RÄTTSLIGA GRUNDER VID BEHANDLING AV PERONUPPGIFTER

Enligt GDPR finns det sex (6) rättsliga grunder vid behandling av personuppgifter, och företag måste tillämpa en av dem vid varje behandling av personuppgifter. Behandling måste vara rättsligt grundad för att vara laglig.

Behandling av personuppgifter måste vara rättsligt grundad för att vara laglig rättslig grund avtalsgdpr

Rättsliga grunder vid behandling av personuppgifter

Rättsliga grunder är ett annat ord för lagliga grunder. Även fast GDPR gäller för framförallt företag, myndigheter och organisationer, kan det även gälla för privatpersoner. En personuppgift är en uppgift som kan knytas till en fysiskt levande person, direkt eller indirekt. Det spelar ingen roll om det är en tydlig personuppgift, såsom ett namn, eller en otydlig uppgift som kan identifiera en individ genom en så kallad bakvägsidentifikation. Exempelvis om det finns ett spårningsnummer på ett kort där det inte direkt framgår vem personen är genom att läsa koden, men att det finns ett register på annan plats där det framgår. 

Personuppgifter och dess livscykel

Först och främst måste den personuppgiftsansvarige identifiera vilka kategorier av personer som ingår i behandlingen. Exempelvis kan personuppgifterna tillhöra företagets kunder och medarbetare.

Därefter måste den personuppgiftsansvarige identifiera ändamålet med behandlingen och bestämma rättslig grund för varje enskild behandling. Om en behandling av personuppgifter blir utförd utan stöd i en rättslig grund, är behandlingen olaglig. Det är även viktigt att den personuppgiftsansvarige uttryckligen förmedlar denna informationen till de registrerade personerna. Detta sker normalt skriftligen genom att upprätta en dataskyddspolicy och publicera den på sin hemsida (även kallat för integritetspolicy eller personuppgiftspolicy). Med andra ord ska den registrerade personen, vars personuppgifter blir behandlade av den personuppgiftsansvarige, få information om ändamålet med behandlingen, vilken rättslig grund som blir använd, hur länge företaget ska behandla personuppgifterna m.m.

Slutligen måste den personuppgiftsansvarige radera personuppgifterna när de inte längre är nödvändiga att behandla för ändamålet de blev insamlade för. Sådan radering av personuppgifter är även kallat för gallring av personuppgifter enligt GDPR.

Nedan följer en sammanställning av de sex (6) stycken olika rättsliga grunderna som finns enligt GDPR (Artikel 6 GDPR): Avtal, Samtycke, Intresseavvägning, Rättslig förpliktelse, Grundläggande intresse samt Allmänt intresse och myndighetsutövning.

Rättsliga grunder vid behandling av personuppgifter avtalgdpr

Samtycke som rättslig grund

En privatperson kan lämna sitt samtycke för att företaget ska få behandla personuppgifter för ett specifikt och uttryckligt angivet ändamål. Dessutom har personen rätt att återkalla samtycket och det måste vara lika lätt som att lämna samtycket.

Det är vanligt att använda samtycke som rättslig grund när en person köper någonting. Däremot var det vanligare förr, men efter att GDPR började gälla är det i många fall inte den mest lämpliga rättsliga grunden att använda.

Till exempel bör samtycke inte bli använt som rättslig grund när en arbetsgivare behandlar personuppgifter tillhörande en anställd. Anledningen till detta är att en anställd har en underlägsen ställning i förhållande till arbetsgivaren, och att det därför kan ifrågasättas huruvida samtycket är frivilligt lämnat av den anställde eller inte. Därför är det bra att undvika att använda samtycke som rättslig grund till en personuppgiftsbehandling i relationen mellan arbetsgivare och arbetstagare samt andra icke jämställda partsförhållanden.

Däremot finns det situationer där samtycke är en lämplig rättslig grund. Exempelvis är det vanligt att olika online gratistjänster använder samtycke som rättslig grund för personuppgiftsbehandling, samt vid utskick av nyhetsbrev.

Även barn har rätt att samtycka till behandling av sina personuppgifter. I Sverige är åldersgränsen 13 år, vilket står reglerat i kompletteringslagen till dataskyddsförordningen.

Det är den personuppgiftsansvarige som måste bevisa att ett giltigt samtycke har blivit inhämtat från den registrerade. Därför är det rekommenderat att lämnade samtycken ska vara skriftliga. Dessutom ska samtycket vara frivilligt för att gälla.

När det gäller behandling av känsliga personuppgifter är kravet högre på att samtycket ska vara uttryckligt och det får därför inte vara underförstått. Istället för att bara inkludera ett samtycke i integrietspolicyn som användaren godkänner, ska det vara separat. Med andra ord behöver det vara en separat kryssruta som användaren aktivt ska godkänna och som enbart handlar om just behandlingen av de känsliga personuppgifterna.

Avtal som rättslig grund

Om en person ingår ett avtal eller har den avsikten, kan det vara nödvändigt att behöva behandla personuppgifter som tillhör avtalsparterna för att fullgöra avtalet. Behandlingen av personuppgifterna är vid sådana fall tillåten med stöd i avtal som rättslig grund. Ett företag som vill sälja personuppgifter som tillhör en registrerad måste få godkänt av individen för att få göra det.

