R83-00-32016R0679
R83-00-32016R0679 - Rundskriv til personopplysningsloven og personvernforordningen - Behandlingsgrunnlag
Rundskriv til personopplysningsloven og personvernforordningen - Behandlingsgrunnlag
Kapitteloversikt
- Generelt om personvernregelverket
- Artikkel 6. Behandlingens lovlighet
-
Hvordan skal bestemmelsen forstås?
- Artikkel 6 nr. 1 bokstav a – Samtykke
- Artikkel 6 nr. 1 bokstav b – Nødvendig for å oppfylle en avtale
- Artikkel 6 nr. 1 bokstav c – Nødvendig for å oppfylle en rettslig forpliktelse
- Artikkel 6 nr. 1 bokstav d – Nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser
- Artikkel 6 nr. 1 bokstav e – Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet
- Artikkel 6 nr. 1 bokstav f – Nødvendig for formål tilknyttet en berettiget interesse
- Artikkel 6 nr. 2 – Nasjonale tilpasningsbestemmelser
- Artikkel 6 nr. 3 – Kravet til supplerende rettslig grunnlag
- Artikkel 6 nr. 4 – Viderebehandling til nye formål
Opprettet 29.01.2024. Eier og ansvarlig for dette rundskrivet er Arbeids- og velferdsdirektoratet ved Juridisk avdeling.
Sist endret 19.12.2025, se Artikkel 6 nr 4 – Hvordan skal bestemmelsen forstås og avsnitt markert 12/25
Generelt om personvernregelverket
EUs personvernforordning trådte i kraft 20. juli 2018, og er gjort gjeldende i Norge gjennom personopplysningsloven § 1, slik at den har direkte virkning som norsk lov. Dette i likhet med de andre EU-forordningene som Norge har sluttet seg til gjennom EØS-avtalen. Forordningen erstattet EUs personverndirektiv av 1995 (direktiv 95/46 EF). Forordningen er gjennomført i Norge gjennom inkorporasjon. Det innebærer at ved motstrid vil reglene i forordningen gå foran norske regler. Forordningen åpner for at det gjøres nasjonale tilpasninger på en del områder, og det har også blitt vedtatt en del slike nasjonale særreguleringer, som blant annet følger av personopplysningsloven. Formålet med forordningen er at den skal sikre et grunnleggende vern av fysiske personers rettigheter og friheter når deres personopplysninger behandles, jf. personopplysningsloven § 2, jf. artikkel 1.
Virkeområdet til forordningen følger av personopplysningsloven § 2 og § 4, jf. artikkel 2 og artikkel 3, hvor det fremgår at den gjelder all behandling av personopplysninger, både automatisert og ikke-automatisert, som skal være del av et register eller datasystem. Videre gjelder den som utgangspunkt for all behandling av personopplysninger som enten gjelder innbyggere i EU/EØS, og/eller av virksomheter som tilhører EU/EØS. Dette gjelder uavhengig av om behandlingen gjøres innenfor EU/EØS. Virkeområdet er dermed svært vidt, og innebærer at all behandling av personopplysninger som gjøres i både private og offentlige virksomheter omfattes. Det er imidlertid noen få unntak. Det gjelder blant annet bruk av personopplysninger utenom unionsretten, til personlige og familiemessige aktiviteter, til journalistiske formål og til aktiviteter tilknyttet strafferettspleien.
Dette rundskrivet gir en gjennomgang av reglene i personvernforordningen som stiller krav til at det må vises til et rettslig grunnlag (behandlingsgrunnlag) for å kunne behandle personopplysninger på en lovlig måte. Personvernforordningen stiller også en rekke andre krav til behandlingen av personopplysninger, for at behandling av personopplysninger skal være lovlig. Eksempelvis at behandlingen skal være begrenset til et spesifikt formål, at den registrerte skal være informert om behandlingen og at informasjonssikkerheten er tilstrekkelig ivaretatt. Vi kommer nærmere inn på de av kravene som har en tilknytning til artikkel 6. Rundskrivet gir også en gjennomgang av hvilke vurderinger som må gjøres for å klarlegge om NAV har behandlingsgrunnlag for en behandling. Rundskrivet er skrevet for NAV sin virksomhet, og det er derfor lagt vekt på de bestemmelsene og behandlingsgrunnlagene som er mest aktuelle for NAV.
Artikkel 6. Behandlingens lovlighet
Sist endret 18.09.2025, se avsnitt markert 9/25
Generelt om artikkel 6
Det følger av personvernforordningen artikkel 5 nr. 1 bokstav a at personopplysninger for det første skal «behandles på en lovlig, rettferdig og åpen måte». Dette prinsippet ligger til grunn for at det etter artikkel 6 kreves et rettslig grunnlag for at det skal være lov til å behandle personopplysninger. «Behandling» av personopplysninger er definert i artikkel 4 nr. 2 som enhver operasjon som gjøres med personopplysninger. Det innebærer blant annet å innhente, ha tilgang til, lese, lagre, sammenstille, analysere, anonymisere, slette og utlevere personopplysninger, m.m. Kravet om rettslig grunnlag gjelder alle former for behandling av personopplysninger.
Det følger videre av artikkel 5 nr. 1 bokstav b at personopplysninger skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål». Dette prinsippet om formålsbegrensning henger nært sammen med kravet om at behandlinger skal ha et rettslig grunnlag, fordi formålet med behandlingen må være dekket av det rettslige grunnlaget med behandlingen.
Personvernforordningen artikkel 6 nr. 1, bokstavene a – f, lister opp ulike alternative behandlingsgrunnlag for å behandle alminnelige personopplysninger. Det vil si alle opplysninger som kan knyttes til en bestemt fysisk person enten direkte eller indirekte. I forordningen omtales personen opplysningene gjelder som «den registrerte», jf. definisjonen i artikkel 4 nr. 1. Noen av opplysningene vil i seg selv identifisere personen, som navn og personnummer. Andre opplysninger kan identifisere en person indirekte ved at opplysningene settes sammen, eksempelvis adresse, kjønn og alder.
Særlige kategorier personopplysninger
artikkel 6 åpner for å behandle alminnelige personopplysninger. Dersom det er behov for å behandle særlige kategorier av personopplysninger eller personopplysninger om straffedommer eller lovovertredelser, må det i tillegg være et særskilt grunnlag for behandlingen, jf. artikkel 9 eller artikkel 10.
Hvilke opplysninger som regnes som særlige kategorier personopplysninger er uttømmende opplistet i artikkel 9 nr. 1, og omfatter blant annet opplysninger om helse, seksuell legning, etnisk opprinnelse, biometriske opplysninger, fagforeningsmedlemskap og politisk oppfatning. Hovedregelen er at det er forbudt å behandle særlige kategorier av personopplysninger, med mindre behandlingen faller inn under et av unntakene i artikkel 9 nr. 2. De mest aktuelle unntakene for NAV, følger av bokstav b og er aktuelle når vi skal behandle personopplysninger for formålet å ivareta brukeres rettigheter og våre forpliktelser på området arbeidsrett, trygderett og sosialrett. Videre er det aktuelt for NAV med unntaket som følger av bokstav j, altså når det er nødvendig for arkivformål eller formål som gjelder forskning eller statistikk. I noen tilfeller kan det også være aktuelt med unntaket som følger av bokstav a, som åpner for å behandle særlige kategorier personopplysninger når den registrerte samtykker til det. Les mer om samtykke nedenfor under omtalen av artikkel 6 nr. 1 bokstav a.
