NOR

Lovlige grunnlag for å behandle personopplysninger

All behandling av personopplysninger må ha et lovlig grunnlag, også kalt behandlingsgrunnlag. Det mest vanlige i forskning er å innhente samtykke, men det finnes også andre lovlige grunnlag. 

Her går vi gjennom noen av de vanligste behandlingsgrunnlagene i forskning.

Vilkårene som lovverket setter for at en behandling av personopplysninger skal være lovlig, er definert i personopplysningsloven.

Her kan du lese om vanlige behandlingsgrunnlag, og andre ting du må ta hensyn til i lovverket:

Samtykke som behandligsgrunnlag

I forskning er det mest vanlige behandlingsgrunnlaget samtykke. For at et samtykke skal være gyldig, må det oppfylle noen krav. Samtykket må være:

Frivillig

Det skal være frivillig å delta i forskning. Samtykket er ikke gyldig dersom deltakeren føler seg presset til å samtykke, eller dersom det får uheldige konsekvenser å ikke samtykke.

Det er viktig at det ikke er skjevt maktforhold mellom den som spør og den som deltar. For eksempel kan det være vanskelig for en elev å takke nei til å delta i egne læreres forskning. 

Spesifikt og informert

Det må være tydelig og spesifikt hva man samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette.

Dersom et prosjekt har flere formål, må man be om samtykke til hvert enkelt formål separat. Det er mulig å be om samtykke til brede formål i forskningsprosjekt. 

Når du ber om samtykke, må du bruke klart, enkelt og forståelig språk som målgruppen forstår og fatte deg i korthet. Vi anbefaler at du benytter vår mal for informasjonsskriv for å sikre at deltakerne er tilstrekkelig informert. 

Utvetydig og gitt gjennom en aktiv handling 

Den som skal delta i forskningen må foreta en aktiv handling for at samtykket skal være gyldig. En handling kan være å klikke på en knapp, skrive under på et samtykkeskjema, eller hake av i en boks.

Passivitet eller mangel på svar er ikke et gyldig samtykke. 

Dokumenterbart

Et samtykke er bare gyldig hvis det kan dokumenteres. Loven sier ikke hvordan det skal gjøres, men det kan f.eks. avgis via signatur, muntlig på lydopptak, avkrysning på skjema eller via epost. 

Skal du for eksempel samle inn opplysninger via et elektronisk spørreskjema, kan det være tilstrekkelig at utvalget ditt trykker på en knapp som bekrefter samtykket. Du må ikke samle inn signatur. 

Avkrysningsbokser bør legges opp slik at deltakeren kan velge å samtykke til noen deler av studien uten å delta på alt (for eksempel spørreskjema, men ikke intervju).  

Avkrysningsbokser kan også være lurt hvis du skal lagre data med personopplysninger for videre forskning, eller det skal brukes til flere formål.

Selv om du kan dokumentere samtykket, skal du fortsatt ikke samle inn flere opplysninger enn det som er nødvendig for formålet.

Like lett å gi som å trekke tilbake

Det skal være like lett å gi samtykke som å trekke tilbake samtykke.

Hvis noen trekker tilbake et samtykke, skal du vanligvis slette denne personens personopplysninger fra datamaterialet.

Referanse i personopplysningsloven 

I lovverket finner du bestemmelsene om samtykke som behandlingsgrunnlag her:

  • Alminnelige personopplysninger: art. 6 nr. 1 bokstav a) 
  • Særlige kategorier personopplysninger: art. 9 nr. 2 bokstav a) 

Kan et samtykke gå ut på dato?

Når du innhenter et samtykke, skal du gi informasjon til utvalget ditt om hvor lenge du skal behandle deres personopplysninger. Du kan beholde utvalget sine opplysninger så lenge de har samtykke til det. 

Det finnes ingen gitt tidsperiode for hvor lenge et samtykke er gyldig, men hvis prosjektet er langvarig skal du gi utvalget supplerende informasjon med jevne tidsintervaller.  

