All behandling av personopplysninger reguleres av EUs personvernforordning og den norske personopplysningsloven. For noen formål (type prosjekt) vil helselover gjelde i tillegg. Hver behandling av personopplysninger må ha behandlingsgrunnlag i personvernforordningen artikkel 6, for å være lovlig. I tillegg må behandling av særlige kategorier personopplysninger oppfylle et av unntakene i artikkel 9. Behandlingen må også være i samsvar med eventuelle andre lover og forskrifter den er omfattet av.
For hvert behandlingsgrunnlag i art. 6 og for hvert unntak i art. 9 er det kriterier som må være oppfylt for at det skal kunne brukes når du behandler personopplysninger.
Det er viktig å være klar over at behandlingsgrunnlagene i personvernforordningen er likestilte. Hvis en behandling av personopplysninger oppfyller vilkårene i flere ulike behandlingsgrunnlag, kan man velge. Det er altså ikke slik at ett grunnlag (f.eks. samtykke) har forrang og bør velges fremfor et annet (f.eks. allmennhetens interesse). Det innebærer imidlertid ikke at alle behandlingsgrunnlagene kan brukes i alle typer prosjekter. Det sentrale når du skal bestemme behandlingsgrunnlag, er hvilke vilkår prosjektet er i stand til å oppfylle.
Det er også viktig å være klar over at behandlingsgrunnlaget er styrende for hvilke rettigheter den registrerte vil ha, og i hvilke tilfeller det kan gjøres unntak fra disse.
Noen av behandlingsgrunnlagene i personvernforordningen er “selvstendige”, i den forstand at det er tilstrekkelig å oppfylle vilkårene i det aktuelle grunnlaget for at behandlingen skal være lovlig. Samtykke er eksempel på et slikt grunnlag.
Andre behandlingsgrunnlag krever derimot et supplerende rettsgrunnlag. Det betyr at behandlingen må være tillatt i henhold til en bestemt lovhjemmel eller forskrift i norsk rett eller i unionsretten. Eksempler på slike behandlingsgrunnlag er “allmennhetens interesse” og “rettslig forpliktelse”. Når man bruker disse, må man oppfylle kravene både i det aktuelle behandlingsgrunnlaget i forordningen, og for eksempel lov-/forskriftshjemmelen som utgjør det supplerende rettsgrunnlaget.
Under gis det en oversikt over de ulike behandlingsgrunnlagene som er vanlig å bruke i forskning- og kvalitetssikringsprosjekter. Vi gir først en oversikt over behandlingsgrunnlagene i personvernforordningen og deretter en oversikt over supplerende rettsgrunnlag i norsk lov. Vi peker også på for hvilke typer prosjekter du kan bruke de ulike behandlingsgrunnlagene.
I kapittel 7.3 finner du en tabell der både prosjekttype og behandlingsgrunnlag er oppsummert. Der vil du også se hvordan behandlingsgrunnlagene i personvernforordningen og supplerende rettsgrunnlag henger sammen.