Opplysninger om straffedommer og lovovertredelser regnes ikke som særlige kategorier personopplysninger, men er likevel underlagt begrensninger og kan kun behandles under visse forutsetninger, jf. artikkel 10.
Tidspunktet for vurderingen av om NAV har rettslig grunnlag
Kravet til at vi må ha et rettslig grunnlag for å behandle personopplysninger, betyr at det må være avklart at det er et slikt rettslig grunnlag før behandlingen starter, det vil si før man begynner å innhente personopplysninger. Det kan foreligge flere rettslige grunnlag for én behandling. Behandlingsgrunnlaget må være gjeldende under hele behandlingen. Hvis ikke dette er tilfellet eller grunnlaget faller bort, er behandlingen ikke lenger lovlig. Behandlingsgrunnlaget kan for eksempel falle bort hvis behandlingen er basert på samtykke, og den behandlingsansvarlige gjør en behandling som går utover det som det er samtykket til. Det vil være tilfellet dersom det er samtykket til å gjøre analyse basert på personopplysninger fra to registre eller datasystemer, mens den behandlingsansvarlige også kobler dette mot personopplysninger fra et tredje register. Det vil også være i strid med samtykket, dersom opplysningene brukes for et annet formål, som ikke er dekket av samtykket.
Noen behandlingsgrunnlag krever et supplerende rettslig grunnlag
[Endret 9/25]
artikkel 6 inneholder en uttømmende liste over de ulike rettslige grunnlagene som kan brukes. Grunnlagene som gjelder utøvelse av offentlig myndighet og rettslig forpliktelse, krever at det er bestemmelser i unionsretten eller i den nasjonale lovgivningen som hjemler formålet med behandlingen. Dette kaller vi «supplerende rettslig grunnlag». Det vil i praksis si hjemmel i norsk lov eller forskrift. For Arbeids- og velferdsetaten som forvaltningsvirksomhet vil det være bestemmelser i folketrygdloven, arbeidsmarkedstiltaksloven, forvaltningsloven, NAV-loven m.fl., jf. NAV-loven § 4 andre ledd og NAV-loven § 4 a første ledd som utgjør det supplerende rettslige grunnlaget.
Den ansvarlige for behandlingen av personopplysninger må da ta stilling til og dokumentere både behandlingsgrunnlag og hvilket supplerende rettslig grunnlag som skal legges til grunn, før behandlingen av personopplysninger kan starte. All behandling av personopplysninger skal være basert på et rettslig grunnlag som gir NAV som behandlingsansvarlig rett til å kunne behandle personopplysninger. Hvilket behandlingsgrunnlag som benyttes, kan ha betydning for hvilke rettigheter den registrerte har, for eksempel retten til dataportabilitet og retten til å protestere mot behandling av personopplysninger. Les mer om kravet til supplerende rettslig grunnlag i omtalen av artikkel 6 nr. 3.
Behandlingen må være nødvendig
For at en behandling av personopplysninger skal være lovlig, er det et grunnkrav for alle behandlingsgrunnlagene, at det må være «nødvendig» å behandle de aktuelle personopplysningene for å oppnå formålet med behandlingen. Det følger også av dataminimeringsprinsippet i artikkel 5 nr. 1 bokstav c og betyr at den som skal behandle personopplysninger må gjøre en konkret vurdering av hvilke personopplysninger som må innhentes for å gjennomføre behandlingen, og om behandlingen NAV ønsker å gjøre faktisk er nødvendig for å oppnå formålet. Derfor er det også viktig at behandlingsansvarlig angir et uttrykkelig formål med behandlingen, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Det er dermed ikke tilstrekkelig at det kan være nyttig å behandle de aktuelle opplysningene. Dersom det finnes mindre inngripende måter å oppnå formålet på, er utgangspunktet at behandlingen ikke er nødvendig. Behandlingen må imidlertid ikke være absolutt nødvendig. Hvis den mindre inngripende behandlingen er forsøkt tidligere uten å oppnå formålet, er vanskelig å gjennomføre i praksis, eller er svært ineffektiv, kan behandlingen allikevel være å anse som nødvendig. Det må altså gjøres en helhetlig vurdering av den behandlingen av personopplysninger NAV ønsker å gjøre.
Adgangen til å endre behandlingsgrunnlag underveis
Det må som nevnt være et rettslig grunnlag under hele behandlingen, og behandlingsgrunnlaget skal ikke endres etter at behandlingen er påbegynt. Hvis behandlingsgrunnlaget bortfaller underveis i behandlingen, for eksempel fordi et samtykke trekkes tilbake, innebærer det som utgangspunkt at behandlingen må stanses og personopplysningene slettes.
Dersom det skjer endringer i det supplerende rettsgrunnlaget, må det vurderes om behandlingen er dekket av det nye eller et annet supplerende rettsgrunnlag. Dette kan være aktuelt dersom for eksempel én lov- eller forskriftsbestemmelse oppheves eller endres, mens det etter en vurdering kan konkluderes med at det er en annen hjemmel som dekker behandlingen av personopplysninger.
Hvordan skal bestemmelsen forstås?
19.12.2025, se avsnitt markert 12/25
Artikkel 6 nr. 1 bokstav a – Samtykke
Samtykke fra den registrerte er et av de aktuelle rettslige grunnlagene for å behandle personopplysninger. Den registrerte må da på forhånd ha gitt et frivillig og tydelig samtykke til behandlingen av personopplysningene sine for et konkret formål. Et samtykke vil oppfylle kravet til rettslig grunnlag etter forordningen, men kan ikke brukes for å avtale seg bort fra kravene som stilles ellers i forordningen. Samtykket gjelder som utgangspunkt kun for opplysninger om den registrerte selv, og omfatter ikke behandling av personopplysninger om andre, eksempelvis den registrertes venner og familie. Det kan i noen tilfeller gjelde et unntak fra dette for personopplysninger som gjelder den registrertes barn, som foreldre kan samtykke til at behandles.
Samtykke er definert i forordningen artikkel 4 nr. 11, med presiseringer i fortalepunkt 32 og 42 (forarbeidene til forordningen), til å være en spesifikk og utvetydig viljeserklæring, hvor den registrerte gir tillatelse til at en virksomhet kan bruke spesifikke personopplysninger. Et av vilkårene som stilles for at samtykket skal være gyldig, er at det skal være informert. Det er ingen krav til hvilken informasjon som skal gis. Men det må gis informasjon slik at den registrerte får tilstrekkelig anledning til å forstå hva samtykket gjelder, omfanget av behandlingen og hvilke konsekvenser den kan få. I praksis bør det derfor informeres om hvilke personopplysninger som samles inn, hvordan de skal brukes og om hva som er formålet med behandlingen.
Videre må erklæringen være gitt frivillig og gjennom en aktiv handling. Samtykket må ikke være avgitt av frykt for å miste eventuelle rettigheter. Det stilles egne vilkår for samtykke i artikkel 7 og artikkel 8. NAV må kunne dokumentere at den registrerte har samtykket til behandlingen, og det må være mulig for personen å trekke tilbake samtykket. Dersom opplysningene skal brukes til flere formål, må den registrerte kunne velge om hen ønsker å samtykke til hvert enkelt formål individuelt. Hvis det ikke er mulig å samtykke til hvert enkelt formål, vil det kunne stilles spørsmål om hvorvidt samtykket var frivillig.