Supplerende informasjon minner utvalget på at de er deltakere i forskningen og at de kan benytte seg av sine rettigheter. Dersom forskningsprosjektet endrer seg, kan det bli aktuelt å innhente et nytt samtykke. 

Hvor lenge skal jeg ta vare på et samtykke?

Du må kunne dokumentere at du har innhentet gyldig samtykke så lenge du behandler personopplysninger i forskningen din. 

Når du ikke lenger behandler personopplysninger, skal du vanligvis også slette samtykket. 

Hvis du har behov for å beholde samtykket i en begrenset periode etter prosjektslutt, grunnet sensur eller fagfellevurdering, går dette fint. Husk å planlegge for dette i forkant, og at du må informere utvalget om lagring av samtykke for dette formålet. 

Ting du må være oppmerksom på ved samtykke

Samtykkekompetanse

Personen som samtykker til deltakelse i et forskningsprosjekt må ha samtykkekompetanse. Dette innebærer at personen må ha visse grunnleggende personlige egenskaper.

Personen kan ikke være fysisk eller psykisk svekket på en måte som gjør at vedkommende ikke lenger har tilstrekkelig evne til å treffe en rasjonell avgjørelse. 

Det kan være vanskelig å avgjøre når evnen er for liten til å kunne si at personen ikke har samtykkekompetanse. Det vil være en flytende grense som avhenger av hvor omfattende forskningsprosjektet er.

Det er fagpersoner som må ta avgjørelsen om personer har samtykkekompetanse eller ikke.

Foreldres ansvar ved samtykke fra barn

Barn og ungdommer kan som hovedregel selv samtykke til deltakelse i forskning når de er fylt 15 år. Hvis det skal samles inn særlige kategorier av personopplysninger må ungdommen være fylt 16 år for å samtykke. 

For barn under 15 år bør foreldre samtykke på vegne av barnet. Når foresatte skal samtykke for sitt barn kan det være utfordrende å vite med sikkerhet at den som samtykker faktisk er den som har foreldreansvaret.

I prosjekter hvor det er lav personvernulempe eller lav risiko kan det være tilstrekkelig at foreldre samtykker over epost, men dersom risikoen med behandlingen er større kan det være aktuelt å be om ytterligere bevis på foreldreansvaret. 

Uttrykkelig samtykke ved særlige kategorier / sensitive opplysninger

Et uttrykkelig samtykke er et samtykke som er gitt på en ekstra tydelig måte – også ofte kalt eksplisitt. 

Dersom forskningsprosjektet skal behandle særlige kategorier (sensitive personopplysninger), må samtykket være uttrykkelig.

Et eksempel på et uttrykkelig samtykke er signatur på en samtykkeerklæring eller lydopptak av samtykke. 

Uttrykkelig samtykke når du ikke er i fysisk kontakt med utvalget

Hvis du ikke er i fysisk kontakt med utvalget ditt, kan du f.eks. hente inn uttrykkelig samtykke ved å:

  • Man trykker på en knapp/krysser av boks som bekrefter samtykket. 
  • Du får tilsendt scannet signatur på epost. 
  • Elektronisk signatur, for eksempel med BankID.  
  • Toveisverifikasjon: Forsker sender en epost med god informasjon om studien hvor det bes om samtykke fra deltakeren. Deltakeren svarer på epost: «Jeg samtykker til deltakelse». Når deltakeren har sendt dette på epost, mottar vedkommende selve spørreskjemaet.  

I spørreskjema som kun behandler alminnelige kategorier av personopplysninger kan samtykke registreres ved at deltakerne svarer på undersøkelsen. 

Allmenn interesse som behandlingsgrunnlag

I noen tilfeller kan det være vanskelig å innhente et gyldig samtykke fra utvalget, eller samtykke innebærer en uforholdsmessig innsamling av personopplysninger.

I slike tilfeller anbefaler vi at du bruker «allmenn interesse» som rettslig grunnlag. Du kan velge dette som alternativ i meldeskjemaet. 

