Behandlingsgrunnlag

Behandlingsgrunnlag

Alle behandlinger av personopplysninger må ha et behandlingsgrunnlag – også kalt rettslig grunnlag – for å være lov. Virksomheten må derfor ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn. Hvis ikke det finnes, er bruken av personopplysningene ulovlig. Her finner du en gjennomgang av de ulike behandlingsgrunnlagene og når de gjelder. 

Innledning

Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett grunnlag per formål.

Virksomheten har dessuten plikt til å informere den enkelte om på hvilket grunnlag personopplysningene deres behandles. Dere finner oversikt over alle behandlingsgrunnlagene i personvernforordningen artikkel 6.

Eksempel

En medlemsforening behandler både navn, e-postadresse og postnummer.

  • Formålet med navn er å vite hvem som er medlem i foreningen. Foreningen kan ikke oppfylle medlemsavtalen uten å vite hvem medlemmene er. Foreningen kommer frem til at behandlingsgrunnlaget er «nødvendig for avtale».
  • Formålet med e-postadressen er å sende ut markedsføring. Foreningen har kommet frem til at behandlingsgrunnlaget er «samtykke». Det betyr også at virksomheten må respektere den enkeltes ønsker hvis samtykket trekkes tilbake. Virksomheten kan ikke bytte behandlingsgrunnlag hvis samtykke trekkes tilbake eller samtykke ikke var gyldig innhentet.
  • Formålet med postnummer er todelt. For det første brukes postnummeret for å unngå navneforveksling, for eksempel dersom et medlem har et vanlig navn. For det andre brukes postnummer til å lage statistikk over geografisk spredning av medlemmer. 
    Foreningen kommer frem til at behandlingsgrunnlaget for behandling av postnummer for identifikasjon er «nødvendig for avtale» slik som navn. Når formålet er statistikk, er behandlingsgrunnlaget «interesseavveining».