For at et samtykke skal være gyldig, kreves det at den som samtykker har samtykkekompetanse. Det betyr at personen må ha myndighet til å gi sitt samtykke, og evne å forstå hva det betyr å samtykke til behandlingen og konsekvensene av det. Det er særskilt regulert når barn kan samtykke til behandling av personopplysninger for bruk av informasjonssamfunnstjenester som er rettet mot barn. Med «informasjonssamfunnstjenester» menes i praksis de fleste tjenester som kan lastes ned eller bestilles over internett, eksempelvis apper for sosiale medier til telefon eller PC. Ifølge forordningen er aldersgrensen for å samtykke i slike tilfeller 16 år, jf. artikkel 8. Bestemmelsen åpner i siste setning i nr. 1 for at det kan fastsettes lavere aldersgrenser i den nasjonale lovgivningen, og det har Norge gjort i personopplysningsloven § 5 som fastsetter en aldersgrense på 13 år. Dette er altså en særregulering i norsk lov, som går foran forordningen for barns adgang til å samtykke til denne typen tjenester i Norge. Før dette må foreldrenes samtykke innhentes for at samtykket skal være gyldig.
Det skjeve maktforholdet mellom en bruker og NAV er hovedårsaken til at må vi være varsomme med å benytte samtykke som behandlingsgrunnlag. Et samtykke i relasjon til offentlig myndighetsutøvelse og tjenesteytelse er derfor sjelden et gyldig behandlingsgrunnlag, se også fortalepunkt 43. En bruker som har søkt om eller mottar en ytelse fra NAV, kan lett tro at det vil kunne påvirke egen sak, om hen ikke samtykker til å delta i en undersøkelse eller liknende, dersom forespørselen oppleves å være i nær tilknytning til søknaden eller vedtaket om ytelsen. I slike tilfeller kan det være tvilsomt om samtykket i realiteten er frivillig. Et annet eksempel hvor det kan være problematisk å benytte samtykke, er i arbeidsforhold.
Vilkårene som stilles for at et samtykke skal være frivillig, og dermed gyldig, medfører også at det i praksis er få tilfeller hvor det er mulig for NAV og andre offentlige myndigheter å benytte samtykke som behandlingsgrunnlag. Mesteparten av NAVs behandlinger gjøres som et ledd i å utføre oppgavene vi har i tjeneste- og ytelsesforvaltningen. Det ville ikke være mulig å utføre disse oppgavene dersom den registrerte eksempelvis til enhver tid skulle kunne trekke tilbake samtykket. Det er noen tilfeller hvor vi kan bruke samtykke som behandlingsgrunnlag, men vi må være varsomme, slik at vi sørger for å bruke det kun når vilkårene er oppfylt. Det kan være aktuelt i eksempelvis arbeid med brukerinnsikt og tjenesteutvikling, men det krever grundige vurderinger, særlig av hvordan kravet til frivillighet vil ivaretas. Det må da vurderes om det er åpenbart for brukeren at deltakelsen ikke vil påvirke en pågående sak hos NAV og at det er helt frivillig å delta i en undersøkelse. Det er NAV som er ansvarlig for å dokumentere at behandlingen av personopplysninger var frivillig og informert for den som har samtykket.
Andre eksempler på når det kan være aktuelt for NAV å bruke samtykke, er ved utlevering av personopplysninger til forsikringsselskap etter brukers eget ønske, intervjuer, spørreundersøkelser og brukertest av løsningene våre.
Artikkel 6 nr. 1 bokstav b – Nødvendig for å oppfylle en avtale
Personopplysninger kan behandles når det er nødvendig enten for å oppfylle en avtale som den registrerte er part i, eller for å gjøre tiltak etter den registrertes ønske før en avtale inngås. Det må dermed gjøres en vurdering av om behandlingen av de aktuelle personopplysningene er objektivt nødvendige for å inngå eller å oppfylle avtalen. Det er ikke tilstrekkelig at det er opplysninger som kan være nyttige eller forenkler prosessen med å inngå eller å gjennomføre avtalen. Det betyr at personopplysningene ikke kan behandles hvis det finnes mindre inngripende måter å oppnå formålet på. For å inngå en avtale om kjøp av et produkt, kan det eksempelvis bare innhentes opplysninger om fødselsdato med dette behandlingsgrunnlaget, hvis det er en aldersgrense for å kjøpe produktet. Hvis den behandlingsansvarlige ønsker å innhente opplysninger som ikke er nødvendig for å inngå eller oppfylle avtalen, må derfor et annet rettslig grunnlag benyttes.
Dette behandlingsgrunnlaget er aktuelt for NAV som arbeidsgiver når vi behandler personopplysninger om ansatte, eksempelvis i ansettelsesprosesser, arbeidsavtale og behandling av personopplysninger etter at avtale er inngått for å følge opp den ansatte og utbetale lønn. Andre tilfeller hvor dette er et aktuelt grunnlag er når NAV inngår avtaler med leverandører og har behov for å behandle kontaktopplysninger om ansatte hos en leverandør det inngås avtale med.
Artikkel 6 nr. 1 bokstav c – Nødvendig for å oppfylle en rettslig forpliktelse
Dersom NAV har en rettslig forpliktelse til å gjøre en oppgave som følger av lov, forskrift, vedtak eller annet rettslig grunnlag i unionsretten eller i norsk rett, og det er nødvendig å behandle personopplysninger for å utføre oppgaven, har vi et gyldig behandlingsgrunnlag. Etter artikkel 6 nr. 3 stilles det krav om at det må foreligge et supplerende rettslig grunnlag for at artikkel 6 nr. 1 bokstav c kan være et gyldig behandlingsgrunnlag. Det betyr at det må følge av lov, forskrift eller vedtak fattet med hjemmel i lov eller forskrift, eller unionsretten at behandlingsansvarlig har en slik forpliktelse. Dersom det er nødvendig med flere behandlingsaktiviteter for å oppfylle den rettslige forpliktelsen, kan det samme rettslige grunnlaget brukes.
Dette alternativet kan kun benyttes i tilfeller hvor det følger en klar forpliktelse av en lov eller forskrift, som innebærer at den behandlingsansvarlige må behandle personopplysninger for å utføre oppgaven. Dette alternativet kan dermed ikke benyttes når det er valgfritt å gjøre den aktuelle oppgaven. I slike tilfeller er det aktuelt å vurdere artikkel 6 nr. 1 bokstav e, utøvelse av offentlig myndighet, som et mulig behandlingsgrunnlag.
Det er flere behandlingsaktiviteter i NAV hvor dette alternativet er aktuelt, blant annet når vi lagrer personopplysninger fordi det er pålagt gjennom arkivloven, når vi rapporterer opplysninger om lønnsutbetalinger fordi det er pålagt i skattelovgivningen.
Se nedenfor om artikkel 6 nr. 3 for en nærmere omtale av hva det stilles av krav til et supplerende rettslig grunnlag for behandlingen av personopplysninger.
Artikkel 6 nr. 1 bokstav d – Nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser
Personopplysninger kan behandles når det er nødvendig for å verne en person sine vitale interesser. Det er aktuelt å benytte dette grunnlaget for behandling av personopplysninger når det er fare for liv og helse, eksempelvis må helsepersonell behandle personopplysninger om helse når de skal gi livreddende førstehjelp og det må behandles personopplysninger om en savnet person i forbindelse med en leteaksjon. Ordlyden tilsier at dette er et snevert grunnlag for å behandle personopplysninger.
For NAV er dette ikke et praktisk grunnlag for å behandle personopplysninger, da vi som utgangspunkt vil ha andre aktuelle behandlingsgrunnlag for de oppgavene vi skal løse.