Du må oppgi hvorfor forskningen din er i allmennhetens interesse og argumentere for samfunnsnytten ved prosjektet ditt. 

Registerforskning er eksempel på en forskningsmetode der allmenn interesse ofte blir et egnet rettslig grunnlag for behandlingen.  

Informasjon til utvalget

Inforasjonsplikten gjelder også når behandlingsgrunnlaget er allmenn interesse.

Dersom det ikke er mulig å gi individuell informasjon, bør du forsøke å gi kollektiv informasjon, ved å gjøre informasjonen offentlig tilgjengelig på en egen nettside om prosjektet eller lignende.

Dersom det er vanskelig å gi informasjon til de registrerte (i henhold til informasjonsplikten etter artikkel 14), må det gjøres unntak for denne plikten. 

Du må selv argumentere for hvorfor det er vanskelig å gi informasjon.  

Referanse i personopplysningsloven

I lovverket finner du bestemmelsen om allmenn interesse som lovlig grunnlag her:

  • Alminnelige personopplysninger: art. 6 nr. 1 bokstav e), jf. art. 6 nr. 3 bokstav b), jf. personopplysningsloven § 8.  
  • Særlige kategorier personopplysninger: art. 9 nr. 2 bokstav j), jf. personopplysningsloven 9  

Vilkår for allmenn interesse som lovlig grunnlag

Behandlingen må være nødvendig for å utføre en oppgave i allmennhetens interesse eller nødvendig for et formål knyttet til vitenskapelig eller historisk forskning. Dette betyr at det må foretas en nødvendighetsvurdering av behandlingen.  

Nødvendig er et sterkt begrep og som innebærer strenge krav. Det betyr derimot ikke at behandlingen av opplysninger vil være umulig uten å bruke allmenn interesse som grunnlag, men nødvendighetsbegrepet forutsetter at det må være veldig vanskelig å oppnå forskningsformålet uten å benytte allmenn interesse som grunnlag. 

Supplerende rettsgrunnlag

Noen ganger er det andre lover og/eller forskrifter som regulerer behandlingen av personopplysninger, i tillegg til personopplysningsloven. Dette kalles supplerende rettsgrunnlag, og kan f.eks. gjelde i helseprosjekter, hvor helseforskningsloven også ofte vil gjøre seg gjeldende.

I Norge er det personopplysningsloven §§ 8 og 9 som fastsetter nærmere regler for allmenn interesse som behandlingsgrunnlag i forskning, men det kan også være andre lover som kan utgjøre et slikt supplerende rettsgrunnlag. Personopplysningsloven § 9 har noen strengere vilkår enn § 8, ettersom § 9 gjelder for særlige kategorier personopplysninger.

Bestemmelsen gjelder kun dersom «samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte», og gir derfor uttrykk for at det må foretas en interesseavveining i forskningsprosjektet. 

Dette innebærer at det skal gjøres en interesseavveining mellom samfunnets interesser i forskningen og de ulempene behandlingen medfører for den enkelte og videre at den må klart slå ut i favør av samfunnsinteressen for å kunne bruke bestemmelsen i et forskningsprosjekt.

Ved behandling av særlige kategorier er det også krav om at den behandlingsansvarlige skal rådføre seg med personvernombudet eller en annen, som Sikts personverntjenester.  

Bruk av personopplysninger om straffedommer og lovovertredelser 

I noen forskningsprosjekter er det behov for å behandle opplysninger om straffedommer og lovovertredelser. Det er i forordningen artikkel 10 vi finner vilkår for behandling av slike opplysninger. Bestemmelsen sier for det første at all behandling av slike opplysninger må ha rettslig grunnlag i artikkel 6 nr. 1.

Dette betyr at det må foreligge et lovlig rettslig grunnlag for at det skal være adgang til å behandle opplysninger om straffedommer og lovovertredelser.  

