Du er altfor opptatt av behandlingsgrunnlag! (En rant)
Du trodde kanskje ikke at jeg – en personvernrådgiver – skulle si at du er FOR opptatt av behandlingsgrunnlag? Og det er jo en litt vill ting å si, i og med at behandlingsgrunnlag er en forutsetning for at behandlingen er lovlig.
Så hvordan kan jeg hevde det? Jo, jeg mener spørsmålet om behandlingsgrunnlag er noe det er veldig lett at vi henger oss opp i.
Litt sånn som rettskriving eller hvor kommaet skal stå. Med mindre du har å gjøre med syntaksfeil (à la «heng ham, ikke vent til jeg kommer» vs. «heng ham ikke, vent til jeg kommer»), er det ingen som bryr seg om komma.
Og litt på samme måten synes jeg vi noen ganger blir altfor opptatt av behandlingsgrunnlag. Let me explain…
Hvis du har et behandlingsgrunnlag, men har brukt et annet som er feil, har du fortsatt et behandlingsgrunnlag!
Den norske personvernnemnda har nylig avsagt en avgjørelse i en sak som handlet om behandlingsgrunnlag. En barnehage hadde filmet et barn i forbindelse med en sak hvor barnet trengte ekstra oppfølging.
Barnehagen hadde opprinnelig innhentet samtykke fra foresatte for dette, men hadde egentlig hjemmel i aktivitetsplikten i barnehageloven med forskrift.
Spørsmålet i saken var om kommunen som barnehageeier hadde behandlingsgrunnlag for behandlingen. De hadde nemlig trodd at de måtte ha samtykke, noe som ikke var tilfelle.
Og nemnda sa følgende om akkurat det:
«Dersom man har behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) mister man ikke dette behandlingsgrunnlaget ved feilaktig å tro at man trenger et samtykke for behandlingen.»
Datatilsynet hadde heller sett på dette som at kommunen hadde «byttet» behandlingsgrunnlag, noe som ifølge EDPBs retningslinjer om behandlingsgrunnlag, ikke er lov. Men nemnda mente at dette ikke var det samme som å bytte behandlingsgrunnlag.
Hva forteller denne saken oss?
Jo, at hvis du faktisk har et behandlingsgrunnlag i form av hjemmel i lov, så kan ikke det at du viser til feil grunnlag gjøre at behandlingen blir ulovlig. Du har fortsatt et behandlingsgrunnlag, selv om du ikke vet hva det er.
Det å ikke ha oversikten over hva som er det korrekte behandlingsgrunnlaget, er ÅPENBART noe jeg vil fraråde på det sterkeste. For har du ikke denne oversikten, lever du i stor usikkerhet på om du i det hele tatt har et behandlingsgrunnlag!
Men dette sier noe om at om du ikke kan miste behandlingsgrunnlaget ditt ved å vise til feil grunnlag.
Når skal du bruke GDPR artikkel 6 bokstav c) og når skal du bruke e) – en hovedregel
Når du har en hjemmel i lov eller forskrift til å behandle personopplysninger, må du ta stilling til når du skal bruke GDPR artikkel 6 nr. 1 bokstav c) «rettslig forpliktelse» og når du skal bruke GDPR artikkel 6 nr. 1 bokstav e) «oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet».
Den hovedregelen jeg bruker her, er at om du er et offentlig organ som løser oppgaver som fremgår av lov eller forskrift, bruker du GDPR artikkel 6 nr. 1 bokstav e) som «det primære» behandlingsgrunnlaget.
Men, hvis forpliktelsen din er skikkelig tydelig, f.eks. aktivitetsplikten din etter barnehageloven kapittel 8 eller opplæringslova kapittel 9A, ja, da bruker du GDPR artikkel 6 nr. 1 bokstav c) som «det primære» behandlingsgrunnlaget.
Dette er en feig diskusjon
Bruk av bokstav c) eller e) er en DISKUSJON. Jeg jobber for tiden i skolesektoren med å gjøre en nasjonal DPIA for bruk av Google Workspace for Education i skolen, og tro meg, dette med behandlingsgrunnlag er DET spørsmålet hvor folk er aller mest engasjert.
Ikke vanskelige ansvarsfordelingsspørsmål knyttet til en leverandørs behandling av personopplysninger til egne formål – nei, nei. Behandlingsgrunnlag!
Jeg synes det å bruke masse tid på bokstav c) eller e) er litt som å diskutere hvor kommaet skal stå: det er noe du bruker altfor mye tid på å krangle om. For i 99% av tilfellene HAR du et supplerende behandlingsgrunnlag i lov eller forskrift.
Og la meg nå fortelle deg hvorfor jeg tror behandlingsgrunnlag får så sykt mye oppmerksomhet i de tilfellene hvor alle er enige om at du har et supplerende behandlingsgrunnlag i nasjonale lovgivnig.
Dette blir en kjempediskusjon om «hvem som har rett» fordi «the stakes are very low».
Jammen, Ida! Dette handler om lovlighet, hvordan kan du bagatellisere det?
Premisset her er at du HAR en lovlig behandling fordi du har et supplerende behandlingsgrunnlag i lov eller forskrift. Hva som er det primære er da ikke så farlig.
Kommer Datatilsynet til å fortelle deg at behandlingen din er ulovlig fordi du valgte c) fremfor e)? Nope!
Så hva er da problemet? Hvorfor blir dette en kjempediskusjon?
Jeg tror dette er en diskusjon mange går inn i nettopp fordi det ikke vil ha så store konsekvenser om du tar feil. Og da er det på en rar måte enda artigere å små-krangle om hva som er mest riktig.
Og jeg er ikke noe unntak. Dette er en TYPISK diskusjon hvor en tidligere versjon av meg selv hadde ELKSET å små-krangle med andre om at «min argumentasjon er riktigst».
Men den typen detaljert små-krangling er også veldig feigt. Det er MYE enklere å ha veldig sterke meninger om c) eller e), enn de mye mer vanskelige problemstillingene f.eks. om leverandørens behandling av personopplysninger til egne formål.
Å være altfor opptatt av behandlingsgrunnlag – når det er ÅPENBART at du har et behandlingsgrunnlag – er å prioritere feil. Så bruk tiden din bedre!
Rant slutt!