Artikkel 6 nr. 1 bokstav e – Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet
En behandlingsansvarlig kan behandle personopplysninger når det er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Dette vil kunne gi grunnlag for behandling av personopplysninger av både offentlige instanser og private aktører som utfører oppgaver på vegne av stat eller kommune. Det er dette rettslige grunnlaget som brukes av NAV som offentlig myndighetsorgan. For NAV som arbeidsgiver vil det være de andre behandlingsgrunnlagene i artikkel 6 nr. 1, som er relevante.
Dette grunnlaget er, i likhet med behandlingsgrunnlaget rettslig forpliktelse i bokstav c, et grunnlag som krever at det finnes et supplerende rettslig grunnlag i unionsretten eller i den nasjonale retten. Hvilke krav som stilles til det supplerende hjemmelsgrunnlaget omtales nærmere nedenfor.
Bestemmelsen må tolkes i lys av legalitetsprinsippet. Det betyr at jo mer inngripende og risikofylt behandlingen av personopplysninger er, desto klarere må det rettslige grunnlaget for forpliktelsen være. Det må eksempelvis være tydelig ut fra vilkårene for en ytelse at det er behov for å innhente medisinske opplysninger, mens det kan følge mer forutsetningsvis for oppgaven med å behandle en søknad at vi må samle inn opplysninger som navn og adresse.
Behandlinger som hjemles i artikkel 6 nr. 1 bokstav e og f gir i utgangspunktet den registrerte rett til å protestere mot behandlingen av personopplysninger, og bestemmelsen må derfor ses i sammenheng med artikkel 21 som regulerer denne rettigheten. Retten til å protestere innebærer at den registrerte kan motsette seg at det behandles opplysninger om seg, og NAV må derfor stanse behandlingen av personopplysninger hvis brukere krever det og frem til vi har vurdert et slikt krav. For at retten til å protestere skal ivaretas, må den behandlingsansvarlige informere den registrerte om behandlingen og retten til å protestere, før behandlingen av personopplysninger starter. Retten til å protestere gjelder imidlertid ikke dersom den behandlingsansvarlige kan dokumentere at det er tvingende berettigede grunner for behandlingen, som veier tyngre enn hensynet til den registrertes personvern, jf. artikkel 21 nr. 1. Dette unntaket legger dermed opp til at den behandlingsansvarlige i slike tilfeller må gjøre en interesseavveining, som skal dokumenteres.
For NAV som behandlingsansvarlig er dette grunnlaget blant annet aktuelt for all saksbehandlingen vi gjør for tjenester og ytelser etter folketrygdloven, sosialtjenesteloven og arbeidsmarkedstiltaksloven. Det er derfor det behandlingsgrunnlaget som benyttes mest for behandlingene vi gjør med personopplysninger.
Se omtalen av artikkel 6 nr. 3 for mer om hva det betyr at det må være et supplerende rettslig grunnlag for behandlingen av personopplysninger.
Artikkel 6 nr. 1 bokstav f – Nødvendig for formål tilknyttet en berettiget interesse
Det er en lovlig behandling av personopplysninger når det er nødvendig for formål knyttet til de berettigede interessene til den behandlingsansvarlige eller en tredjepart. Det er tre vilkår som må vurderes for å avklare om dette behandlingsgrunnlaget kan benyttes. Det må vurderes om det er nødvendig å gjøre behandlingen, om virksomheten har en berettiget interesse, og til slutt en interesseavveining av om hensynet til de registrertes personvern og grunnleggende rettigheter veier tyngre enn den berettigede interessen til virksomheten.
Det er viktig å merke seg at dette behandlingsgrunnlaget ikke kan brukes for behandling av personopplysninger som et ledd i å utøve offentlig myndighet. Det fremgår av artikkel 6 nr. 1 siste avsnitt. Denne begrensningen må ses i sammenheng med bokstav e, som hjemler behandling når det er nødvendig for å utøve offentlig myndighet. Dette krever normalt et supplerende rettslig grunnlag, fordi det er i tråd med legalitetsprinsippet at inngrep i borgernes private sfære skal vurderes og besluttes av lovgiver, og ikke behandlingsansvarlig selv.
Nødvendig behandling
På samme måte som med de andre behandlingsgrunnlagene, kreves det at behandlingen av personopplysninger er nødvendig, og at vi velger den behandlingen som griper minst inn i den enkeltes personvern. En behandling kan sies å være nødvendig når det ikke er mulig å oppnå det samme formålet på andre og mindre inngripende måter, som er rimelige og effektive. Det betyr imidlertid ikke at behandlingen må være absolutt nødvendig, dersom det viser seg at de mindre inngripende tiltakene for eksempel er lite praktiske eller lite effektive.
Virksomhetens berettigede interesse
Det må dreie seg om en berettiget interesse som er lovlig, klart definert på forhånd og saklig begrunnet i virksomheten. Vurderingen av om den behandlingsansvarlige har en berettiget interesse skal ta utgangspunkt i hvilke forventninger den registrerte har i sin relasjon til den behandlingsansvarlige. Det må ses hen til om det er påregnelig for den registrerte på tidspunktet for innsamlingen av personopplysninger at de blir behandlet for det aktuelle formålet. Det må da gjøres en vurdering av som objektivt sett er påregnelig for den registrerte, også uavhengig av den informasjonen som er gitt. Det er verdt å merke seg at i Personvernrådets Guidelines 3/2019 trekkes det frem at eksempelvis skilting ved kameraovervåking, ikke vil kunne bidra til å styrke den berettigede interessen til virksomheten.
Andre relevante momenter i vurderingen er hvilke fordeler behandlingen gir og hvor viktige disse fordelene er for virksomheten. Dersom behandlingen har offentlig interesse eller ivaretar ideelle interesser som kommer flere til gode, er det et moment som taler for at virksomheten har en berettiget interesse. Et annet relevant moment er om det vil være mulig å fortsette behandlingen til tross for at en av de registrerte protesterer mot behandlingen.
I Personvernrådets Guidelines 3/2019 gis det retningslinjer for behandling av personopplysninger som er samlet inn ved bruk av kameraovervåking. Det følger av retningslinjene at kameraovervåking kan benyttes når det er nødvendig, eksempelvis for å beskytte mot innbrudd eller hærverk, men det må da være en reell fare for innbrudd i eller hærverk på lokalet. Det er tilstrekkelig at det aktuelle lokalet ligger i et område som er utsatt for innbrudd eller hærverk. Et annet relevant moment kan være hva slags type varer som finnes i bygget. En virksomhet som har et lager med dyre elektronikkartikler, vil eksempelvis lettere kunne sies å ha berettiget interesse i kameraovervåking enn en idrettshall hvor det ikke oppbevares store verdier. Arbeids- og tjenesteavdelingen har utarbeidet retningslinjer for bruk av kameraovervåking («Retningslinjer for kameraovervåking i og utenfor NAVs lokaler»), som er særlig tilpasset vurderingene som kreves når vi vurderer å bruke kameraovervåking ved de ulike kontorlokasjonene våre.
Interesseavveining mellom personvernet og den berettigede interessen
For at dette grunnlaget skal være et gyldig behandlingsgrunnlag, må det ikke dreie seg om en behandling som gjør uforholdsmessig inngripen i den registrertes interesser eller grunnleggende rettigheter eller friheter. Det må dermed gjøres en interesseavveining. Hvis konklusjonen er at det er en nødvendig behandling, og behovet for å ivareta den berettigede interessen veier tyngre enn hensynet til den registrertes personvern, kan behandlingen av personopplysninger starte. Den behandlingsansvarlige må dokumentere vurderingen.
