För att samla in personuppgifter krävs lagstöd, vilket regleras i artikel 6 GDPR och kallas även ibland för rättslig grund. Det finns sex olika rättsliga grunder att luta sig mot och om rättslig grund saknas är det olagligt att behandla personuppgifterna. Nedan följer en genomgång av de sex olika rättsliga grunderna samt exempel på när de kan användas.
Samtycke
En rättslig grund är samtycke. Samtycke innebär att personen ifråga har lämnat samtycke till att uppgifter om hen registreras. Om ett företag ska samla in uppgifter om en person så måste denne få information om vilka uppgifter som samlas in samt vad dessa ska användas till för att sedan kunna lämna sitt godkännande. Ett samtycke kan ske antingen genom ett uttalande eller genom en entydig bekräftande behandling. Detta kan exempelvis vara en ruta i ett elektroniskt formulär som den enskilda personen uttryckligen måste kryssa i. Det kan också röra sig om en signatur i ett formulär. Samtycke är en lite svagare rättslig grund då samtycket när som helst kan tas tillbaka. Företaget måste även kunna visa på att samtycke har skett och därför är det bra att använda sig av skriftliga samtycken. Är du intresserad av att läsa mer om grunden samtycke hittar du information här.
Avtal
En annan rättslig grund är avtal. Det kan ibland vara nödvändigt att i samband med ingående av avtal behandla personuppgifter. Som arbetsgivare får du till exempel behandla personuppgifter om en anställd för att kunna uppfylla ett anställningsavtal. Som företag kan ni behandla personuppgifter om en kund för att kunna fullgöra ett avtal med kunden. Det kan röra sig om exempelvis adressuppgifter för att kunna skicka en faktura. Viktigt att komma ihåg är att företaget endast får registrera uppgifter som är nödvändiga för att kunna uppfylla avtalet. Om ett företag vill behandla fler personuppgifter om en kund än vad som är nödvändigt för att fullgöra ett avtal, kan företaget exempelvis inhämta samtycke från kunden för dessa.
Rättslig förpliktelse
Ytterligare en laglig grund för att samla in personuppgifter är rättslig förpliktelse. Detta innebär att företaget enligt lag eller kollektivavtal är skyldiga att behandla personuppgifterna i sin verksamhet. Det kan handla om exempelvis bankers skyldighet att föra register över sina kunder eller om bokföringsskyldigheten i bokföringslagen. Det kan också röra sig om t.ex. en arbetsgivares skyldighet att redovisa skatter och sociala avgifter gällande arbetstagarna. Rättslig förpliktelse är alltså en vanligt förekommande rättslig grund inom personalarbetet.
Grundläggande intresse
Om ett företag måste behandla personuppgifter för att exempelvis rädda liv eller skydda en person, som inte kan samtycka till behandlingen, kan det ske genom användning av den rättsliga grunden grundläggande intresse. Denna grund aktualiserar sig främst inom sjukvård och andra företag hänvisar sällan till denna grund. Det kan exempelvis röra sig om en person som förlorat medvetandet och sjukvårdspersonal får då behandla personuppgifterna för att kontrollera patientens blodgrupp eller för att kontakta anhöriga.
Myndighetsutövning och uppgift av allmänt intresse
Denna grund används av myndigheter och innebär att behandlingen av personuppgifter måste ske för att utföra myndighetsuppgift eller en uppgift av allmänt intresse. Uppgifter av allmänt intresse ska ha stöd i lag eller annan författning eller kollektivavtal. Det kan röra sig om exempelvis järnvägslagen eller skollagen. Grunden används normalt inte av företag.
Intresseavvägning
Grunden innebär att ett företag har rätt att behandla personuppgifter, om företagets intressen väger tyngre än den registrerades samt att behandlingen är nödvändig för det specifika ändamålet. Det kan exempelvis röra sig om ett företag som använder en kunds e-postadress för att skicka reklam. Det kan också handla om behandling av personuppgifter som är nödvändig för att förhindra bedrägerier. Intresseavvägning är inte en lämplig grund att använda sig av som myndighet, då myndigheter som huvudregel ska stödja sina behandlingar på lag eller författning. Som personuppgiftsansvarig är det viktigt att tänka på att intresset måste vara tillräckligt tydligt utformat för att kunna vägas mot den registrerades intressen eller grundläggande rättigheter och friheter. Den personuppgiftsansvarige måste kunna avgöra vilket av parternas intresse som väger tyngst. Om det är möjligt att uppnå samma resultat på ett mindre integritetskänsligt sätt, ska en personuppgiftsbehandling inte stödja sig på en intresseavvägning. Är du intresserad av att läsa mer om intresseavvägningar kan du kika här.
Kom även ihåg:
- Innan behandling av en personuppgift påbörjas ska den rättsliga grunden identifieras.
- Företaget ska dokumentera den rättsliga grunden inför varje behandling och även motivera valet.
- Den registrerade personen ska bli informerad om den rättsliga grunden.
- Varje behandling ska ha grund i ett specifikt ändamål och personuppgifterna ska som huvudregel raderas när de inte längre är nödvändiga för att uppfylla ändamålet.
- Förutom kravet på rättslig grund måste övriga bestämmelser i GDPR uppfyllas. Behandlingen av personuppgifter begränsas av exempelvis de grundläggande principerna.
- Vissa personuppgifter anses vara så pass känsliga att det som huvudregel är förbjudet att behandla dem. Vill du läsa mer om känsliga personuppgifter kan du klicka här.
Frågor?
Vi hoppas att ni tyckte om detta blogginlägg! Om ni har några fler frågor gällande GDPR är ni mer än välkomna att kontakta oss på GDPR Hero via e-post info@gdprhero.se eller telefon 046 – 273 17 17. Ni kan också boka en demo av vår GDPR-verktyg här. Är du intresserad av att läsa mer om GDPR och varför det är så viktigt att föra register över personuppgiftsbehandlingar hittar du mer information här.