Fortfarande får vi många frågor om när det är lagligt att behandla personuppgifter och om företag måste inhämta samtycke för att få behandla personuppgifter. Vi kommer därför i detta blogginlägg beskriva de sex rättsliga grunder det finns för att få behandla personuppgifter på ett lagligt sätt.
Inledning
Det finns sex olika rättsliga grunder i GDPR som anger när en aktör får behandla personuppgifter. De rättsliga grunderna räknas upp i artikel 6 i GDPR. Det räcker med att ha stöd i en av dessa för att få behandla personuppgifter. Självklart krävs det mer än att bara ha en laglig grund för att få behandla personuppgifter för att behandlingen ska vara laglig. Till exempel ska ni även följa vissa principer, men det är viktigt att ha de rättsliga grunderna klara för sig.
1. Samtycke
Det första grunden som nämns i artikel 6 i GDPR är samtycke. Vi har i ett tidigare blogginlägg beskrivit hur samtycke kan tillämpas och att samtycke inte alltid är det bästa lagstödet. Detta beror bland annat på att samtycke alltid ska vara möjligt att ta tillbaka och att det ska vara frivilligt. Frivilligheten gör samtycke komplicerat i ett förhållande där den ena parten sitter på mycket makt, typiskt sett en arbetsgivare eller en myndighet, medan den andra parten inte har samma makt. För offentlig verksamhet kommer därför samtycke i princip inte kunna användas.
Många tror att det alltid krävs samtycke för att få behandla personuppgifter. Detta stämmer inte! Kan ni stödja er behandling på någon av de lagstöd som nämns nedan bör ni välja något av dessa. Det räcker med ett lagstöd, ni behöver dessutom inte ha samtycke.
Ett samtycke ska alltid vara frivilligt för den enskilde, ni ska informera om behandlingen och det ska vara tydligt att det är ett samtycke det rör sig om. Det ska dessutom vara möjligt för den enskilde att ta tillbaka sitt samtycke. Inhämtar ni samtycke från barn är det viktigt att tänka på att barnet ska vara över 13 år för att samtycka själva när det rör informationssamhällets tjänster, exempelvis sociala medier. Det är svårare att sätta en åldersgräns i andra sammanhang. Integritetsskyddsmyndigheten har dock uttalat sig om att barn under 15 år generellt inte kan samtycka själva. Det ska göras en individuell prövning i det enskilda fallet och hänsyn ska tas till barnets ålder och mognad.
Om ni bestämmer er för att samtycke är den rättsliga grund som passar bäst är ett tips att dokumentera följande:
a) vem som samtyckt,
b) när personen samtyckte,
c) hur personen samtyckte och
d) vilken information personen fick innan han eller hon samtyckte.
Dokumentationen kan ske i vårt registerföringsverktyg, GDPR Hero. Ni kan läsa mer om det här.
2. Avtal
Avtal är det andra lagstödet som nämns i GDPR. I de flesta fall måste personuppgifter behandlas för att ett avtal ska kunna ingås och fullföljas. Det kan röra sig om exempelvis kontaktuppgifter och leveransadress till kunden. Det viktiga här är dels att veta vem man ingår avtal med, dels att alla uppgifter som behandlas är nödvändiga för att uppfylla avtalet eller för att ingå avtalet.
OBS! Om en privatperson är avtalspart är det den rättsliga grunden avtal behandlingen stödjer sig på. Om det är ett företag som är kontraktspart är det däremot inte avtal, se mer om det under avsnittet intresseavvägning.
3. Rättslig förpliktelse
I vissa situationer har verksamheter inte bara en möjlighet att behandla personuppgifter utan även en skyldighet. Om det står föreskrivet i en lag att vissa uppgifter ska sparas har verksamheten i fråga en skyldighet att följa denna lag. Det är ofta specificerat i lagen hur länge en viss typ av personuppgift ska sparas. GDPR är överordnad svensk lag, men GDPR öppnar upp för särreglering i svensk lag. Kollektivavtal jämställs med lag.
