Som bekant gäller GDPR vid all behandling av personuppgifter. Åtgärder som exempelvis insamling, lagring och bearbetning av personuppgifter innebär att uppgifter hanteras på olika sätt. Att personuppgifterna behandlas på flera olika sätt innebär dock inte nödvändigtvis att det rör sig om flera separata personuppgiftsbehandlingar. Det här inlägget syftar till att klargöra vad som egentligen avses med en personuppgiftsbehandling och vad som krävs för att den ska vara laglig.
Vem ansvarar för personuppgiftsbehandlingen?
Inför all personuppgiftsbehandling är det viktigt att identifiera de olika aktörerna som kommer att vara inblandade i personuppgiftsbehandlingen. I GDPR görs åtskillnad mellan s.k. personuppgiftsansvariga respektive s.k. personuppgiftsbiträden. GDPR föreskriver även dessa olika skyldigheter. Det är den personuppgiftsansvarige som har det yttersta ansvaret för en personuppgiftsbehandling och som ska bestämma syftet med behandlingen samt hur den ska utföras. Detta är vanligtvis en juridisk person, men det kan även vara flera som gemensamt är personuppgiftsansvariga. Därtill kan det finnas ett eller flera personuppgiftsbiträden som på uppdrag av den personuppgiftsansvarige hanterar personuppgifter för dennes räkning. Ett personuppgiftsbiträde kan vara en fysisk eller en juridisk person, men är oftast en juridisk person. Den personuppgiftsansvarige kan dock aldrig överlåta sitt personuppgiftsansvar åt personuppgiftsbiträdet.
Vad är en personuppgiftsbehandling?
Som anförts ovan är GDPR tillämplig vid all automatisk behandling av personuppgifter och manuell behandling om personuppgifter ingår eller kommer att ingå i ett register. Personuppgifter är all information som kan knytas till en specifik person. Det är ett vitt begrepp och kan vara allt från namn och telefonnummer till IP-adresser och foton. En personuppgiftsbehandling innebär enkelt att man hanterar en personuppgift på något sätt. Det kan vara en åtgärd eller en kombination av åtgärder, exempelvis att man samlar in personuppgifter, lagrar dem och lämnar ut dem till någon för att sedan radera uppgifterna. Som tidigare framhållits kan personuppgifter behandlas på flera olika sätt inom ramen för en och samma personuppgiftsbehandling. Åtgärderna utgör endast olika steg i behandlingen av personuppgifterna. Det finns tre gemensamma kriterier för att avgöra vad som utgör en personuppgiftsbehandling. Åtgärderna har ett gemensamt syfte, samma lagliga grund och samma behandlingstid. Kriterierna, vilka kommer redogöras mer för nedan, är tätt sammanbundna och beror till stor del av varandra.
Kriterium 1: Vad är syftet med personuppgiftsbehandlingen?
En grundläggande förutsättning för att få behandla personuppgifter är att det finns ett tydligt syfte med behandlingen. Syftet ska definieras innan personuppgiftsbehandlingen börjar och vara så specifikt som möjligt. Det är viktigt att notera att personuppgifterna som samlas in är knutna till det särskilt angivna syftet och inte senare fårr användas för ett helt annat syfte. Hur syftet definieras har betydelse för bedömningen av vilken typ av personuppgifter som är relevanta att behandla. GDPR uppställer krav på att personuppgiftbehandlingen ska vara förenlig med principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering, vilka ni kan läsa mer om här. Kort innebär det att endast personuppgifter som är nödvändiga för att uppnå syftet med behandlingen får behandlas.
Kriterium 2: Vilken laglig grund finns för personuppgiftsbehandlingen?
Utöver det ovan angivna krävs det att det finns minst en laglig grund för personuppgiftsbehandlingen. GDPR uppställer sex alternativa rättsliga grunder, vilka utgörs av samtycke, avtal, rättslig förpliktelse, intresseavvägning, skydd för den registrerades intressen och allmänt intresse. Utgångspunkten är att personuppgiftsbehandlingen måste ha stöd i någon av dessa grunder för att vara laglig. Emellanåt går det att utifrån syftet direkt identifiera vilken möjlig laglig grund som finns för behandlingen, t.ex. då behandlingen är nödvändig för att uppfylla en skyldighet som följer av lag. I annat fall kan det krävas att man inhämtar samtycke eller gör en mer ingående bedömning av de olika motståendena intressena. Läs mer gällande vad som krävs för ett giltigt samtycke här och hur man kan göra en intresseavvägning här.
Kriterium 3: Hur länge får personuppgifterna behandlas?
Tiden som uppgifterna får behandlas beror dels på syftet med behandlingen, dels på vilken laglig grund som finns för behandlingen. Som tidigare redogjorts för gäller principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering vid all personuppgiftsbehandling. Utgångspunkten är att personuppgifter inte får lagras längre än vad som är motiverat med hänsyn till syftet och att uppgifterna således ska raderas eller anonymiseras då ändamålet är uppfyllt. Emellanåt kan det dock finnas en skyldighet att fortsatt behandla vissa personuppgifter, trots att den ursprungliga personuppgiftsbehandlingen upphört. I sådant fall kan uppgifterna komma att ingå i en ny personuppgiftsbehandling med ett annat lagstöd. Mer information om detta finns här.
Sammanfattning
Grundläggande för att få behandla personuppgifter är att det finns ett tydligt syfte med behandlingen. Syftet ska fastställas av den personuppgiftsansvarige innan behandling påbörjas och ska vara preciserat. Den personuppgiftsansvarige kan antingen ensam utföra behandling eller uppdraga åt ett, eller flera, personuppgiftsbiträden att behandla personuppgifter för den personuppgiftsansvariges räkning. En personuppgiftsbehandling kan innebära att uppgifterna hanteras på flera olika sätt. Vad som utgör en personuppgiftsbehandling karaktäriseras av att åtgärderna har ett gemensamt syfte, samma lagliga grund och samma behandlingstid. Dessa tre kriterier tenderar att överlappa varandra. Utöver kravet på att behandlingen ska ha ett specifikt syfte krävs att behandling har stöd i någon av de sex alternativa lagliga grunder som stadgas i GDPR. Vad gäller behandlingstid är utgångspunkten att personuppgifter inte får lagras längre än vad som är nödvändigt med hänsyn till syftet.
Behöver ni hjälp att hålla koll på GDPR?
Vi finns tillgängliga om ni skulle behöva hjälp att göra er personuppgiftshantering laglig. Vi kan hjälpa er med:
- Utbildning
- Granskning
- Registerföring
- Upprätta avtal och andra dokument
… och mycket mer! Kontakta oss gärna på mejlen support@gdprhero.se eller boka en demo för att få veta mer!