Tilbake til OSS-biblioteket
📋 Offentlighet, innsyn og personvern 🔐 Behandlingsgrunnlag

Når har kommunen lov til å behandle personopplysninger, og hva er et behandlingsgrunnlag?

📅 11.02.2026 👁️ 8 visninger
Loading the Elevenlabs Text to Speech AudioNative Player...
⚖️ Svar fra advokaten

A) Konklusjon

All behandling av personopplysninger krever et rettslig behandlingsgrunnlag etter GDPR artikkel 6. For kommuner er de mest aktuelle grunnlagene rettslig forpliktelse (art. 6 nr. 1 bokstav c), oppgave i allmenhetens interesse/utøvelse av offentlig myndighet (art. 6 nr. 1 bokstav e), og samtykke (art. 6 nr. 1 bokstav a). Ved behandling av særlige kategorier personopplysninger (helseopplysninger, etnisitet mv.) kreves i tillegg et grunnlag etter GDPR artikkel 9.

B) Skille-modus

Gjeldende rett

  • Krav til behandlingsgrunnlag: Enhver behandling av personopplysninger skal ha minst ett rettslig grunnlag i GDPR artikkel 6 nr. 1, jf. personopplysningsloven § 1.
  • De mest relevante grunnlagene for kommunen:
    • (a) Samtykke: Den registrerte har gitt et uttrykkelig, frivillig, informert og utvetydig samtykke. OBS: Samtykke er sjelden egnet som grunnlag i forholdet offentlig myndighet–borger pga. maktasymmetri.
    • (b) Avtale: Nødvendig for å oppfylle en avtale den registrerte er part i (f.eks. arbeidsavtale, tjenesteavtale).
    • (c) Rettslig forpliktelse: Nødvendig for å oppfylle en rettslig forpliktelse kommunen er pålagt (f.eks. plikt til journalføring, innrapportering, arkivplikt).
    • (e) Allmenhetens interesse/offentlig myndighetsutøvelse: Nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet (f.eks. saksbehandling etter forvaltningsloven, helse- og omsorgstjenesteloven o.l.).
  • Særlige kategorier (art. 9): For helseopplysninger, fagforeningsmedlemskap, etnisitet mv. kreves i tillegg et grunnlag etter art. 9 nr. 2, f.eks. bokstav b (arbeidsrett/trygderett), bokstav g (allmenhetens interesse) eller bokstav h (helsetjenester).
  • Supplerende nasjonalt grunnlag: Personopplysningsloven §§ 6, 7, 8 og 9 gir supplerende nasjonale grunnlag for bl.a. arkivformål, forskning og behandling av personnummer.

Veiledning/praksis

  • Datatilsynets veiledning understreker at kommunen må identifisere og dokumentere behandlingsgrunnlaget før behandlingen starter.
  • Kommunen skal opprette en behandlingsprotokoll (art. 30) som bl.a. angir behandlingsgrunnlag for hver behandlingsaktivitet.

Skjønn

  • Valget mellom samtykke og annen hjemmel kan innebære en vurdering av maktforholdet: Datatilsynet og EDPB (European Data Protection Board) fraråder bruk av samtykke der den registrerte i realiteten ikke har et fritt valg (f.eks. når kommunen er lovpålagt å yte tjenesten).

Anbefalt praksis

  • Dokumentér behandlingsgrunnlag i behandlingsprotokollen (art. 30).
  • Bruk rettslig forpliktelse (bokstav c) eller allmenhetens interesse (bokstav e) som hovedgrunnlag for lovpålagte oppgaver.
  • Begrens bruken av samtykke til situasjoner der den registrerte faktisk har reelt valg.

C) Hva betyr dette i praksis? (for saksbehandler)

  1. Før du behandler personopplysninger: Identifiser hvilket behandlingsgrunnlag som gjelder.
  2. Dokumentér grunnlaget i behandlingsprotokollen (GDPR art. 30).
  3. Ved samtykke: Sørg for at samtykket er frivillig, informert, spesifikt og utvetydig. Dokumentér samtykket.
  4. Ved lovhjemmel: Identifiser den konkrete lovbestemmelsen som pålegger behandlingen.
  5. Ved særlige kategorier: Kontroller at det finnes grunnlag også etter art. 9.
  6. Informer den registrerte om behandlingsgrunnlaget (GDPR art. 13/14).

