Sammendrag: Behandles det personopplysninger knyttet til arkiv for allmennhetens interesse, vitenskapelig/historisk forskning eller statistiske formål, skal personvernet til de personopplysningene gjelder sikres etter forordningen. Sikringen skal særlig være minimering av opplysning som behandles ved informasjonsikkerhetstiltak, som kan være pseudonymisering, eller anonymisert viderebehandling om dette ikke er til hinder for det opprinnelige formålet for innsamlingen av personopplysningene. Det kan i lovgivningen gis unntak fra rettighetene til personene som personopplysningene gjelder i ved slik behandling.
1. Behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal omfattes av nødvendige garantier i samsvar med denne forordning for å sikre den registrertes rettigheter og friheter. Nevnte garantier skal sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Nevnte tiltak kan omfatte pseudonymisering, forutsatt at nevnte formål kan oppfylles på denne måten. Dersom nevnte formål kan oppfylles ved viderebehandling som ikke gjør det mulig eller ikke lenger gjør det mulig å identifisere de registrerte, skal formålene oppfylles på denne måten.
2. Når personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18 og 21, med forbehold for vilkårene og garantiene nevnt i nr. 1 i denne artikkel, i den grad det er sannsynlig at slike rettigheter vil gjøre det umulig eller i alvorlig grad vil hindre oppfyllelsen av de spesifikke formålene, og slike unntak er nødvendig for å oppfylle nevnte formål.
3. Når personopplysninger behandles for arkivformål i allmennhetens interesse, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18, 19, 20 og 21, med forbehold for vilkårene og garantiene nevnt i nr. 1 i denne artikkel, i den grad det er sannsynlig at slike rettigheter vil gjøre det umulig eller i alvorlig grad vil hindre oppfyllelsen av de spesifikke formålene, og slike unntak er nødvendig for å oppfylle nevnte formål.
4. Når en behandling nevnt i nr. 2 og 3 samtidig har andre formål, får unntakene anvendelse bare på behandling for formålene nevnt i disse numre.
Artikkel 4. Definisjoner, se punkt 5 – «psudonymisering»
Artikkel 6. Behandlingens lovlighet, se nr. 4
Artikkel 25. Innebygd personvern og personvern som standardinnstilling, se nr. 1
Artikkel 32. Sikkerhet ved behandlingen, se nr. 1 punkt a
Artikkel 40. Atferdsnormer, se nr. 2 punkt d
Personopplysningsloven § 8
Personopplysningsloven § 9
Personopplysningsloven § 17
Omfatter alle opplysninger som kan knyttes til identifiserbar fysisk person, men ikke anonymiserte opplysninger*
26. Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.
*ikke offisiell overskrift
Pseudonymisering*
28. Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.
*ikke offisiell overskrift
Pseudonymisering hos samme behandlingsansvarlig*
29. For å skape insitamenter til bruk av pseudonymisering i forbindelse med behandling av personopplysninger bør pseudonymiseringstiltak som samtidig tillater en generell analyse, være mulig hos den samme behandlingsansvarlige når denne har truffet de tekniske og organisatoriske tiltak som er nødvendige for å sikre at denne forordning gjennomføres med tanke på den berørte behandlingen, og at tilleggsopplysninger som gjør det mulig å knytte personopplysningene til en bestemt registrert, lagres atskilt. Den behandlingsansvarlige som behandler personopplysningene, bør angi de autoriserte personene hos den samme behandlingsansvarlige.
*ikke offisiell overskrift
Politiske partiers behandling av personopplysninger*
56. Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.
*ikke offisiell overskrift
Risiko ved behandling av personopplysninger*
75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
*ikke offisiell overskrift
Sikring ved tekniske og organisatoriske tiltak. Personvern som standardinnstllinger*
78. Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i denne forordning oppfylles. For å påvise at denne forordning overholdes bør den behandlingsansvarlige vedta interne retningslinjer og gjennomføre tiltak som særlig overholder prinsippene om innebygd personvern og personvern som standardinnstilling. Nevnte tiltak kan blant annet omfatte å minimere behandlingen av personopplysninger, pseudonymisere personopplysninger så raskt som mulig, sikre at behandlingen og formålene med den er åpen, gjøre det mulig for den registrerte å kontrollere behandlingen samt gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og å forbedre dem.
Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.
*ikke offisiell overskrift
Krav til behandling for formål knyttet til arkiv, vitenskapelig/historisk forskning eller statistikk*
156. Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.
