Lov om behandling av personopplysninger (Personopplysningsloven) inkluderer EUs Personvernforordning (GDPR; General Data Protection Regulation). I dette avsnittet finner du beskrivelser av noen sentrale begrep og definisjoner - personopplysning, behandling av personopplysninger, behandlingsgrunnlag, behandlingsansvarlig, databehandler og databehandleravtale - som det er nyttig å kjenne til når man skal behandle personopplysninger i forskningsprosjekter.
Hva er en personopplysning?
Personopplysninger er definert som enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») (EUs Personvernforordningen, artikkel 4, punkt 1). Det er med andre ord enhver opplysning som kan knyttes til èn person. Dette inkluderer opplysninger som for eksempel navn, fødselsnummer, e-postadresse, ip-adresse, telefonnummer, bilde, stemme, genetiske opplysninger, biometri og atferdsmønster. En personopplysning kan også være en kombinasjon av opplysninger (dersom sammensetning av opplysninger gjør at noen kan gjenkjenne en person). Det er også viktig å være klar over at dersom det foreligger en koblingsnøkkel (selv om du ikke har tilgang til denne), så vil opplysningene du behandler være definert som personopplysninger. I tilfeller hvor det eksisterer en koblingsnøkkel betyr at du behandler avidentifiserte opplysninger, ikke anonymiserte.
Hva er behandling av personopplysninger?
Behandling av personopplysninger er definert som enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring (EUs Personvernforordning, artikkel 4, punkt 2). Med andre ord, behandling er alt du kan tenke deg å gjøre med opplysningene.
Behandlingsgrunnlag
Det første prinsippet for behandling av personopplysninger er at behandlingen skal være lovlig (EUs Personvernforordning, artikkel 5). Det betyr at vi må ha et behandlingsgrunnlag (EUs Personvernforordning, artikkel 6). Behandling av personopplysninger i forskning er bare lovlig dersom og i den grad minst ett av følgende villkår er oppfylt:
a) den registrerte har samtykket til behandlingen av sine personopplysninger for ett eller flere spesifikke formål
e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
Sikt personverntjenester har maler til informasjonsskriv/samtykke som er tilpasset begge behandlingsgrunnlagene.
Behandlingsansvarlig
Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes (EUs Personvernforordning, artikkel 4 nr 7).
Databehandler
En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige (EUs Personvernforordning, artikkel 4 nr 8).