Rettslige grunnlag for behandling av helse- og personopplysninger i GDPR
EUs nye personvernfororning (GDPR) har regler om behandlingsgrunnlag som i stor grad samsvarer med dagens regler, men det er likevel noen endringer som det er verdt å merke seg.
Det stilles strengere krav til samtykke som rettsgrunnlag. Vitale interesser som rettsgrunnlag kan omfatte andre personer enn den registrerte selv, og når en interesseavveining er rettsgrunnlag skal det tas særlige hensyn til den registrertes interesser når det er snakk om barn.
Når en rettslig forpliktelse, allmennhetens interesse eller utøvelse av offentlig myndighet brukes som behandlingsgrunlag, kreves et såkalt supplerende rettsgrunnlag.
GDPR gir en uttømmende liste over lovlige behandlingsgrunnlag for personopplysninger i art.6, så all behandling av personopplysninger må ha en hjemmel her. Når det gjelder behandling av særlige kategorier personopplysninger er dette i utgangspunktet forbudt etter GDPR, men det finnes noen unntak.
Lovlige behandlingsgrunnlag etter GDPR
- Samtykke. GDPR viderefører samtykke som behandlingsgrunnlag. Merk likevel at det stilles strengere krav til et samtykke enn etter dagens regelverk i GDPR art.7. Det skal for eksempel være like lett å trekke samtykke som det er å avgi samtykke, og samtykket må være utvetydig.
- Avtale. GDPR viderefører et grunnlag for behandling av personopplysninger når det er nødvendig for å oppfylle en avtale med den registrerte eller gjennomføre tiltak på anmodning fra den registrerte før en avtaleinngåelse.
- Rettslig forpliktelse. GDPR viderefører grunnlag for å oppfylle en rettslig forpliktelse overfor den registrerte som behandlingsgrunnlag. Krever supplerende rettsgrunnlag.
- Vitale interesser. GDPR viderefører et grunnlag for behandling av personopplysninger når det er nødvendig for å verne den registrertes vitale interesser. Bestemmelsen er utvidet i GDPR ved at den også kan omfatte andre personer enn den registrertes vitale interesser.
- Allmennhetens interesse eller offentlig myndighet. GDPR viderefører et behandlingsgrunnlag for personopplysninger når det er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Krever supplerende rettsgrunnlag.
Interesseavveining
GDPR viderefører interesseavveining som behandlingsgrunnlag. Bestemmelsen skiller seg fra dagens lovgivning ved at det presiseres i GDPR at det skal legges særlig vekt på den registrertes interesser når den registrerte er et barn. I tillegg kan ikke bestemmelsen brukes som behandlingsgrunnlag når det er snakk om en behandling som utføres av offentlig myndighet som ledd i utførelsen av deres oppgaver.
Det ser ut til at denne bestemmelsen bare kommer til anvendelse når det er snakk om faktisk utøvelse av offentlig myndighet, og ikke når det offentlige for eksempel utøver oppgaver som arbeidsgiver. Dette må avklares gjennom praksis i EU/EØS-landene.
Samtykke til helsehjelp og samtykke til behandling av personopplysninger
Helsehjelp kan bare gis med pasientens samtykke, jf. pasient- og brukerrettighetsloven § 4-1, med mindre det i sjeldne tilfeller er hjemmel til å bruke tvang. Pasienten skal gis nødvendig informasjon om egen helsetilstand og innholdet i helsehjelpen. Det er i utgangspunktet ikke noe formkrav til samtykket som gis for helsehjelpen, og ofte gir pasienten sitt samtykke i form av det som gjerne blir omtalt som «konkludent adferd», dvs. et stilltiende samtykke basert på pasientens handlemåte og omstendighetene for øvrig. Pasienten kan trekke samtykket tilbake, og skal da gis informasjon om konsekvensene av dette.