*ikke offisiell overskrift
Registre knyttet til forskning*
157. Ved å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon. På grunnlag av registre kan forskningsresultater forbedres, ettersom registrene omfatter større befolkningsgrupper. Innen samfunnsvitenskap gjør registerforskning det mulig for forskere å få viktig kunnskap om den langsiktige sammenhengen mellom en rekke sosiale forhold, f.eks. arbeidsløshet og utdanning, og andre livsvilkår. Forskningsresultater oppnådd gjennom registerforskning gir omfattende kunnskap av høy kvalitet som kan danne grunnlaget for utformingen og gjennomføringen av en kunnskapsbasert politikk, forbedre livskvaliteten til en rekke mennesker og gjøre sosialtjenester mer effektive. For å fremme vitenskapelig forskning kan personopplysninger behandles for formål knyttet til vitenskapelig forskning, med forbehold for nødvendige vilkår og garantier fastsatt i unionsretten eller i medlemsstatenes nasjonale rett.
*ikke offisiell overskrift
Behandling av personopplysninger til arkivformål*
158. Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer. Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkivformål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.
*ikke offisiell overskrift
Behandling for formål knyttet til vitenskapelig forskning*
159. Når personopplysninger behandles i forbindelse med formål knyttet til vitenskapelig forskning, bør denne forordning også få anvendelse på slik behandling. I denne forordning bør behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. I tillegg bør den ta hensyn til Unionens mål om å skape et europeisk forskningsområde i henhold til artikkel 179 nr. 1 i TEUV. Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i allmennhetens interesse på området folkehelse. For å ta hensyn til de særlige forholdene som gjelder ved behandling av personopplysninger i forbindelse med vitenskapelig forskning, bør særlige vilkår få anvendelse, særlig med hensyn til publisering eller annen utlevering av personopplysninger i forbindelse med nevnte formål. Dersom resultatet av den vitenskapelige forskningen, særlig på området helse, berettiger ytterligere tiltak i den registrertes interesse, bør de allmenne bestemmelsene i denne forordning få anvendelse med henblikk på nevnte tiltak.
*ikke offisiell overskrift
Behandling for formål knyttet til historisk forskning*
160. Når personopplysninger behandles i forbindelse med formål knyttet til historisk forskning, bør denne forordning også få anvendelse på slik behandling. Dette bør også omfatte historisk forskning og genealogisk forskning, idet det tas hensyn til at denne forordning ikke bør få anvendelse på avdøde personer.
*ikke offisiell overskrift
Samtykke ved vitenskapelig forskning*
161. Når det gjelder samtykke til å delta i vitenskapelige forskningsaktiviteter i forbindelse med kliniske utprøvinger, bør de relevante bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 536/2014 få anvendelse.
*ikke offisiell overskrift
Behandling til statistisk formål*
162. Når personopplysninger behandles for statistiske formål, bør denne forordning få anvendelse på slik behandling. I unionsretten eller medlemsstatenes nasjonale rett bør det innenfor rammene av denne forordning fastsettes statistisk innhold, tilgangskontroll, spesifikasjoner for behandling av personopplysninger for statistiske formål og egnede tiltak for å sikre den registrertes rettigheter og friheter samt for å sikre konfidensiell behandling av statistiske opplysninger. Med statistiske formål menes enhver innsamling og behandling av personopplysninger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater. Nevnte statistiske resultater kan deretter brukes til forskjellige formål, herunder til vitenskapelig forskning. Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller personopplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person.
*ikke offisiell overskrift
Vern av konfidensielle opplysninger behandlet av EU og nasjonale statistikkmyndigheter*
163. De konfidensielle opplysningene som Unionens og nasjonale statistikkmyndigheter samler inn for å utarbeide offisiell EU-statistikk og offisiell nasjonal statistikk, bør vernes. EU-statistikk bør utvikles, utarbeides og formidles i samsvar med de statistiske prinsippene fastsatt i artikkel 338 nr. 2 i TEUV, mens nasjonal statistikk også bør være i samsvar med medlemsstatenes nasjonale rett. Ved europaparlaments- og rådsforordning (EF) nr. 223/2009 er det fastsatt ytterligere spesifikasjoner for konfidensiell behandling av statistiske opplysninger i Europa.
*ikke offisiell overskrift
Article 89. Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes
1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner.
2. Where personal data are processed for scientific or historical research purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of this Article in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes.
3. Where personal data are processed for archiving purposes in the public interest, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18, 19, 20 and 21 subject to the conditions and safeguards referred to in paragraph 1 of this Article in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes.
4. Where processing referred to in paragraphs 2 and 3 serves at the same time another purpose, the derogations shall apply only to processing for the purposes referred to in those paragraphs.
< Artikkel 88 | Artikkel 90 >