GDPR – Rättslig grund
Intresseavvägning
Företag kan behandla personuppgifter med stöd i intresseavvägning, som är en av sex rättsliga grunder i GDPR. Intresseavvägning innebär att man ställer de registrerades och företagets intressen gentemot varandra. Om företagets intresse väger tyngre, får företaget behandla den rättsliga grunden, utan föregående inhämtat samtycke. Detta gäller under förutsättning att behandlingen är nödvändig för ändamålet med behandlingen.
Intresseavvägning är en av sex rättsliga grunder i GDPR
Denna rättsliga grund bör användas sparsamt, med försiktighet och ska vara motiverad i varje enskilt fall. Företag måste först analysera om företaget verkligen behöver personuppgifterna och syftet med behandlingen samt vad uppgifterna ska bli använda till. Företag ska dock aldrig behandla känsliga personuppgifter med stöd i intresseavvägning.
Nödvändigt för ändamålet
Det måste vara nödvändigt för ändamålet för att ett företag ska få använda intresseavvägning som den rättsliga grunden vid behandling av personuppgifter.
Tre vanliga avtal och dokument vi skriver
- Allmänna villkor
- Aktieägaravtal
- Integritetsmeddelande
Myndigheter får inte använda intresseavvägning
Det är inte tillåtet för myndigheter att använda intresseavvägning som rättslig grund vid behandling av personuppgifter. Myndigheter brukar inte heller kunna använda samtycke som rättslig grund när de behandlar personuppgifter från medborgare eftersom det inte råder ett jämlikt förhållande.
Praktiska exempel på när intresseavvägning kan vara lämplig
– Överföra personuppgifter i en företagskoncern
I en internationell koncern med flera företag (personuppgiftsansvariga) kan de ha ett berättigat intresse av att föra över personuppgifter mellan företagen. Exempelvis för interna administrativa ändamål genom att behandla personuppgifter som tillhör de anställda. Vid sådana fall lämnar de över personuppgifterna till en tredje man och det kan vara tillåtet om företaget som utför behandlingen har ett berättigat intresse.
– Intresseavvägning för att skicka nyhetsbrev
Det är vanligt att företag skickar reklam, nyhetsbrev eller annan typ av direktmarknadsföring till olika personer. Företag behöver inte ha ett samtycke från personen, utan kan göra det med stöd av intresseavvägning. Vid sådana fall kan företagets ekonomiska intresse väga över den personliga integriteten hos den registrerade och då är det tillåtet med sådan behandling för marknadsföringsändamål. Däremot har registrerade rätt enligt GDPR att be företaget upphöra med utskicken. Företaget måste därefter respektera detta och upphöra med utskicken till den personen som invänt mot behandlingen.
Fortsatte skicka e-postmeddelanden
Ett företag fick en reprimand från tillsynsmyndigheten för att de fortsatt skicka e-postmeddelanden till en person, även efter att personen ifråga begärt att företaget skulle sluta göra det. Företaget vidtog åtgärder efteråt och tillsynsmyndigheten ansåg att det var en fråga om en mindre överträdelse. Dessutom hade företaget sagt att de hade raderat personuppgifterna vid begäran, trots att de inte hade gjort det.
Behöver ni hjälp?
Vi kan hjälpa er genom att skriva GDPR-relaterade avtal och dokument till fast pris. Till exempel integritetsmeddelande, personuppgiftsbiträdesavtal, olika bedömningar, interna rutiner m.m.
Vi har skapat olika GDPR-paket som ni kan kika igenom och se om något av de passar ert företag. Vi kan också skräddarsy ett paket utifrån ert behov.
Mer information
Samtycke som rättslig grund
När en person accepterar och säger ja till en behandling av dennes personuppgifter, har personen givit sitt samtycke. Observera att samtycket måste vara frivilligt och aktivt lämnat. Därför är det inte tillåtet att ha till exempel en förkryssad samtyckesruta, eftersom det inte anses vara ett aktivt lämnat samtycke. Dessutom har personer rätt att återkalla ett samtycke och det ska vara lika enkelt som när de lämnade samtycket. Om det är för svårt att återkalla sitt lämnade samtycke, är samtycket inte giltigt.