Det er flere aktuelle momenter for denne vurderingen, blant annet hvilke typer opplysninger som skal behandles, hva behandlingen går ut på, om det er mange registrerte som berøres, om ulike personopplysninger kobles sammen, hvilke konsekvenser behandlingen kan få for de registrerte og om de registrerte er særlig sårbare som for eksempel mindreårige. Er de registrerte mindreårige, taler det for at personverninteressen skal veie tungt. Videre vil det være av betydning om det er en risiko for at personopplysningene vil kunne komme på avveie, om det er en behandling som er egnet til å skape frykt eller uro og om personopplysningene skal offentliggjøres eller deles med andre virksomheter. Eksempler på behandlinger for formål tilknyttet en berettiget interesse kan være føring av medlemsregister i en forening eller kunderegister hos en frisørsalong.
Bestemmelsen har blitt prøvd i både EU-domstolen og i norsk rett. Fashion ID-saken som ble behandlet av EU-domstolen i 2019, gjaldt et forhold som knyttet seg til tilsvarende bestemmelse i artikkel 7 bokstav f i det forrige EU-direktivet (dir. 95/46). Ettersom bestemmelsen er tilsvarende dagens bestemmelse, er dommen relevant for tolkningen. Dommen dreide seg om felles behandlingsansvar for to virksomheter, og det følger av dommen at de tre vilkårene om nødvendighet, berettiget interesse og interesseavveining, må vurderes for hver av de behandlingsansvarlige for den delen av behandlingen de er ansvarlige for. Det er de behandlingsansvarlige selv som må gjøre denne avveiningen og vurderingen.
Høyesterett vurderte dette behandlingsgrunnlaget i Legeliste-saken i 2021. Saken gjaldt hvorvidt legelisten.no kunne behandle personopplysninger om leger og annet helsepersonell, ved at brukere anonymt kunne registrere og publisere brukervurderinger av helsepersonellet på internett. Høyesterett la i interesseavveiningen vekt på at det var viktig for befolkningen å ha tilgang på denne typen informasjon når de skal velge lege og behandler, og at det ikke var noen andre alternative informasjonskilder. Det ble dermed tatt hensyn til interessene til en tredjepart. Videre ble det vektlagt at de fleste har forståelse for hva slike vurderingssider er, og dermed klarer å skille mellom usaklige og konstruktive vurderinger. Det var også gjort rimelige og tilstrekkelige tiltak for å begrense personvernulempene. Helsepersonellets personverninteresser veide dermed ikke like tungt som den berettigede interessen som allmenheten har for informasjon om tilbydere av helsetjenester.
Utøvelse av offentlig myndighet
Som nevnt innledningsvis følger det av bokstav f at grunnlaget berettiget interesse ikke kan benyttes som behandlingsgrunnlag for oppgaver som gjøres i tilknytning til utøvelse av offentlige myndighet. Bakgrunnen for dette er at utøvelse av offentlig myndighet er et eget rettslig grunnlag som følger av bokstav e, og krever et supplerende rettslig grunnlag. Det er dermed opp til lovgiver å avgjøre når det skal behandles personopplysninger ved utøvelse av offentlig myndighet. I tråd med legalitetsprinsippet må lovhjemmelen som åpner for å behandle personopplysninger, være klarere på at oppgaven innebærer den aktuelle behandlingen av personopplysninger, desto mer inngripende behandling det er snakk om. Grunnlaget i en berettiget interesse er derfor bare unntaksvis aktuelt for NAV og andre offentlige myndigheter.
Retten til å protestere
På samme måte som behandling av personopplysninger med grunnlag i artikkel 6 nr. 1 bokstav e, er utgangspunktet at den registrerte til enhver tid har rett til å protestere mot behandling som er hjemlet i artikkel 6 nr. 1 bokstav f. Det følger av artikkel 21 nr. 1, og betyr at den registrerte må informeres om behandlingen og retten til å protestere før behandlingen starter.
Eksempler på behandlinger på grunnlag av berettiget interesse i NAV
Tilfeller hvor dette grunnlaget kan være aktuelt som behandlingsgrunnlag for NAV er behandlinger som er nødvendige for alminnelig drift av en virksomhet, og som ikke kan hjemles i andre behandlingsgrunnlag. Det kan blant annet være kontrolltiltak som adgangskontroll for å sikre bygget og de ansatte, og lagring av kontaktopplysningene til en journalist for å følge opp en pressehenvendelse fra journalisten.
Selv om NAV er en offentlig myndighet, så kan NAV i egenskap som arbeidsgiver bruke dette rettsgrunnlaget på lik linje med arbeidsgivere i privat sektor.
Artikkel 6 nr. 2 – Nasjonale tilpasningsbestemmelser
Medlemslandene er i artikkel 6 nr. 2 gitt mulighet til å vedta nasjonale bestemmelser for behandling av personopplysninger som skjer etter artikkel 6 nr. 1 bokstav c og e, på grunnlag av en rettslig forpliktelse eller for å utføre oppgaver i allmennhetens interesse. Formålet med de nasjonale bestemmelsene skal være å kunne tilpasse reglene i forordningen til særskilte behandlinger, når det er nødvendig for å sikre personvernet. Det er dermed ikke adgang til å gi slike bestemmelser av hensyn til den behandlingsansvarlige.
Det henvises i bestemmelsen til at dette kan være særlig aktuelt for behandlinger som er omfattet av forordningens kapittel IX, hvor det er bestemmelser om behandlingssituasjoner som innsyn i offentlige dokumenter, i forbindelse med ansettelsesforhold og for arkiv-, forsknings- eller statistiske formål. Det er blant annet gitt nasjonale regler om kameraovervåking i virksomhet i Forskrift om kameraovervåking i virksomhet og om arbeidsgivers rett til innsyn i arbeidstakeres e-post i Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Det er også presisert i personopplysningsloven § 6 at arbeidsgivere har adgang til å behandle særlige kategorier personopplysninger når det er nødvendig for å gjennomføre arbeidsrettslige plikter.
Artikkel 6 nr. 3 – Kravet til supplerende rettslig grunnlag
Behandling av personopplysninger på grunnlag av bokstav c eller e krever som nevnt over at det i tillegg finnes et supplerende rettslig grunnlag. Det følger av artikkel 6 nr. 3 at det supplerende rettslige grunnlaget kan være fastsatt i den nasjonale retten som den behandlingsansvarlige er bundet av. Det betyr at det må være en bestemmelse i norsk lov eller forskrift, eller vedtak i medhold av lov eller forskrift, som forutsetter at det behandles personopplysninger.
Det stilles krav om at formålet med behandlingen av personopplysninger skal fremgå av det supplerende rettslige grunnlaget. For behandling av personopplysninger etter bokstav c og e, er det tilstrekkelig at behandlingen er nødvendig for å utføre oppgaven. Det er altså ikke et krav om at det står uttrykkelig i bestemmelsen at den hjemler den konkrete behandlingen av personopplysninger, men ved å lese hjemmelen bør det være klart at formålet med behandlingen av personopplysninger er dekket av ordlyden. Når NAV behandler søknader om en ytelse etter folketrygdloven, står det ikke eksplisitt i det enkelte kapittelet som hjemler stønaden at det også hjemler behandling av personopplysninger. For at NAV skal kunne behandle en sak, må det imidlertid være tydelig ut fra lovverket at formålet å behandle søknader innenfor det aktuelle stønadsområdet er dekket av bestemmelsen. Eksempelvis hjemler Folketrygdloven kapittel 4 retten til dagpenger, og det følger forutsetningsvis av kapittelet at NAV må behandle personopplysninger for det formålet å behandle saker innenfor dagpengeregelverket.