Når pasienten har samtykket til å motta helsehjelp, har helsepersonell plikt til å føre journal i tråd med reglene i helsepersonelloven § 39. Kravet om dokumentasjon av helsehjelpen vil være rettsgrunnlaget for behandlingen av helse- og personopplysningene som skjer i forbindelse med helsehjelpen, og det er dermed ikke noe behov for ytterligere samtykke fra pasienten for å behandle pasientens opplysninger i journal.
Supplerende rettsgrunnlag
Nytt for GDPR er krav om supplerende rettsgrunnlag. Det stilles krav til supplerende rettsgrunnlag når en rettslig forpliktelse, allmennhetens interesse eller utøvelse av offentlig myndighet brukes som behandlingsgrunnlag.
Et supplerende rettsgrunnlag må fastsettes i nasjonal rett eller unionsretten, og kan være lov eller forskrift (f. eks særlovgivning)- Det antas også at vedtak fattet i medhold av lov eller forskrift kan være et supplerende rettsgrunnlag.
Viderebehandling som rettsgrunnlag
GDPR stiller krav til formålsbegrensning, noe som innebærer at personopplysninger ikke skal viderebehandles på en måte som er uforenlig med det opprinnelige formålet. GDPR stiller en rekke krav til hvordan den behandlingsansvarlige skal vurdere forenligheten. Detstilles blant annet krav om at det skal tas hensyn til enhver forbindelse mellom formålet for innsamlingen og formål for tiltenkt viderebehandling, hvilken kontekst opplysningene er samlet inn i, personopplysningenes art, konsekvensene av viderebehandlingen og om det foreligger nødvendige garantier. Hvis viderebehandlingen ikke er forenlig med opprinnelig formål, kreves det at samtykke innhentes eller at viderebehandlingen har grunnlag i lov.
Behandling av helseopplysninger
Helseopplysninger regnes etter GDPR som særlige kategorier personopplysninger. Genetiske og biometriske opplysninger er nytt som særlige kategorier (sensitive) personopplysninger etter GDPR.
- All behandling av personopplysninger må ha et behandlingsgrunnlag i GDPR art.6. Behandling av særlige kategorier personopplysninger som helseopplysninger er i utgangspunktet forbudt, men GDPR åpner for noen unntak. Følgende unntak kan typisk være relevante i helse- og omsorgssektoren: Samtykke. GDPR åpner for at samtykke kan gi adgang til å behandle særlige kategorier personopplysninger. Dette tilsvarer dagens lovgivning.
- Vitale interesser. GDPR gir unntak når behandlingen er nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser, dersom den registrerte fysisk eller juridisk ikke er i stand til å samtykke. Denne bestemmelsen er utvidet sammenlignet med dagens lovgivning, fordi den også omfatter andre personer enn den registrerte.
- Helsehjelp mv. GDPR gir adgang til behandling når det er snakk om å behandle særlige kategorier personopplysninger i forbindelse med helsehjelp, sosialtjenester mv. og forvaltning av slike tjenester på grunnlag at unionsretten, nasjonal rett eller en avtale med helsepersonell. Dette må skje under taushetsplikt. Dette viderefører i stor grad dagens lovgivning.
- Allmenne folkehensyn. GDPR åpner for et unntak der det er snakk om å behandle særlige kategorier personopplysninger når det er nødvendig av allmenne folkehensyn.
- Forskning mv. GDPR åpner for at det i noen tilfeller er adgang til å behandle særlige kategorier personopplysninger når det er nødvendig for f. eks vitenskapelig forskning eller for statistikkformål mm.
GDPR åpner for at det kan opprettholdes eller innføres strengere vilkår i form av for eksempel begrensninger når det gjelder behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.
Konsesjonsordning bortfaller
Etter GDPR faller konsesjonsordningen bort. Det er usikkert om Datatilsynet i noen tilfeller fortsatt vil kunne gi tillatelse til behandling av særlige kategorier personopplysninger dersom viktige allmenne interesser tilsier det.