Exempel på lagar som uppställer rättsliga förpliktelser är:
- Bokföringslagen, av bokföringslagen framkommer det att räkenskapsinformation ska sparas i sju år efter det kalenderår då räkenskapsåret avslutades.
- Arkivlagen, som kräver att offentliga handlingar ska arkiveras för att offentlighetsprincipen ska fungera.
4. Grundläggande intressen
Denna rättsliga grund är möjlig att använda när den registrerade inte kan lämna sitt samtycke, exempelvis om personen är medvetslös. Personuppgifter får behandlas om det är nödvändigt för att rädda liv. Denna rättsliga grund ska betraktas som ett undantag och bör användas sparsamt. Datainspektionen rekommenderar att ni bara behandlar personuppgifter med stöd av denna rättsliga grund om det inte går att lösa situationen på annat sätt.
5. Allmänt intresse eller myndighetsutövning
Offentlig verksamhet kommer med stor sannolikhet använda sig mycket av allmänt intresse eller myndighetsutövning som stöd för sin personuppgiftsbehandling. Privata aktörer kommer generellt inte kunna använda sig av denna rättsliga grund, om de inte utför en uppgift av allmänt intresse såsom en privat skola eller en privat vårdgivare.
Myndighetsutövning innebär att en myndighet utövar makt över en enskild, d.v.s. att myndigheten fattar beslut som gynnar eller betungar den enskilde. Exempel kan vara att en lärare sätter betyg på en elev eller att en myndighet beviljar ekonomiskt bistånd. Myndighet i detta sammanhang kan vara både statliga och kommunala myndigheter samt privata aktörer såsom privata skolor och vårdgivare.
En uppgift av allmänt intresse ska vara fastställd i lag, annan författning, kollektivavtal eller beslut som meddelats med stöd av någon av dessa. Exempel på uppgifter som är av allmänt intresse är skola, hälso- och sjukvård och kollektivtrafik. Andra exempel på uppgifter av allmänt intresse är fritids- och idrottsanläggningar som kommunen valt att frivilligt åta sig.
6. Intresseavvägning
Intresseavvägning är den sista rättsliga grunden i artikel 6 i GDPR. För att tillämpa denna rättsliga grund krävs det att den personuppgiftsansvariges intressen väger tyngre än den enskildes intressen. Behandlingen ska även vara nödvändig för ändamålet. Ni måste göra en bedömning i varje enskilt fall. En indikation på att ert intresse av att behandla personuppgifterna inte väger tyngre än den enskildes intresse är om den enskilde personen skulle bli förvånad över att ni behandlar personuppgifter om honom eller henne.
En typisk situation där intresseavvägning kan komma användas är i kundrelationer som är B2B. Om ett företag, X, ingår ett avtal med ett annat företag, Y, är det företagen som ingått avtal. Den personuppgiftsbehandling som sker om X och Y:s anställda för att avtalet ska kunna uppfyllas kan därför inte baseras på den rättsliga grunden avtal. Istället kan intresseavvägning vara en väg att gå.
Andra exempel på när intresseavvägning kan användas är när personuppgifter behöver behandlas för att förhindra bedrägerier eller för direktmarknadsföring.
Även här är det viktigt att dokumentera er bedömning. På så sätt visar ni att ni har gjort en intresseavvägning innan behandlingen inleddes och hur ni kommit fram till resultatet. Detta är en viktig del i er ansvarsskyldighet och det är ni som ska bevisa att ni efterlever GDPR.
Myndigheter bör vara mycket försiktiga vid tillämpningen av intresseavvägning. Myndigheter kan inte använda sig av den rättsliga grunden intresseavvägning när de behandlar personuppgifter för att fullgöra sina uppgifter.
Behöver ni hjälp?
Vi hoppas att ni fick vägledning av detta blogginlägg! Har ni frågor om GPDR eller vill få hjälp att bli GDPR compliant är ni varmt välkomna att höra av er antingen på mejlen info@gdprhero.se eller via telefon 046 – 273 17 17.
Är ni intresserade av vårt registerföringsverktyg? Boka en kostnadsfri demo här.