Det finns flera situationer där det är vanligt att använda avtal som rättslig grund. Exempelvis när ett företag ingår ett anställningsavtal eller leverantörsavtal. En annan situation där den registrerade är avtalspart och att det därför kan vara nödvändigt att behandla personuppgifter, är om personen handlar i en e-handelsbutik. Företaget behöver då kundens personuppgifter för att bland annat kunna leverera de köpta produkterna. Däremot är det viktigt att tänka på att personuppgifterna enbart får bli använda för fullfölja avtalet, men inte för andra ändamål.

Intresseavvägning som rättslig grund

Intresseavvägning innebär att ett företag får behandla registrerades personuppgifter utan samtycke och utan avtal, om företagets intressen väger tyngre och om behandlingen är nödvändig för ändamålet med behandlingen. Denna rättsliga grund bör användas sparsamt, med försiktighet och ska vara motiverad i varje enskilt fall. Dessutom är det viktigt att känna till att känsliga personuppgifter aldrig får bli behandlade med stöd i denna rättsliga grund.

Om den den registrerades intresse av skydd för sina personuppgifter väger tyngre, är behandlingen med stöd i intresseavvägning inte tillåten. Exempelvis om det är ett barn som behandlingen avser brukar det inte vara tillåtet. Dessutom kan inte en myndighet använda denna rättsliga grund, utan enbart företag eller organisationer.

Det finns flera delar att analysera för att se om det är lämpligt att använda intresseavvägning som rättslig grund. Först och främst vilka aktörer som blir berörda av behandlingen. Därefter om en tredje part eller företagets personuppgiftsansvarig har ett berättigat intresse. Företaget måste även analysera hur mycket individen blir påverkad av behandlingen och komma fram till om företagets intressen till behandlingen väger högre än rättigheterna för individen.

Exempelvis kan företag använda intresseavvägning som rättslig grund vid behandling av personuppgifter för direktmarknadsföring. Men vid sådana fall är det viktigt att tänka på att behandlingen av personuppgifterna ska upphöra för detta ändamål, om den registrerade personen ifråga motsätter sig direktmarknadsföringen och invänder mot behandlingen.

Rättslig förpliktelse som rättslig grund

En personuppgiftsansvarig kan behöva behandla personuppgifter eftersom någon lagstiftning kräver det. Det finns flera exempel i svensk lagstiftning. Bokföringslagen anger att bokförigsunderlag behöver vara lagrat inom viss tid och därför behöver företag spara fakturor och kvitton i ett visst antal år även om de innehåller personuppgifter.

Även patientdatalagen är ett exempel på en lagstiftning som innebär att företag behöver lagra personuppgifter längre än det syfte de annars blev inhämtade för.

Det är viktigt att känna till att företaget inte får använda personuppgifterna hur som helst bara för att de behöver vara lagrade enligt annan lag än GDPR. Arbetsgivare kan behöva behandla uppgifter om anställda eftersom det finns lagar som begär det. Exempelvis för att kunna betala sociala avgifter och enligt lagen om sjuklön. Vid sådana fall är det rättslig förpliktelse som är den lagliga grunden.

Grundläggande intresse som rättslig grund

Det är tillåtet att använda grundläggande intresse som laglig grund för en behandling av personuppgifter, men då måste det vara omöjligt för personen ifråga att lämna sitt samtycke. I vissa fall kan det vara så att en person inte kan lämna ett samtycke för behandling av personuppgifter som tillhör individen. Exempelvis om personen inte kan lämna det eftersom det finns ett fysiskt hinder.

Denna rättsliga grund innebär att personuppgifter får behandlas om det är nödvändigt för att rädda liv. I första hand är denna rättsliga grund aktuell inom vården.

Allmänt intresse och myndighetsutövning

Myndigheter kan behöva behandla personuppgifter på grund av att det finns ett allmänt intresse, vilket de i sådana fall har rätt till. Det går att läsa om vad som utgör ett allmänt intresse mer exakt i kompletteringslagen till dataskyddsförordningen, eftersom det inte står definierat i GDPR.

Kommuner och andra statliga organ kan behöva behandla personuppgifter som en del av deras arbete. Däremot måste det framgå av någon lag eller författning för att vara lagligt, och därför är det inte tillåtet att bara använda denna rättsliga grund för behandlingen om det inte framgår av lag. Även känsliga personuppgifter får bli behandlade med denna rättsliga grund, men då är det viktigt att behandlingen ifråga är proportionerlig.

Enligt GDPR kan myndigheter inte använda intresseavvägning som laglig grund och därför brukar de välja allmänt intresse och myndighetsutövning eller rättslig förpliktelse istället.

Sammanfattning av GDPR för företag

Det finns mycket information om GDPR som är viktigt att känna till för företag. Vi har därför sammanfattat olika centrala delar för att kunna ge en överblick om GDPR, vad det innebär och vad företag måste göra för att följa regelverket.