellom foretaket og kunden.
Personopplysninger om ansatte
Et annet eksempel er når en arbeidsgiver behandler den ansattes navn og bankkontoopplysninger for å kunne betale lønnen. En del av arbeidsgiverens forpliktelser i henhold til arbeidsavtalen er faktisk å betale arbeidstakerens godtgjørelse for arbeidet som utføres.
Vær oppmerksom på at selskaper ikke kan behandle flere personopplysninger enn det som er nødvendig for formålet de ble samlet inn for. For eksempel, hvis selskapet ønsker å behandle de samme og / eller flere personopplysninger for også å analysere kundeadferd, er det en egen behandling av personopplysninger. I slike tilfeller må selskapet også ha et juridisk grunnlag for denne behandlingen, og kontraktsmessige avtaler med den registrerte er ikke hensiktsmessige i dette tilfellet. Dette skyldes at denne behandlingen ikke er nødvendig for å utføre eller inngå en kontrakt med den registrerte. I stedet kan samtykke i slike tilfeller være et passende rettslig grunnlag å bruke.
Rettslig forpliktelse i henhold til artikkel 6 (1) (c) GDPR
I noen tilfeller kan det være andre lover eller forskrifter som pålegger et selskap som er behandlingsansvarlig, en forpliktelse til å behandle personopplysninger. Hvis det er nødvendig for virksomheten å behandle personopplysninger for å oppfylle en rettslig forpliktelse som virksomheten er underlagt, utføres behandlingen på grunnlag av en rettslig forpliktelse som rettslig grunnlag.
Eksempler på juridiske forpliktelser for selskaper:
- Føre registre over sine kommersielle transaksjoner.
- Rapportere skatter og trygde- og pensjonspremier til skattemyndighetene.
- Håndtering av klager og uttakssaker i samsvar med gjeldende obligatoriske forbrukervernlover.
- Varsle hendelser av noe slag til relevante myndigheter.
Dette betyr at selskapet kan behandle personopplysningene som er nødvendige for at selskapet skal oppfylle kravene i lov eller forskrift. Det er derfor viktig for bedrifter å vite hvilke spesifikke lover og regler som gjelder for deres virksomhet. Det kan være sektorspesifikke lover og regler å ta hensyn til, i tillegg til den mer generelle lovgivningen som gjelder for de fleste selskaper.
Beskyttelse av grunnleggende interesser i henhold til artikkel 6 (1) (d) GDPR
Når behandling er nødvendig for å beskytte den registrertes eller en annen fysisk persons vitale interesser, er det lovlig.
Et eksempel på en interesse av grunnleggende betydning kan bli funnet i betraktning 46 i GDPR. Dersom behandling av personopplysninger er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, bør behandlingen anses som lovlig. I disse tilfellene er det dessuten tillatt å behandle særlige kategorier av personopplysninger (også kalt sensitive personopplysninger). Eksempler på sensitive personopplysninger er opplysninger om den registrertes helse og religiøse overbevisning.
Når behandling av personopplysninger er nødvendig for å redde liv, er det derfor tillatt å behandle personopplysningene. Det er imidlertid viktig å merke seg at det også er klart at behandling av personopplysninger basert på en annen fysisk persons vitale interesser bare bør finne sted dersom behandlingen ikke åpenbart kan utføres på et annet juridisk grunnlag.
Nødvendig for å redde liv
Et eksempel på når det kan være nødvendig å behandle personopplysninger for å redde liv, er når en person faller inn i en alvorlig bilulykke og er bevisstløs ved ankomst til sykehuset. I slike tilfeller må sykehuset kanskje finne ut, for eksempel hvilken blodgruppe personen har, som er personopplysninger. Det er til og med sensitive personopplysninger når det gjelder opplysninger om helse. Vær oppmerksom på at bruk av dette juridiske grunnlaget ikke er tillatt hvis en person er klar over det. Hvis en person går til en lege for et bestilt besøk, er samtykke eller oppgave av generell interesse mer hensiktsmessig å bruke i stedet.
