Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5. Supplerende rettsgrunnlag

For å kunne bruke enkelte av behandlingsgrunnlagene i personvernforordningen artikkel 6, kreves det et supplerende rettsgrunnlag, jf. personvernforordningen Artikkel 6. Behandlingens lovlighet nr. 3 (lovdata.no).[43 - OK?] Det samme gjelder bruk av enkelte særlige grunnlag i personvernforordningen Artikkel 9. Behandling av særlige kategorier av personopplysninger nr. 2 (lovdata.no). Se for eksempel grunnlaget «viktige allmenne interesser», «yte helsetjenester», «allmenne folkehelsehensyn» og «arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål».

Supplerende rettsgrunnlag kreves ved bruk av behandlingsgrunnlagene:

  • nødvendig for å oppfylle en rettslig forpliktelse, og
  • nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet

Krav om supplerende rettsgrunnlag betyr at virksomheten ikke kan basere seg på personvernforordningens behandlingsgrunnlag alene. Det må i tillegg finnes norsk lovgivning som regulerer behandlingen av personopplysninger og som virksomheten er omfattet av. Det supplerende rettsgrunnlaget må være fastsatt i lov eller forskrift. Det er også antatt at vedtak som er fattet med hjemmel i lov eller forskrift kan være tilstrekkelig som et supplerende rettsgrunnlag, jf. Skullerud (2021) lovkommentar til personvernforordningen Artikkel 6.

Det supplerende rettsgrunnlaget må gjøre det nødvendig å behandle personopplysninger. Det behøver imidlertid ikke eksplisitt stå at virksomheten skal behandle personopplysninger, for at det skal kunne være et supplerende rettsgrunnlag, jf. Skullerud (2021) lovkommentar til personvernforordningen Artikkel 6 og PVN-2020-13.

Virksomheten må ikke kunne påvise en egen bestemmelse for hver enkelt behandling. En lov kan for eksempel være tilstrekkelig som supplerende rettsgrunnlag for flere behandlingsaktiviteter, jf. personvernforordningen fortalepunkt 45.

Formålet med behandlingen skal være fastsatt i det supplerende rettsgrunnlaget, jf. personvernforordningen Artikkel 6. Behandlingens lovlighet nr. 3 (lovdata.no). Det betyr at regelverket som behandlingen er hjemlet i, må si noe om hvorfor virksomheten kan eller skal behandle personopplysningene. Ofte vil lover ha en formålsbestemmelse som vil være relevant. Et eksempel er helsepersonelloven § 1 hvor det står at formålet med loven er «å bidra til sikkerhet for pasienter og kvalitet i helse- og omsorgstjenesten samt tillit til helsepersonell og helse- og omsorgstjenesten».

Det finnes flere lover og forskrifter med særregler om behandling av helseopplysninger som gir virksomheter i helse- og omsorgssektoren supplerende rettsgrunnlag ved ytelse av helsehjelp. Se Vedlagt eksempel på vurdering av behandlingsgrunnlag i helse- og omsorgssektoren.

Eksempel på vurdering av behandlingsgrunnlag i helse- og omsorgssektoren (PDF).


Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 01. desember 2021