D) Vilkår og frister

Vilkår Dokumentasjon Frist Konsekvens
Behandlingsgrunnlag identifisert Behandlingsprotokoll (art. 30) Før behandling starter Ulovlig behandling ⇒ tilsynssak/gebyr
Informasjonsplikt oppfylt Personvernerklæring/informasjonsskriv Ved innsamling (art. 13) Brudd på informasjonsplikt
Samtykke (der brukt) Dokumentert, spesifikt samtykke Før behandling Kan trekkes tilbake – behandling må da opphøre
Behandlingsprotokoll ført Art. 30-protokoll Løpende Plikt for alle behandlingsansvarlige

E) Dokumentasjon (minimum)

  • Behandlingsprotokoll (GDPR art. 30) med behandlingsgrunnlag per aktivitet
  • Personvernerklæring / informasjonsskriv til de registrerte
  • Eventuelt samtykkedokumentasjon
  • Vurdering av behandlingsgrunnlag for nye tjenester/systemer (DPIA der nødvendig)

F) Kilder

Kilde Type Bindendegrad
Personvernforordningen (GDPR) art. 6 (lovlig behandling) Forordning/lov [Bindende]
Personvernforordningen (GDPR) art. 9 (særlige kategorier) Forordning/lov [Bindende]
Personvernforordningen (GDPR) art. 30 (behandlingsprotokoll) Forordning/lov [Bindende]
Personopplysningsloven §§ 6–9 (supplerende grunnlag) Lov [Bindende]
Datatilsynets veileder om behandlingsgrunnlag Veileder [Sterkt veiledende]
EDPB Guidelines 05/2020 on consent Praksis [Praksis/standard]

Sist kontrollert: 11.02.2026

G) Sjekkliste (kopi-inn i rutine)

  1. ☐ Behandlingsgrunnlag identifisert og dokumentert i behandlingsprotokoll
  2. ☐ Ved samtykke: kontrollert at samtykket er frivillig, informert, spesifikt og utvetydig
  3. ☐ Ved lovhjemmel: konkret lovbestemmelse angitt
  4. ☐ Ved særlige kategorier: art. 9-grunnlag identifisert
  5. ☐ Informasjonsplikt oppfylt (personvernerklæring/informasjonsskriv)
  6. ☐ DPIA vurdert for nye behandlingsaktiviteter (GDPR art. 35)
  7. ☐ Behandlingsprotokoll (art. 30) oppdatert

H) Vanlige feil og fallgruver

  1. Bruker samtykke som «standardgrunnlag» – i offentlig sektor er samtykke sjelden egnet pga. maktasymmetri mellom kommunen og borgeren.
  2. Manglende dokumentasjon – behandlingsgrunnlaget er aldri nedskrevet, noe som gjør det vanskelig å demonstrere lovlighet ved tilsyn.
  3. Blander behandlingsgrunnlag og formål – grunnlaget (art. 6) og formålet med behandlingen er to ulike krav som begge må oppfylles.
  4. Glemmer art. 9 ved helseopplysninger – kommunens helse- og omsorgstjeneste behandler rutinemessig helseopplysninger og trenger tilleggsgrunnlag.
  5. Endrer formål uten ny vurdering – personopplysninger kan ikke gjenbrukes til helt nye formål uten at behandlingsgrunnlaget er vurdert på nytt.
  6. Manglende informasjon til de registrerte – den registrerte har krav på å vite hvilket behandlingsgrunnlag kommunen bruker (art. 13 nr. 1 bokstav c).
Var dette svaret nyttig?

✅ Relaterte sjekklister

Innsynskrav – mottak, vurdering og svar
7 punkter
DPIA (personvernkonsekvensvurdering)
7 punkter
Avvikshåndtering personopplysninger
7 punkter