Utøvelse av offentlig myndighet og oppgaver i allmennhetens interesse i henhold til artikkel 6 (1) (e) GDPR
Behandling av personopplysninger er lovlig dersom det er nødvendig for å:
- a) utføre en oppgave i allmennhetens interesse, eller
- b) ved utøvelse av offentlig myndighet som er tillagt den behandlingsansvarlige.
Det er først og fremst offentlige myndigheter, kommuner og staten som behandler personopplysninger på dette rettslige grunnlaget. Det gjelder imidlertid også for behandling av personopplysninger som utføres av visse private operatører. For eksempel et selskap som utfører skoleaktiviteter eller et helseforetak.
Utøvelse av offentlig myndighet
Staten kan betro et selskap med makt til å bestemme borgere av landet. Dette kan innebære å bestemme seg for visse rettigheter eller forpliktelser. Når lærere i en kommunal skole gir karakterer til elevene sine, er dette et eksempel på utøvelse av offentlig myndighet. Det samme gjelder når en myndighet utsteder byggetillatelser.
Oppgaver av allmenn interesse
Både private aktører og statlige myndigheter kan utføre oppgaver som er av offentlig interesse. For eksempel oppgaven med å drive offentlig transport, lufttransport, helsetjenester eller privat skolevirksomhet.
Dersom et foretak ikke er helt sikker på om det faktisk utfører en oppgave i allmennhetens interesse, bør det vurdere et annet rettslig grunnlag for behandling av personopplysningene. For eksempel vil dette juridiske grunnlaget bli brukt av et foretak som har data av offentlig interesse og behandler personopplysninger for arkiveringsformål. Dette er underlagt en juridisk forpliktelse til å beholde dataene, for eksempel for å kunne gi tilgang til data av varig verdi for allmennhetens interesse.
Berettiget interesse i henhold til artikkel 6 (1) (f) GDPR
Når et foretak eller en tredjepart har en berettiget interesse, kan personopplysninger som er nødvendige for å oppnå det aktuelle formålet og den aktuelle berettigede interessen, behandles. Dette forutsetter imidlertid at den registrertes grunnleggende friheter, rettigheter og interesser ikke overstyrer og krever beskyttelse av personopplysninger.
Vær oppmerksom på at myndighetene ikke kan bruke det juridiske grunnlaget ved behandling av personopplysninger.
Videre har de registrerte rett til å protestere mot behandlingen av sine personopplysninger etter en interesseavveining, men dette betyr ikke automatisk at selskapet må avbryte behandlingen. I slike tilfeller må imidlertid selskapet utføre en ny analyse og kunne påvise at deres behov og interesser fortsatt veier tyngre enn den registrertes.
Gjennomføre en interesseavveining og dokumentere vurderingen
For å avgjøre om den har en legitim interesse eller ikke, må en enhet utføre en legitim interessevurdering. Det er viktig at den gjennomførte analysen dokumenteres skriftlig.
Eksempler på når et selskap kan anses å ha en berettiget interesse er når selskapet søker å forhindre svindel, eller ved direkte markedsføring gjennom utsendelse til tidligere kunder.
Derimot, dersom foretaket i sin interesseavveining konkluderer med at den registrertes grunnleggende friheter, rettigheter og interesser overstyrer og krever vern av personopplysninger, kan det ikke behandle personopplysningene for det aktuelle tiltenkte formål på grunnlag av dette rettslige grunnlaget.
Det som er viktig å huske på er at en interesseavveining må utføres før behandling av personopplysninger utføres på grunnlag av dette juridiske grunnlaget.
Mer informasjon om GDPR
Det finnes syv prinsipper for databeskyttelse
Det er viktig for et selskap å vite om både de seks juridiske grunnlagene i GDPR og de syv databeskyttelsesprinsippene. Artikkel 5 i GDPR beskriver prinsippene. På denne nettsiden finner du informasjon om hvert personvernprinsipp som reguleres av GDPR. De er grunnlaget for GDPR, og alle selskaper må følge prinsippene ved behandling av personopplysninger.