Det är vanligt för företag att använda avtal som rättslig grund vid behandling av personuppgifter. Om en registrerad är en avtalspart i ett avtal med ett företag, får företaget behandla personuppgifter som är nödvändiga för att fullgöra avtalet.
De sex (6) rättsliga grunderna enligt GDPR är följande: samtycke, myndighetsutövning, rättslig förpliktelse, grundläggande intresse, intresseavvägning och avtal. Dessutom måste företaget följa dataskyddsprinciperna som gällen enligt GDPR vid all behandling av personuppgifter.
Använda avtal som rättslig grund vid behandling av personuppgifter
Här är några exempel på situationer där det är vanligt att använda avtal som rättslig grund vid behandling av personuppgifter:
Leverantörsavtal
När ett företag ingår ett leverantörsavtal är det vanligt att det finns avtalsklausuler som gäller längre än avtalet i fråga. Exempelvis kan det vara klausuler som handlar om sekretess eller immaterialrätt. Därför kan företaget komma att behöva spara avtalen efter avtalstidens slut, för att fullgöra avtalsvillkoren. Behandling av personuppgifterna kan därmed även förekomma efter avtalstidens slut, med stöd i avtalet.
Anställningsavtal
Ett företag ska inte använda samtycke som rättslig grund vid behandling av personuppgifter som tillhör de anställda. Därför är det vanligt att använda avtal som rättslig grund istället, närmare bestämt ett anställningsavtal. Exempelvis kan arbetsgivaren behandla den anställdes personuppgifter för att skapa användarkonton som denne kan använda i tjänsten för att utföra sina arbetsuppgifter.
Ett företag samlar in personuppgifter och persondata av sina anställda, och i många fall även känsliga personuppgifter, såsom sjukfrånvaro.
För att arbetsgivaren ska uppfylla sina rättsliga förpliktelser enligt exempelvis lagen om anställningsskydd eller lagen om sjuklön, kan behandlingen i sådana fall bli grundad på rättslig förpliktelse istället.
