Hopp til hovedinnhold

Kan en virksomhet behandle personopplysninger uten samtykke?

Personopplysningsloven § 8 sier at man må ha et grunnlag for å behandle personopplysninger, for eksempel gyldig samtykke. Man kan også behandle personopplysninger dersom man har hjemmel i lov.

Noen ganger er det upraktisk eller umulig å innhente gyldig samtykke for å behandle personopplysninger, og man har heller ikke hjemmel i lov. Da må man ha et annet grunnlag. Personopplysningsloven sier at man kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Dette er altså et selvstendig grunnlag i seg selv.

Dersom virksomheten skal behandle sensitive personopplysninger må den i tillegg ha et behandlingsgrunnlag i personopplysningsloven § 9 og søke om konsesjon.

Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. I kravet til nødvendighet ligger at man skal velge den behandlingen som er minst inngripende. Man må altså vurdere om man kan oppnå formålet på en måte som bedre ivaretar personvernet. Det er ofte spørsmålet om hva som veier tyngst – virksomhetens interesse eller personvernet – som byr på problemer.

Denne vurderingen vil alltid være skjønnsmessig, og vurderingen vil kunne slå ulikt ut fra sak til sak. Derfor er det virksomheten selv som i første omgang må foreta denne vurderingen. Vurderingen består av fire trinn. Det er mange ulike momenter som kan trekkes inn i vurderingen, og opplistingen nedenfor er ikke uttømmende.

Virksomhetens interesse

  • Hvilke fordeler oppnår virksomheten med behandlingen?
  • Hvor viktige er disse fordelene for virksomheten?
  • Har behandlingen offentlig interesse eller varetar den ideelle interesser som kommer flere til gode? (Dette er ikke et krav, men det kan tale i virksomhetens favør når interesseavveiningen skal foretas.)

Hensynet til personvernet

  • Hva slags personopplysninger er det snakk om? Er personopplysningene veldig beskyttelsesverdige eller sensitive? Er det snakk om personopplysninger som allerede er offentlige et annet sted?
  • Hvor mange enkeltpersoners personvern vil påvirkes av behandlingen?
  • Vil ulempene vare over tid?
  • Kobles ulike typer personopplysninger sammen?
  • Analyseres personopplysningene for å avdekke ukjente sammenhenger eller forutse adferd, interesser eller preferanser?
  • Vil personopplysningene offentliggjøres eller deles med andre virksomheter?
  • Hva mener de berørte (ansatte, kunder eller andre)?
  • Synes de at behandlingen av personopplysninger er krenkende?
  • Har personene en berettiget forventning om å få ha disse personopplysningene i fred?
  • Kan behandlingen ha positive konsekvenser for personene?
  • Kan behandlingen ha negative konsekvenser for personene, for eksempel ekskludering, diskriminering eller ærekrenkelse?
  • Er behandlingen egnet til skape frykt eller uro, eller kan den føre til at personer modererer egne utsagn eller adferd ut fra bekymring over at de blir overvåket (nedkjølingseffekt)?
  • Hva er risikoen for (altså sannsynligheten for og konsekvensene av) at personopplysninger kommer på avveier? Mer om risikovurdering
  • Er personen mindreårig?

Tiltak for å minimere personvernkonsekvensene

  • Er det adgang til å reservere seg mot behandlingen?
  • Har systemene innebygd personvern?
  • Har virksomheten iverksatt andre tiltak for å minimere personvernkonsekvensene?

Balansetesten

Til sist må virksomheten avgjøre om personvernet veier tyngre enn virksomhetens interesse. Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes uten samtykke dersom personvernkonsekvensene er små. Dersom personverkonsekvensene er større, må virksomhetens interesse i behandlingen være tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.

I mange tilfeller vil ikke inngrepet i personvernet være forholdsmessig. Da må virksomheten basere behandlingen på gyldig samtykke, hjemmel i lov eller et av de andre grunnlagene personopplysningsloven § 8 nevner (link til lovtekst).

Vi har laget veiledning om hvordan personvernet veier når det gjelder ulike former for behandling av personopplysninger, for eksempel:

Mange plikter og regler

Dersom virksomheten oppfyller vilkårene over, kan den behandle personopplysninger. Den må imidlertid samtidig følge lovens øvrige bestemmelser. For eksempel slår personopplysningsloven § 11 fast at opplysningene som samles inn ikke kan brukes til nye, uforenlige formål uten samtykke og at de må være relevante, tilstrekkelige, korrekte og oppdaterte. Eksempler på andre plikter etter loven er informasjonsplikten, sletteplikten, melde- og konsesjonsplikten og plikten til informasjonssikkerhet og internkontroll. Loven bygger på grunnleggende personvernprinsipper.

Til toppen