Det är vanligt att använda avtal som rättslig grund vid behandling av personuppgifter. Enligt GDPR är det tillåtet att behandla personuppgifter i samband med att ett avtal ska bli fullgjort. Detta var tillåtet tidigare också när personuppgiftslagen gällde i Sverige, vilken GDPR ersatte.
Avtal är en av sex (6) rättsliga grunder och företag måste använda en av dem vid varje enskild behandling av personuppgifter. Dessutom behöver företag radera personuppgifter när de inte längre är nödvändiga för det syfte de blev inhämtade för. Ett företag bör därför ha upprättat interna rutiner att gallra personuppgifter regelbundet, exempelvis radera mejl.
Avtal som rättslig grund vid behandling av personuppgifter enligt GDPR
I vissa fall förekommer det ett gemensamt personuppgiftsansvar mellan två företag vid behandling av personuppgifter. Då är det viktigt att se till att det finns en rättslig grund för behandlingen och att den är tillämplig. Om ett företag inte kontrollerar detta, kan de också få en sanktionsavgift. Alla rättsliga grunder är inte tillämpliga vid alla tillfällen. Det finns bland annat tillfällen där samtycke inte är tillämplig eller lämplig att använda. Exempelvis får inte en arbetsgivare använda samtycke som en rättslig grund vid behandling av personuppgifter tillhörande en anställd. Detta eftersom det råder ett ojämlikt förhållande mellan parterna. Ett annat sådant exempel är när myndigheter behandlar personuppgifter och därför bör de inte använda samtycke som grund.
Avtal är en vanlig rättslig grund som blir använd när arbetsgivare behandlar personuppgifter tillhörande anställda. Då brukar parterna ingå ett anställningsavtal, varav personuppgifter framgår i avtalet. Efter att en anställd avslutar sin anställning, behöver företaget i vissa fall fortfarande behandla personuppgifterna på grund av något annat lagkrav. Personuppgifter tillhörande en anställd som lagen inte kräver ska förbli lagrade viss under tid, ska bli raderade av företaget när den anställde ifråga slutar. Radering ska då ske inom en rimlig tid.