Det følger av fortalepunkt 45 (forarbeidene til personvernforordningen) at det ikke kreves en spesifikk bestemmelse for hver enkelt behandling, og videre at samme hjemmel kan være behandlingsgrunnlag for flere ulike behandlinger og for flere ulike formål.
Legalitetsprinsippet spiller en viktig rolle her, og legger føringer for hvor tydelig det må være ut fra regelverket at personopplysninger skal behandles for det enkelte formålet. De supplerende rettsgrunnlagene vil måtte oppfylle kravene etter de spesifikke bestemmelsene i tillegg til å oppfylle kravene til rettslig grunnlag som følger av Grunnloven § 102 og Den europeiske menneskerettskonvensjon artikkel 8. Det kreves at det supplerende rettsgrunnlaget må være tilstrekkelig klart og tilgjengelig, at behandlingen er nødvendig og forholdsmessig, og i henhold til Grunnloven § 102 må det være hjemmel i nasjonal lov.
Hva som er tilstrekkelig behandlingsgrunnlag, må vurderes konkret og med utgangspunkt i hvor stort inngrep som gjøres i den registrertes personvern. Det betyr at jo mer inngripende en behandling er, desto tydeligere må hjemmelen være for at behandlingen skal kunne anses som lovlig. Det samme vil gjelde når vi behandler personopplysninger i stort omfang, om særlig sårbare grupper eller det er andre forhold som tilsier at det må være tydelig og forutsigbart at vi skal gjøre den aktuelle behandlingen for formålet å utføre en spesifikk oppgave. En klarere og tydeligere lovhjemmel kan for eksempel innebære at lovhjemmelen spesifiserer hvilken behandling som er lovlig, i hvilke tilfeller og for hvilke grupper. I praksis vil det si at vi i NAV må ha at et klarere og tydeligere grunnlag for å behandle personopplysninger når vi fører kontroll med ytelsene våre og krever tilbake penger, enn når vi behandler personopplysninger i vurderingen av søknader om ytelser. Vi har eksempelvis en egen hjemmel for masseinnhenting av personopplysninger for å føre kontroll i folketrygdloven § 21-4 d.
Artikkel 6 nr. 4 – Viderebehandling til nye formål
[Endret 05/24, 12/25]
Når en behandlingsansvarlig har samlet inn og begynt å behandle personopplysninger, er utgangspunktet at personopplysningene kun skal behandles for de formålene de er samlet inn for. Dette henger sammen med at alle behandlinger av personopplysninger må ha et eget behandlingsgrunnlag og prinsippet om formålsbegrensning i artikkel 5 nr. 1 bokstav b, som slår fast at personopplysninger ikke skal viderebehandles på en måte som er uforenlig med formålene de ble samlet inn for. Det vil si at personopplysningene kan samles inn for flere formål med flere behandlingsgrunnlag, men hvis vi finner ut at vi har behov for å bruke personopplysningene til et nytt formål etter at de er innhentet, må det gjøres en vurdering av om det er lovlig å viderebehandle opplysningene for det nye formålet. Det følger av forordningen at det er adgang til å viderebehandle personopplysninger. Viderebehandling er lovlig som nevnt i artikkel 5 nr. 1 bokstav b, hvis det er lovhjemmel eller er samtykket til den nye behandlingen, eller at vi etter en konkret vurdering kommer til at viderebehandlingen er forenlig med det opprinnelige formålet. Det betyr at det er forbud mot viderebehandling for formål som vurderes å være uforenlige med det opprinnelige formålet for behandlingen.
Det er presisert i artikkel 5 nr. 1 bokstav b at viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, ikke skal anses for uforenlig med de opprinnelige formålene. Viderebehandling av personopplysninger til disse formålene er lovlig. Når det gjelder tolkningen av behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning, følger det av fortalepunkt 159 (forarbeidene til forordningen) at det bør «tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning».
Når vi skal behandle personopplysninger for arkivformål, vitenskapelig eller historisk forskning eller statistiske formål, stilles det krav i artikkel 89 nr. 1 om at behandlingen skal være i samsvar med de nødvendige garantiene i forordningen. Det vil si at behandlingen skal være i tråd med de generelle reglene i forordningen for å sikre den registrertes rettigheter og friheter, altså på samme måte som behandling av personopplysninger ellers. Personvernprinsippet i artikkel 5 om dataminimering, trekkes frem som eksempel i bestemmelsen, og betyr at vi skal begrense bruken av personopplysninger til det som er nødvendig for å oppnå formålet. Tilsvarende nevnes pseudonymisering som et særlig relevant tiltak dersom formålet kan oppnås med bruk av pseudonyme opplysninger.
Det følger av artikkel 6 nr. 4 at personopplysninger kan viderebehandles for andre formål enn det opprinnelige innsamlingsformålet når den registrerte har samtykket til det, eller hvis viderebehandling er fastsatt i norsk lov fordi det er av viktig samfunnsmessig betydning, jf. artikkel 23 nr. 1. I andre tilfeller kan vi gjøre en viderebehandling hvis vi etter en konkret vurdering kommer til at formålet med viderebehandlingen er forenlig med formålet personopplysningene ble samlet inn for. Den sistnevnte vurderingen, omtales som «forenlighetsvurderingen» og har flere likhetstrekk med den skjønnsmessige vurderingen av om det foreligger en berettiget interesse, jf. artikkel 6 nr. 1 bokstav f. Forenlighetsvurderingen bygger på en rekke vurderingsmomenter som er listet opp i artikkel 6 nr. 4 bokstav a - e. Dersom det konkluderes med at viderebehandlingen er forenlig med det opprinnelige innsamlingsformålet, vil viderebehandlingen være dekket av det opprinnelige behandlingsgrunnlaget. Det vil si at det ikke kreves et nytt rettslig grunnlag. Det følger av personvernforordningens fortalepunkt 50, som fastslår at «i et slik tilfelle kreves det ikke annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysningene». Denne forståelsen er noe omtvistet, men følges av EU-domstolens avgjørelse i sak C-77/21 og i forarbeidene til personopplysningsloven, se Prop. 56 LS (2017-2018) punkt 6.6 og punkt 11.1.2. Arbeids- og velferdsetaten har valgt å følge det som er hovedoppfatningen på personvernområdet, om at det ikke kreves annet rettslig grunnlag enn det som ligger til grunn for opprinnelig innsamling av personopplysningene.
Det står ikke noe eksplisitt i personvernforordningen om viderebehandling av personopplysninger som nevnt i artikkel 9 og artikkel 10, altså særlige kategorier personopplysninger og opplysninger om straffedommer og lovovertredelser. Det følger imidlertid indirekte av artikkel 5 nr. 1 bokstav a og b, sett i sammenheng med artikkel 6, at alle behandlinger krever et eget rettslig grunnlag, og det følger forutsetningsvis av ordlyden i artikkel 6 nr. 4, ved at særlige kategorier personopplysninger omtales som en del av vurderingen. Det vil dermed være adgang til å viderebehandle personopplysninger som nevnt i artikkel 9 og artikkel 10, så lenge den konkrete vurderingen tilsier det.
