För att behandling av personuppgifter ska vara laglig måste den vila på en giltig rättslig grund. Många undrar när det är tillåtet att behandla personuppgifter och om samtycke alltid krävs. I det här blogginlägget går vi igenom de rättsliga grunderna i GDPR som möjliggör en korrekt och lagenlig personuppgiftsbehandling samt förklarar närmare när det är lämpligt att använda de olika grunderna.
I artikel 6 GDPR hittar vi de sex rättsliga grunderna som måste vara uppfyllda för att personuppgifter ska få behandlas. För varje specifikt ändamål räcker det att stödja sig på någon av dessa grunder. Men det krävs mer än bara en rättslig grund – ni måste även följa GDPR:s grundläggande principer för korrekt, ändamålsenlig och ansvarsfull behandling. Därför är det avgörande att ha god kännedom om de rättsliga grunderna! Rättslig grund kallas ibland för lagstöd.
1. Samtycke
Det är en vanlig missuppfattning att det alltid krävs samtycke för att få behandla personuppgifter. Det stämmer inte! Det räcker med ett lagstöd av de sex möjliga i GDPR.
För att ett samtycke enligt GDPR ska vara giltigt krävs att det är:
Frivilligt: Den registrerade måste ha ett verkligt val – utan påtryckningar eller negativa konsekvenser vid avslag.
Informerat: Syfte, omfattning och konsekvenser av behandlingen ska tydligt kommuniceras.
Specifikt och otvetydigt: Det ska klart framgå att det rör sig om ett samtycke till just denna behandling.
Återkalleligt: Den registrerade ska när som helst kunna dra tillbaka sitt samtycke lika enkelt som det gavs.
När ni inhämtar samtycke från barn är det viktigt att barnet har fyllt 13 år för att själv kunna samtycka när det gäller informationssamhällets tjänster (till exempel sociala medier). I andra sammanhang är det svårare att ange en specifik åldersgräns. Integritetsskyddsmyndigheten har dock uttalat att barn under 15 år generellt inte anses ha tillräcklig mognad för att själva ge ett giltigt samtycke. Det ska alltid göras en individuell prövning i varje enskilt fall, där hänsyn tas till barnets ålder och mognad.
Om ni stödjer en personuppgiftsbehandling på samtycke är det viktigt att ni kan visa på information så som:
- vem som samtyckt,
- när personen samtyckte,
- till vad personen samtyckte,
- hur personen samtyckte (muntligt eller via formulär osv.)
- vilken information personen fick innan hen samtyckte.
Dokumentation av rättslig grund har ni med fördel i er registerförteckning (artikel 30-register). Något som vårt GDPR-verktyg kan hjälpa till med. Ni kan läsa mer om det här.
Samtycke är dock inte alltid det bästa lagstödet. Kravet på frivillighet gör samtycke komplicerat i en situation där det råder maktobalans mellan parterna, typiskt sett mellan en arbetsgivare och arbetstagare. I offentlig verksamhet finns det också utmaningar med att säkerställa frivilligt samtycke och därför är det lämpligt att se över om andra rättsliga grunder är möjliga.
2. Avtal
Behandling är tillåten om den är nödvändig för att ingå eller fullfölja ett avtal där den registrerade är part. Det kan till exempel gälla insamling av namn, kontaktuppgifter och leveransadresser för att ni ska kunna leverera en beställd vara eller tjänst.
För att använda avtalsgrunden ska ni säkerställa att:
Personuppgifterna verkligen är nödvändiga för avtalets ingående eller genomförande.
Ni tydligt kan identifiera vem som är avtalsparter.
Obs! Avtalsgrunden gäller endast när ni behandlar uppgifter om en fysisk person som avtalspart. Om motparten är ett företag (juridisk person) kan ni inte åberopa avtalsgrunden – då behöver ni istället bedöma en annan rättslig grund, till exempel berättigat intresse (se avsnittet om intresseavvägning).
3. Rättslig förpliktelse
När ni åberopar rättslig förpliktelse som grund för personuppgiftsbehandling handlar det om situationer där en lag eller motsvarande föreskrift ålägger er att samla in, lagra eller lämna ut uppgifter.
Kärnkrav:
Det måste finnas en styrande lagtext eller motsvarande rättsakt (t.ex. lag, förordning eller kollektivavtal).
Endast de personuppgifter som lagen uttryckligen kräver får behandlas.
Ni måste följa de lagstadgade lagringstiderna och raderingstiderna.
Exempel:
Bokföringslagen – räkenskapsinformation ska bevaras i sju år efter räkenskapsårets slut.
Arkivlagen – offentliga handlingar ska arkiveras för att säkerställa offentlighetsprincipen.
Notera: GDPR är en överordnad EU-förordning men tillåter medlemsstaterna att i nationell lagstiftning införa särskilda regler. I Sverige räknas också kollektivavtal som rättslig förpliktelse enligt GDPR.
Se alltid till att ni har intern dokumentation som refererar till den specifika rättsregeln, beskriver vilka uppgifter som behandlas och redovisar för hur ni uppfyller de lagstadgade kraven. Den dokumentationen ingår i kravet på registerförteckning som ni kan använda vårt digitala GDPR-verktyg till!
4. Grundläggande intressen
Denna rättsliga grund – ofta kallad “vitalt intresse” – får endast användas i akuta nödsituationer där den registrerade inte kan lämna sitt samtycke (t.ex. en medvetslös person). Behandling är endast tillåten om den är absolut nödvändig för att rädda någons liv eller skydda dennes hälsa.
