Personopplysninger kan bare behandles når lovgivningen tillater det. All behandling av personopplysninger skal ha et lovlig grunnlag. I personvernforordningen kalles dette et behandlingsgrunnlag.
Behandling av særlige kategorier personopplysninger, for eksempel helseopplysninger, er i utgangspunktet forbudt etter personvernforordningen. Unntak gjelder likevel blant annet når det er gitt samtykke, når det ytes helsehjelp og sosialtjenester underlagt taushetsplikt, når allmenne folkehelsehensyn gjør det nødvendig, og til forskningsformål.
Se mer om behandlingsgrunnlag (www.datatilsynet.no) ref. personvernforordningens artikkel 6 Behandlingens lovlighet og artikkel 9 Behandling av særlige kategorier av personopplysninger.
Før behandling av helse- og personopplysninger starter, eller ved endringer i slik behandling, skal dataansvarlig sørge for å ha et gyldig behandlingsgrunnlag. Behandlingsgrunnlaget skal dekke alle typer behandling som utføres: innsamling, registrering, lagring, sletting, utlevering, mv. Skal opplysningene brukes til et annet formål enn opprinnelig, må dette ha et eget behandlingsgrunnlag.
Personvernforordningen artikkel 6 viser til seks ulike behandlingsgrunnlag:
Se også Normens faktaark for formål og behandlingsgrunnlag (faktaark 56)
- Den registrerte har samtykket til behandlingen.
- Behandling er nødvendig for å oppfylle en avtale med den registrerte.
- Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (med hjemmel i lov).
- Behandling er nødvendig for å verne den registrertes eller en annen persons vitale interesser.
- Behandling er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som dataansvarlige er pålagt.
- Behandling er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.
I vurderingen av behandlingsgrunnlag er følgende spørsmål relevante:
- Hva er formålet med behandlingen?
- Er behandlingen regulert i lov eller forskrift?
- Hvilken behandling skal utføres?
- Er behandlingen nødvendig for å yte forsvarlige helse- og omsorgstjenester?
Plikten til å føre journal gir virksomheten en rettslig forpliktelse til å behandle helse- og personopplysninger. Størstedelen av behandlinger av personopplysninger i helse- og omsorgssektoren er dermed lovpålagt. I tillegg til krav om dokumentasjon har lovverket også en rekke andre regler om behandling, f.eks. om utlevering av opplysninger
Andre behandlinger av personopplysninger i virksomheten kan ha andre behandlingsgrunnlag. Eksempler på dette er at i arbeidet med å følge opp ansatte kan "avtale med den registrerte" være riktig behandlingsgrunnlag, og dersom virksomheten utfører oppdrag som ikke er helsehjelp, kan både samtykke og avtale være riktige behandlingsgrunnlag.
Dersom flere behandlingsgrunnlag kan passe, skal virksomheten bestemme seg for ett grunnlag per formål.
Det er dataansvarlige som skal vurdere behandlingsgrunnlaget.
Behandlingsgrunnlaget skal dokumenteres. Dette kan gjøres i protokollen.
Se kap.3.3. Oversikt over teknologi og behandling av helse- og personopplysninger og Normens faktaark for protokoll over behandlinger av helse- og personopplysninger i virksomheten (faktaark 13)
