NMBU som behandlingsansvarlig må ha et rettslig behandlingsgrunnlag for behandling av hver enkelt personopplysning. Personopplysninger som behandles for samme formål, vil ha samme behandlingsgrunnlag. Det er opp til systemeierne å vurdere om man har et grunnlag og i så fall hvilket. Dette gjøres i systemoversikten.
Fødselsnummer regnes ikke som en sensitiv opplysning.
Sensitive personopplysninger, som i loven kalles "særlige kategorier av personopplysninger", defineres som følgende opplysningstyper:
- rase eller etnisk opprinnelse
- politisk oppfatning
- religiøs overbevisning eller livssyn
- genetiske opplysninger
- biometriske opplysninger
- helseopplysninger
- opplysninger om seksuelle forhold eller seksuelle orientering
- fagforeningsmedlemskap
GDPR (personvernforordningen) setter strengere vilkår for å behandle slike opplysninger, som krever ekstra vern, jf. artikkel 9.
For at NMBU skal kunne behandle slike opplysninger, kreves det at vi i tillegg til et alminnelig behandlingsgrunnlag oppfyller et av følgende vilkår:
- Den registrerte har gitt uttrykkelig samtykke for ett eller flere spesifikke formål (sjeldent anvendelig i arbeidsforhold)
- Nødvendig for å oppfylle arbeidsrettslige forpliktelser eller rettigheter
- Personopplysninger som den registrerte selv åpenbart har offentliggjort
- Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
- Nødvendig av hensyn til viktige allmenne interesser, med hjemmel i lov
- Nødvendig i forbindelse med arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, med hjemmel i lov eller en avtale med helsepersonell, og forutsatt lovpålagt taushetsplikt
- Nødvendig av allmenne folkehelsehensyn, som f.eks. smittevern. Behandlingen må ha lovhjemmel og det forutsettes at det gjelder lovpålagt taushetsplikt.
- Nødvendig av arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, eller for statistiske formål.