3 Forholdet til personopplysningsloven og EUs personvernforordning (GDPR)
Etter personopplysningsloven § 1 gjelder EUs personvernforordning (GDPR) som norsk lov. Etter definisjonen i GDPR artikkel 4 nr. 1 omfatter «personopplysninger» «enhver opplysning om en identifisert eller identifiserbar fysisk person». Det følger videre at en «identifiserbar fysisk person» er «en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet».
Enhver behandling av personopplysninger må ha et behandlingsgrunnlag for å være lovlig. GDPR artikkel 6 angir de alternative behandlingsgrunnlagene det kan bygges på, se artikkel 6 nr. 1 bokstav a til f. Offentlige myndigheter bør normalt ikke bruke samtykke som behandlingsgrunnlag, siden den enkelte ofte kan være i et avhengighetsforhold til organet.
For noen typer personopplysninger, se GDPR artikkel 9 og 10, forutsetter lovlig behandling av opplysningene at det både foreligger et gyldig behandlingsgrunnlag etter artikkel 6 og i tillegg at vilkårene i artikkel 9 eller artikkel 10 er oppfylt. Artikkel 9 gjelder personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering», mens artikkel 10 gjelder behandling av personopplysninger som omhandler straffedommer og lovovertredelser.
GDPR inneholder også egne regler om behandling av opplysninger som skal brukes for andre formål enn det opprinnelige innsamlingsformålet, såkalt viderebehandling. Personopplysninger skal i utgangspunktet «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene», se artikkel 5 nr. 1 bokstav b. Forordningen artikkel 6 nr. 4 inneholder nærmere bestemmelser om behandling av personopplysninger for andre formål enn det de var innhentet for. Personopplysninger kan brukes til nye formål dersom det nye formålet er forenlig med det opprinnelige innsamlingsformålet. Dersom det nye formålet ikke er forenlig med innsamlingsformålet, må viderebehandlingen ha grunnlag i lov eller samtykke. Det innebærer at lovgrunnlaget eller samtykket må knytte seg til selve viderebehandlingen for uforenlige formål.
En oversikt over forholdet mellom personopplysningsloven og forvaltningsloven er gitt i forslaget til ny forvaltningslov i NOU 2019: 5 punkt 19.3.2 s. 275-277. Prop. 56 LS (2017–2018) om ny personopplysningslov inneholder i tillegg nærmere beskrivelser av kravene som følger av GDPR, se særlig punkt 6.3 om behandlingsgrunnlag, punkt 6.6 om viderebehandling og punkt 7.1.2 om særlige kategorier av personopplysninger. Personopplysningsloven er også behandlet i litteraturen, se for eksempel Jarbekk 2019, Schartum & Bygrave 2016, Skullerud m.fl. 2019 og Wessel-Aas & Ødegaard 2018.
I forslaget til ny forvaltningslov er det presisert at opplysninger om noens personlige forhold bare kan deles dersom det er «nødvendig og ikke utgjør et uforholdsmessig inngrep overfor den opplysningen gjelder». I en oversikt over utvalgets forslag heter det (Rathore & Ødelien 2019):
«Fordi opplysninger om noens personlige forhold alltid også vil være en personopplysning etter personopplysningsloven og personvernforordningen, vil en slik begrensning i delingsadgangen ofte uansett følge av personvernregelverket.»
I saker om arbeidslivskriminalitet gjelder det en egen regel i personopplysningsloven § 12 a om adgang for forvaltningsorganer å dele også personopplysninger som ikke er taushetsbelagte, se punkt 5.7 nedenfor.