Dersom det rettslige grunnlaget er allmenn interesse, vil det videre være krav om et supplerende rettslig grunnlag i nasjonal rett, slik som personopplysningsloven § 8 for forskning. 

I utgangspunktet kan opplysninger om straffedommer og lovovertredelser kun behandles av offentlige myndigheter. Dersom de skal behandles av andre, slik som i forskning, må det være fastsatt nasjonale bestemmelser om dette som ivaretar de registrertes rettigheter og friheter.

Det er personopplysningsloven § 11 som er en slik nasjonal bestemmelse, og bestemmelsen supplerer derfor personvernforordningen artikkel 10. 

Vilkår for å behandle opplysninger om straffedommer og lovovertredelser

Behandlingsansvarlig kan bare behandle opplysninger om straffedommer og lovovertredelser dersom behandlingen:  

  • Er basert på samtykke  
  • Er nødvendig for å beskytte vedkommende persons vitale interesser  
  • Utføres av visse ideelle organisasjoner  
  • Den registrerte selv har offentliggjort opplysningene  
  • Er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav  

Rettslig forpliktelse og forebyggende medisin eller arbeidsmedisin som behandlingsgrunnlag i kvalitetssikringsprosjekter 

Kvalitetssikringsprosjekter i høyere utdanning eller i helsesektoren er eksempler på prosjekter der dette er et egnet behandlingsgrunnlag. 

Kvalitetssikring i helsesektoren handler om å evaluere en tjeneste (prosedyre, medikament, operasjon), behandlingen utført av en enhet (team, avdeling, sykehus), eller behandling knyttet til en bestemt diagnose.

Kvalitetssikring i utdanningssektoren handler om å systematisk kvalitetsarbeid for å sikre kvaliteten i studietilbudene. 

Referanse i personopplysningsloven

I lovverket finner du bestemmelsen om rettslig forpliktelse som lovlig grunnlag her:

  • alminnelig personopplysninger: art. 6 nr. 1 bokstav c), Rettslig forpliktelse 
  • særlige kategorier av personopplysninger for kvalitetssikring i helseprosjekter: artikkel 9 nr. 2 bokstav h), Forebyggende medisin eller arbeidsmedisin

Opplysninger som det er åpenbart at den registrerte har offentliggjort

I henhold til artikkel 9 nr. 1 bokstav e) kan en behandlingsansvarlig lovlig behandle særlige kategorier personopplysninger dersom det er åpenbart at den registrerte har offentliggjort disse.  

Vilkåret om at opplysningene er offentliggjort innebærer at den registrerte har gjort opplysningene åpent tilgjengelig for et ubestemt antall mennesker.

Dette kan for eksempel være opplysninger en person har offentliggjort opplysninger om sin helsetilstand, sin politiske oppfatning eller lignende i en autorisert biografi, i en avis, internett eller andre medier som ikke er forbeholdt et bestemt antall/gruppe mennesker. 

Behandling av opplysninger om aktive partipolitikere eller personer som offentlig bekrefter sin religiøse tilhørighet, kan skje med grunnlag i denne bestemmelsen, forutsatt at det foreligger rettslig grunnlag etter artikkel 6. 

Også behandling av opplysninger som andre offentliggjør, og som den registrerte senere bekrefter, vil kunne være dekket av behandlingsgrunnlaget i art. 9 nr. 2 bokstav e). 

Relaterte sider om personvern i forskning

Personvernhåndbok for forskning

Vi veileder deg gjennom sentrale tema i personopplysningsloven, og har temasider om ulike metoder og forskningsområder.

Informasjon til deltakerne

Les om hvilken informasjon du er pålagt å gi, og bruk gjerne en av våre maler for informasjonsskriv til utvalget.

Melde endringer i prosjektet

Hvis du gjør endringer i prosjektopplegget som påvirker behandlingen av personopplysninger, må du melde fra.

Kontakt

Lurer du på noe, eller vil du vite mer om våre produkter og tjenester?

Vi vil gjerne høre fra deg.
Blid mann sitter foran PC