Viktiga punkter att beakta:
Ändamål: Endast sådan behandling som behövs för att hantera en akut nödsituation (t.ex. ge nödvändig medicinsk information till vårdpersonal).
Begränsning: Får användas sparsamt och enbart för de uppgifter som krävs för att rädda liv eller förhindra allvarlig skada.
Dokumentation: Notera alltid varför samtycke eller annan rättslig grund inte var möjlig, samt exakt vilka uppgifter som behandlades och i vilket syfte.
Alternativprövning: Överväg om något annat alternativ (samtycke, avtal, rättslig förpliktelse etc.) hade kunnat användas innan ni åberopar denna undantagsgrund.
Integritetsskyddsmyndigheten (IMY) rekommenderar att ni bara tillämpar grundläggande intressen när situationen inte kan lösas på annat sätt, för att upprätthålla respekt för individens rätt till integritet.
5. Allmänt intresse eller myndighetsutövning
Den rättsliga grunden allmänt intresse eller myndighetsutövning gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller för att utöva offentlig makt.
När får ni använda denna grund?
För offentliga myndigheter (statliga eller kommunala) som fattar beslut som påverkar individer, t.ex. beviljar bidrag eller sätter betyg i skolan.
För privata aktörer endast om ni formellt har anförtrotts en uppgift av allmänt intresse, exempelvis en privat skola eller vårdgivare som lagligen får bedriva verksamhet motsvarande offentlig sektor.
Krav för att grunden ska vara giltig:
Lagstadgad eller formellt delegerad uppgift
Behandlingen måste ha stöd i lag, förordning, föreskrift eller beslut. Kollektivavtal kan räknas som sådan föreskrift i Sverige.Tydligt ändamål
Endast de uppgifter som är nödvändiga för den allmänt intresse-uppgift eller myndighetsutövning ni ska utföra får behandlas.Proportionerlighet
Behandlingen får inte gå utöver vad som krävs för att uppfylla den offentliga funktionen eller servicen.
Exempel på uppgifter av allmänt intresse:
Utbildning (skolor, universitet)
Hälso- och sjukvård
Kollektivtrafik och infrastruktur
Förvaltningsuppdrag som avfallshantering eller biblioteksverksamhet
I praktiken kommer privata organisationer sällan kunna åberopa denna rättsliga grund, om de inte uttryckligen är anförtrodda en offentlig uppgift. För regelbunden marknadsföring eller kundvård behöver ni istället annan grund, till exempel samtycke, avtal eller berättigat intresse.
6. Intresseavvägning
När ni åberopar berättigat intresse som rättslig grund måste ni genomföra och dokumentera en intresseavvägning där ert intresse vägs mot den registrerades rättigheter och friheter. Endast om ert intresse bedöms som övervägande och behandlingen är nödvändig för det avsedda ändamålet får ni fortsätta.
Kärnkrav för berättigat intresse
Ändamål: Klargör varför ni behöver behandla uppgifterna – till exempel för att fullfölja ett B2B-avtal eller förebygga bedrägerier.
Nödvändighet: Behandlingen måste vara nödvändig, d.v.s. finns det ett mindre integritetskränkande alternativ ska ni alltid välja det.
Balansbedömning: Gör en skriftlig bedömning där ni väger:
Era affärs- eller säkerhetsintressen
Den registrerades förväntningar, rätt till integritet och potentiella negativa konsekvenser
Överraskningstestet: Fråga er: “Skulle den registrerade bli förvånad om vi behandlade dessa uppgifter för ändamålet?” En överraskning tyder på att balansen kan falla till den registrerades fördel.
Dokumentation: Spara alltid er intresseavvägning – vad som vägts, varför ert intresse är berättigat, och hur ni kom fram till beslutet.
Exempel på berättigade intressen
B2B-kommunikation: Kontakta medarbetare hos era företagskunder för att hantera avtal eller leveranser.
Bedrägeriförebyggande: Analysera transaktionsmönster för att upptäcka och förhindra obehöriga aktiviteter.
Direktmarknadsföring: Kan vara berättigat enligt GDPR:s inledande skäl, men kräver alltid separat avvägning – ordet kan innebär att det inte alltid är tillräckligt.
Särskild hänsyn för myndigheter
Myndigheter bör normalt inte förlita sig på berättigat intresse utan i första hand använda sig av artikel 6.1 e GDPR (allmänt intresse/myndighetsutövning) eller annan lagstadgad grund.
Den registrerades rätt att invända
Den registrerade kan när som helst invända mot behandling baserad på berättigat intresse.
Ni ska då göra en omprövning av er intresseavvägning för att se om era skäl fortfarande väger tyngre än den registrerades, i det enskilda fallet. Om ni inte kan påvisa tvingande berättigade skäl måste ni upphöra med behandlingen av den individens uppgifter. Glöm inte bort att dokumentera även denna bedömning.
Informera om rätten till invändning i er integritetspolicy eller vid insamlingstillfället av personuppgifterna.
Läs mer om den rättsliga grunden intresseavvägning.
Hur ni genomför en intresseavvägning steg för steg.
Behöver ni GDPR-hjälp?
Vi hoppas att ni fick vägledning av detta blogginlägg! Har ni frågor om GDPR eller vill få hjälp är ni varmt välkomna att höra av er antingen på mejlen info@gdprhero.se eller via telefon 046 – 273 17 17. Är ni intresserade av vår GDPR-verktyg? Boka en kostnadsfri demo här.