En forenlighetsvurdering kan kun påropes av den samme behandlingsansvarlige som samlet inn personopplysningene. Dersom en behandlingsansvarlig deler opplysninger med en annen behandlingsansvarlig, kan ikke behandlingsansvarlig som opplysningene utleveres til, påberope seg forenlighetsvurdering for sin behandling av de mottatte opplysningene, ref. Prop 56 LS (2017-2018) punkt 11.1.2. Den behandlingsansvarlige som mottar personopplysningene, må kunne påvise et eget behandlingsgrunnlag.
For Arbeids- og velferdsetaten er det aktuelt å viderebehandle personopplysninger til en rekke ulike formål som ikke er lovregulert i dagens særlovgivning, men som kan utgjøre en sentral del av etatens forvaltningsvirksomhet. Det gjelder blant annet viderebehandling av innsamlede personopplysninger til innsikts- og analyseformål hvor formålet er å er å få bedre innsikt, kunnskap og erfaringer knyttet til etatens oppgaver. Innsikten og kunnskapen som analysearbeidet kan gi, vil kunne brukes til å utforme gode tjenester til etatens brukere, hensiktsmessige arbeidsprosesser, effektiv forvaltning og produsere kunnskapsgrunnlag for utvikling av arbeids- og velferdspolitikk.
Innsikt- og analyser kan gjennomføres på ulike måter som blant annet statistiske analyser, spørreundersøkelser, forskningsstudier, utredninger og rapporter, forsøksvirksomheter og kvalitative og kvantitative undersøkelser. Analysene gjøres ved hjelp av ulike metoder i hovedsak tradisjonell forskningsmetodikk, men også ved å ta i bruk ny teknologi som kunstig intelligens og maskinlæring. I mange tilfeller vil det være nødvendig å bruke allerede innsamlede personopplysninger (historikkdata) for å oppnå formålet med innsikts- og analysearbeidet. Som hovedregel er det ikke nødvendig å bruke direkte personidentifiserbare data, men det kan være behov for å anonymisere eller pseudonymisere disse for å ta de i bruk i analyse- og innsiktsarbeidet. For de tilfeller hvor etaten ønsker å viderebehandle personopplysninger til innsikts og analyseformål, må det først gjøres en konkret vurdering av hva som er formålet og om dette kan innfortolkes inn under de ordinære lovhjemler som Arbeids- og velferdsetaten forvalter, dvs. det supplerende lovhjemmelsgrunnlaget. Det innebærer en vurdering av om det nye formålet kan innfortolkes innenfor det supplerende lovhjemmelsgrunnlaget selv om det ikke fremgår uttrykkelig av lovteksten.
I slike vurderinger må det alltid gjøres en konkret vurdering av hvor inngripende behandlingen er. Jo mer inngripende formålet med behandlingen vil være, så kan det være nødvendig at det kreves et eget uttrykkelig lovhjemmelsgrunnlag. Det følger av legalitetsprinsippet. Personvernforordningen artikkel 6 nr. 3 annet ledd beskriver krav til det supplerende nasjonale rettsgrunnlag om hva som kan eller skal inntas i lovhjemmelsgrunnlaget. Som minimum må lovhjemmelen si noe om formålet med behandlingen. Forordningen forutsetter ikke at behandlingen fremgår eksplisitt av lovhjemmelsgrunnlaget. Det må antas å være tilstrekkelig at behandlingen er nødvendig forutsetning for å utføre oppgaver eller ivareta formålet som er fastsatt.
Hvis behandlingen er særlig inngripende kan det også være nødvendig at lovhjemmelen beskriver hvilke typer personopplysninger som behandles, hvilke aktiviteter som utføres og hvordan disse gjennomføres.
Arbeids- og velferdsetaten har lagt til grunn at personopplysninger som er innhentet for et gitt formål innen etatens tjeneste- og ytelsesområder kan viderebehandles til innsikts – og analyseformål innen samme område. Det at etaten følger opp tjenester og ytelser innenfor et tjeneste- eller ytelsesområde er nødvendig for å utføre den lovpålagte oppgaven for å sikre kvalitet og effektivitet i saksbehandlingen, selv om dette formålet ikke fremgår uttrykkelig av det rettslige grunnlaget. For eksempel vil personopplysninger som er innhentet i forbindelse med sykefraværsoppfølging med hjemmel i folketrygdloven kapittel. 8, kunne viderebehandles til analyser og innsiktsarbeid med formål å forbedre oppfølgingstjenester innenfor ytelsesområdet. Det mener vi kan innfortolkes i det supplerende behandlingsgrunnlaget som følger av bestemmelsene i Nav-loven § 4 om Arbeids- og velferdsetatens hovedoppgaver og Nav-loven § 4 a om behandling av personopplysninger «når dette er nødvendig for å utøve myndighet eller utføre andre oppgaver etter de lovene som etaten administrerer», supplert med særlovgivningen i folketrygdlovens kapittel. 8 Sykepenger.
Det er ofte et ønske om å gjøre analyser på tvers av ulike tjeneste og ytelsesområder, slik at etaten kan jobbe for å få til en bedre sammenheng og overgang mellom ulike ytelser. Det vises her til lovgivers intensjon om Nav-lovens formål i lovens § 1 om å «legge til rette for en effektiv arbeids- og velfersforvaltning, tilpasset den enkeltes og arbeidslivets behov og basert på en helhetlig anvendelse av arbeidsmarkedsloven, folketrygdloven, lov 18. desember 2009 nr. 131 om sosiale tjenester i arbeids- og velfersforvaltningen og andre lover som forvaltes av arbeids- og velferdsforvaltningen». Denne formålsbestemmelsen legger til rette for en helhetlig og samordnet anvendelse av de ulike lovhjemler, herunder disse lovenes formålsbestemmelser. Det siste fremgår av forarbeidene til Nav-loven, se Ot prp nr. 47 (2005-2006) punkt 12. En rekke av stønadsområdene i etaten henger nært sammen. Et eksempel er helserelaterte ytelser i folketrygdloven som avløser hverandre, for eksempel sykepenger, arbeidsavklaringspenger og uførepensjon. I tillegg til hver sine spesifikke formål og behandlingsgrunnlag har disse ytelsene til felles et overordnet formål om å sikre tapt inntekt ved helse/skade og som støtter opp under det overordnede formålet i Nav-loven § 1.
Dersom etaten skal benytte opplysninger som er innhentet for slike ulike formål, må det sikres at disse formålene ikke er uforenlige. Det er et grunnleggende vilkår at den opprinnelige behandlingen har hjemmel. Dersom det ikke kan utledes et behandlingsgrunnlag ut fra lovhjemlene eller ut fra de øvrige bestemmelsene i artikkel 6 nr. 1 og ev. artikkel 9 nr. 2, er en forenlighetsvurdering etter artikkel 6 nr. 4 det eneste mulige alternativet for Nav som forvaltningsvirksomhet. Innsikt- og analyseformål på tvers av ulike tjeneste- og ytelsesformål som oppfyller personvernforordningens definisjon av statistikk, vitenskapelig eller historisk forskning, kan derimot gjennomføres uavhengig av forenlighetsvurdering etter artikkel 6 nr. 4, jf. artikkel 5 nr. 1 bokstav b.
