Uttrykkelig samtykke
Behandling av særlige kategorier personopplysninger er tillatt dersom den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, jf. personvernforordningen art. 9.2 a). Som forklart over i kapittel 7.5.1. Innebærer grunnkravene til samtykke at et samtykke skal være både utvetydig og spesifikt. Når særlige kategorier personopplysninger behandles basert på samtykke, stilles det i tillegg et krav til at samtykket er "uttrykkelig". Med andre ord er kravet til samtykket skjerpet.
Begrepet “uttrykkelig” handler om måten den registrerte gir samtykket på. Den registrerte må gi en uttrykkelig samtykkeerklæring. Det kan f.eks. skje gjennom en skriftlig samtykkeerklæring, utfylling av et elektronisk skjema, via BankID, elektronisk signatur eller totrinns-verifisering.
Nødvendig for arkivformål, forskning og statistikk
Personvernforordningen art. 9 nr. 2 j) åpner for at personopplysninger kan behandles når det er nødvendig for “arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål”. Også her må du dokumentere en begrunnelse for at prosjektets formål har nytteverdi for samfunnet, og at det er nødvendig for dette formålet å behandle de særlige kategoriene personopplysninger. Du må også dokumentere at prosjektet oppfyller vilkårene i personvernforordningen art. 89 nr. 1 (om nødvendige garantier for å sikre den registrertes rettigheter og friheter),og et supplerende rettsgrunnlag i norsk lov.
Det innebærer for det første at behandlingen av personopplysninger i prosjektet må være forholdsmessig – det må være et rimelig forhold mellom formålet og personvernrisikoen for de registrerte. For det andre må du dokumentere at prosjektet setter inn egnede tiltak som gir et tilstrekkelig vern av de registrertes rettigheter og friheter.
Eksempler på slike tiltak kan være dataminimering og pseudonymisering. Andre eksempler kan være at prosjektet innhenter samtykke fra den registrerte selv om det ikke er behandlingsgrunnlaget. Og videre at prosjektet følger regler som følger av helselovgivningen for øvrig, som f. eks krav til taushetsplikt etter helsepersonelloven eller kravene i helseforskningsloven.
Nødvendig for forebyggende medisin, yting og/eller forvaltning av helsetjenester mm.
Personvernforordningen art. 9 nr. 2 h) åpner for at særlige kategorier personopplysninger kan behandles når det er nødvendig “i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og –systemer».
Dette behandlingsgrunnlaget kan derfor brukes i kvalitetssikring. Det gjelder både for prosjekttypene “intern kvalitetssikring” og “kvalitetssikring på tvers”. Du må kunne dokumentere at prosjektets formål faller inn under formålet som er beskrevet i personvernforordningen, og at det er nødvendig å behandle de aktuelle personopplysningene til dette formålet. I tillegg må prosjektet oppfylle vilkårene i et supplerende rettsgrunnlag i norsk lov.
I kvalitetssikringsprosjekter der Helsedirektoratet har fattet vedtak om dispensasjon fra taushetsplikten, er det praksis at dette fungerer som et behandlingsgrunnlag sammen med art. 9 nr. 2 g og i, se omtale om disse behandlingsgrunnlagene under.
Nødvendig av hensyn til viktige allmenne interesser
Personvernforordningen art. 9 nr. 2 g) åpner for at særlige kategorier personopplysninger kan behandles hvis det er nødvendig av hensyn til «viktige allmenne interesser». På samme måte som over må du da kunne dokumentere en begrunnelse for at prosjektets formål har nytteverdi for samfunnet, og at det er nødvendig for dette formålet å behandle de særlige kategoriene personopplysninger.
Du må også dokumentere at prosjektet oppfyller vilkårene i et supplerende rettsgrunnlag i norsk lov, som viser at behandlingen er forholdsmessig (nytte vs. risiko) og at dere setter inn egnede tiltak for å verne den registrertes rettigheter og friheter. Dette behandlingsgrunnlaget kan være aktuelt å bruke f.eks. i kvalitetssikringsprosjekter.
Nødvendig av allmenne folkehelsehensyn
Personvernforordningen art. 9 nr. 2 i) åpner for at særlige kategorier personopplysninger kan behandles når det er nødvendig “av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr.”
For å bruke dette behandlingsgrunnlaget må formålet med prosjektet falle innunder begrepet “allmenne folkehelsehensyn”, slik det er beskrevet i loven, og du må dokumentere at det er nødvendig for formålet å behandle de særlige kategoriene personopplysninger. Du må også dokumentere at prosjektet oppfyller vilkårene i et supplerende rettsgrunnlag i norsk lov, og at prosjektet setter inn egnede tiltak, som f. eks taushetsplikt, for å verne den registrertes rettigheter og friheter. Dette behandlingsgrunnlaget kan være aktuelt å bruke i forsknings- og kvalitetssikringsprosjekter i samsvar med formålet nevnt over.
Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte selv har offentliggjort
Behandling av særlige kategorier personopplysninger er også lovlig dersom «behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort», jf. personvernforordningen art. 9 nr. 2 e). Dette behandlingsgrunnlaget kan f.eks. være aktuelt ved forskning på personopplysninger hentet fra sosiale medier. Det er da tilstrekkelig å oppfylle kravene som personvernforordningen gir, fordi dette behandlingsgrunnlaget ikke krever supplerende grunnlag i norsk rett.
Viktige forutsetninger er at opplysningene faktisk er publisert av den det gjelder, og at vedkommende er i rimelig stand til å forstå konsekvensene av publiseringen. Det kan f.eks. ikke vises til dette behandlingsgrunnlaget hvis personopplysninger er publisert av et barn eller en person med demens. Prosjektet og din institusjon har ansvar for å sikre og påvise at vilkårene er oppfylt.
Ved forskning med internettbaserte kilder kan det i en del tilfeller være rimelig å anta at opplysningene er lagt ut av den registrerte selv, og at den registrerte forstår hva det innebærer. Men hvis det er vanskelig å dokumentere dette, vil det være «tryggere» å undersøke og dokumentere at dette faktisk er riktig, eller vise til et annet behandlingsgrunnlag.