I tilfeller hvor vi i saksbehandlingen av saker etter folketrygdloven bruker opplysninger vi har fra én sak i en annen sak, vil det ikke være nødvendig å gjøre en forenlighetsvurdering. Der det er behov for å se på opplysninger som gjelder en tidligere sak, har vi egen hjemmel i folketrygdloven § 21-4 første ledd. Dette tilfellet faller dermed innenfor artikkel 6 nr. 1 bokstav e, utøvelse av offentlig myndighet med et supplerende rettslig grunnlag i folketrygdloven. Det kan eksempelvis være behov for dette når en brukers restarbeidsevne skal vurderes ved behandling av søknad om uføretrygd, og det benyttes dokumentasjon fra brukers tidligere sak om arbeidsavklaringspenger.
Forenlighetsvurderingen
[Endret 9/25, 12/25]
For å avgjøre om det er adgang til å viderebehandle personopplysninger i tråd med forenlighetsvurderingen, må det gjøres en bred og konkret vurdering av flere momenter. Det er den behandlingsansvarlige som må gjennomføre og dokumentere denne vurderingen før behandlingen starter. Behandlingsgrunnlaget som ble brukt for å innhente personopplysningene til den opprinnelige behandlingen, vil dekke viderebehandlingen i disse tilfellene.
Det er listet opp fem vurderingsmomenter i artikkel 6 nr. 4, i bokstav a til e, som blant annet skal inngå i forenlighetsvurderingen. Dette er ikke ment som en uttømmende liste med momenter. Dersom man etter å ha gjennomført vurderingen kommer til at formålet med viderebehandlingen av personopplysninger er forenlig, kan behandlingen starte. Denne vurderingen skal dokumenteres. I motsatt fall, dersom konklusjonen er at formålet med viderebehandlingen av opplysninger er uforenlig, vil behandlingen ikke være tillatt.
Dersom behandlingen er forenlig, så må behandlingen ellers oppfylle de øvrige personvernprinsipper og krav i personvernforordningen, som for eksempel gjennomføring av en personvernkonsekvensvurdering herunder nødvendighet og forholdsmessighetsvurdering. De registrertes rettigheter skal ivaretas. Det innebærer blant annet at de registrerte i tråd med kravene som følger av personvernforordningen artikkel 13 nr. 3 og artikkel 14 nr. 4, skal bli informert om viderebehandlingen.
Momentene som inngår i forenlighetsvurderingen
Forbindelsen mellom formålet med innsamlingen og formålet med viderebehandlingen
[Endret 12/25]
Det skal for det første vurderes om det er en forbindelse mellom de to formålene med behandlingene. Dersom det er en nær forbindelse mellom de to formålene, vil det også kunne være en behandling som den registrerte kan forvente at gjøres, og dermed vil det tale for at det dreier seg om en forenlig viderebehandling. På den andre siden, vil det sjelden kunne anses som forenlig med det opprinnelige formålet dersom det ikke er en nær forbindelse mellom de to formålene. Det vil ikke kunne anses å være en slik forbindelse dersom personopplysningene viderebehandles for ulike kontrollformål. Et eksempel på dette ble behandlet av Høyesterett i HR-2013-00234-A Avfallsservice, som gjaldt den forrige personopplysningsloven. Avgjørelsen er derfor ikke fullt ut aktuell i dag, men vurderingen som gjaldt forenlighet er fortsatt aktuell. I saken ble elektroniske logger over søppeltømmingen, som ble benyttet for administrasjon og drift av selskapet, også brukt til å kontrollere om den ansatte jobbet i tråd med det han rapporterte på timelistene. Høyesterett vurderte blant annet at det var for stor avstand mellom de to formålene til at det kunne anses som en forenlig viderebehandling. Når det gjelder kontroll av etatens tjenester og ytelser, har vi egne hjemler for denne behandlingen, og det er derfor ikke aktuelt å vurdere om dette er en forenlig viderebehandling etter artikkel 6 nr. 4. Aktuelle eksempler hvor det vurderes å være en tilstrekkelig forbindelse mellom de to formålene, kan være bruk av opplysninger innhentet for saksbehandlingen som i etterkant brukes for å evaluere den aktuelle stønaden eller tjenesten, og kontroll av om en algoritme for automatisk saksbehandling fungerer etter intensjonen og ikke er diskriminerende eller liknende.
Sammenhengen personopplysningene er samlet inn, og forholdet mellom de registrerte og den behandlingsansvarlige
[Endret 12/25]
Det må vurderes i hvilken sammenheng personopplysningene ble samlet inn i, og i forlengelsen av det, hvilken relasjon det er mellom de registrerte og den behandlingsansvarlige. Er det for eksempel en kunderelasjon mellom den registrerte og den som behandler personopplysninger, vil det være en lavere terskel for å anse formålet med en viderebehandling som forenlig, enn om det ikke er en relasjon mellom den registrerte og den behandlingsansvarlige.
Arbeids- og velferdsetaten behandler personopplysninger for å uføre oppgaver som følger av etatens ansvar som offentlig myndighet. Brukere av etatens tjenester og ytelser har en legitim forventning om at opplysninger de gir til etaten brukes til å vurdere deres rettigheter og plikter, for eksempel om de har rett til en ytelse. Videre må det antas at det er forventning fra brukere og samfunnet for øvrig, om at etaten videreutvikler seg og lærer av sin forvaltningspraksis for å sikre bedre kvalitet og effektivitet.
Hvis eksempelvis en innbygger har søkt om en ytelse fra Arbeids- og velferdsetaten, og deretter mottar en henvendelse om hvordan hen opplevde prosessen med å søke og kontakten med etaten, vil det kunne være en påregnelig kontakt.
Personopplysningenes art
Hvilken type personopplysninger som skal behandles er også av betydning for denne vurderingen. Dersom viderebehandlingen det er ønskelig å gjøre innebærer behandling av særlige kategorier personopplysninger, som opplysninger om helse eller seksuell legning, er det en høyere terskel for å konkludere med forenlighet.
Konsekvensene for de registrerte
Videre skal det vurderes hvilke konsekvenser behandlingen får for de registrerte. Dersom viderebehandlingen vil kunne få positive følger for den registrerte, vil det være et argument som taler for at formålet er forenlig. Det vil også være lettere å falle ned på at formålet er forenlig dersom det er få eller ubetydelige konsekvenser for den registrerte. Dersom behandlingen har betydelige negative konsekvenser, eksempelvis ved at viderebehandlingen gjøres for kontrollformål, som i den nevnte Avfallsservicesaken, vil det imidlertid som regel måtte vurderes som uforenlig gjenbruk av personopplysninger.
Nødvendige personverngarantier
[Omarbeidet 12/25]
For å redusere negative konsekvenser ved endret formål, er det viktig å ta hensyn til mulige tiltak som bør innføres for å motvirke eller kompensere for eventuelle negative følger for de registrerte. Det kan være tekniske og organiske tiltak. Bruk av kryptering og pseudonymisering er nevnt i forordningen som eksempler på tiltak som kan utgjøre tilfredsstillende garantier. Andre relevante personverngarantier kan være dataminimering, i tråd med prinsippet som følger av artikkel 5 nr. 1 bokstav c, og informasjonssikkerhetstiltak som for eksempel tilgangsstyring og logging etter artikkel 32. I tillegg inneholder artikkel 23 nr. 2 en liste over elementer som bør inngå i nasjonalt rett som fraviker forordningens bestemmelser, og som også kan være elementer i en forenlighetsvurdering for å sikre tilfredsstillende personverngarantier. Høy informasjonssikkerhet alene er imidlertid ikke nok hvis en eller flere av de øvrige momentene i en forenlighetsvurdering ikke er oppfylt.