RÄTTSLIGA GRUNDER
Varje enskild behandling av personuppgifter måste ha stöd i en rättslig grund för att vara laglig. Om en behandling av personuppgifter sker utan stöd i en rättslig grund, är behandlingen olaglig. Det finns totalt 6 stycken rättsliga grunder. Denna artikel kommer att ge en grundlig genomgång av rättsliga grunder enligt dataskyddsförordningen GDPR.
Rättsliga grunder enligt GDPR
Förståelse av de rättsliga grunderna enligt dataskyddsförordningen GDPR är avgörande för varje organisation som hanterar personuppgifter inom EU. GDPR ställer dessutom högre krav på företag som behandlar personuppgifter än Personuppgiftslagen (PUL) som gällde tidigare i Sverige.
De rättsliga grunderna är även i vissa fall kallade för “lagliga grunder”. På engelska är det kallat för “legal basis”.
Det finns flera rättsliga grunder enligt dataskyddsförordningen GDPR, var och en med sina egna kriterier: avtal, samtycke, rättslig förpliktelse, intresseavvägning, grundläggande intresse samt myndighetsutövning och uppgift av allmänt intresse.
Enligt GDPR måste varje enskild behandling av personuppgifter ha stöd i lagen och regelverket anger dessa rättsliga grunder som företag kan använda. Dessutom finns det olika lagar som ett företag kan stödja sin behandling av personuppgifter på. Exempelvis patientdatalagen och bokföringslagen. För konsumenter är medvetenhet om de rättsliga grunderna enligt dataskyddsförordningen GDPR nyckeln till att skydda sina rättigheter.
Att förstå och respektera de rättsliga grunderna enligt dataskyddsförordningen GDPR är inte bara en skyldighet för företag, utan en avgörande del av att bygga förtroende med kunder och partners.
Ändamål med behandlingen av personuppgifterna
Vanliga rättsliga grunder som företag använder
Samtycke, avtal, rättslig förpliktelse och intresseavvägning är fyra olika rättsliga grunder som företag brukar använda vid behandling av personuppgifter. Ett företag behöver alltid en (1) rättslig grund vid varje behandling och det ska framgå vilken grund företaget använder till den registrerade.
Dessutom ska företaget tillhandahålla mer information om behandlingen till den registrerade. Detta regleras närmare i artikel 13-14 GDPR Exempelvis hur länge personuppgifterna blir behandlade, vem som är kontaktperson på företaget och om personuppgifterna blir överförda till ett land utanför EU/EES m.m.
Denna informationen ska framgå i en integritetspolicy som handlar om behandlingen av personuppgifterna. Policyn kan med fördel vara publicerad på företagets hemsida.
De 6 stycken rättsliga grunderna
Nedan kan du läsa mer information om de rättsliga grunderna. Genom att klicka på knapparna kan du även föras direkt till avsnittet du vill läsa mer om.
Avtal som rättslig grund enligt GDPR
Avtal är en vanlig rättslig grund som företag använder för att behandla personuppgifter. Detta kan bli använt när en person ingår ett avtal med ett företag, om företaget behöver behandla personuppgifterna för att kunna fullgöra avtalet. Även i personuppgiftslagen som blev ersatt av GDPR i Sverige, fanns denna reglering.
Några exempel på avtal där det är vanligt att använda detta som den rättsliga grunden är: försäkringsavtal, anställningsavtal och leverantörsavtal.
Ett praktiskt exempel på när ett företag behöver behandla personuppgifter för att kunna fullgöra ett avtal är om en person köper produkter via en e-handel och önskar få hemleverans. Vid sådana fall behöver företaget behandla köparens namn och adress, vilket är personuppgifter, för att kunna leverera produkterna. Då kan behandlingen ske med stöd i köpeavtalet som parterna har ingått med varandra.
Däremot bör företag tänka på att inte använda avtal som laglig grund för att kunna skapa en omväg, så att företaget kan behandla mycket personuppgifter. Istället bör företaget i sådana fall hitta en annan rättslig grund som är mer lämplig att använda. Företaget får inte heller behandla fler personuppgifter än det som är nödvändigt för att fullgöra avtalet.
Rättslig förpliktelse som rättslig grund enligt GDPR
När ett företag behandlar personuppgifter på grund av ett krav i en annan lagstiftning, är den rättsliga grunden för behandlingen kallad för rättslig förpliktelse.
I vissa fall står det reglerat i någon annan lag att ett företag behöver behandla personuppgifter under en viss tid. Då är det tillåtet att behandla personuppgifter i fråga för att följa kraven i den aktuella lagstiftningen.
Exempelvis är det ett krav enligt bokföringslagen, att ett företag måste spara sin bokföring i minst 7 år. Lagreglerade lagringstider och krav på behandling av personuppgifter finns även i patientdatalagen m.fl.
Det är vanligt för myndigheter att kunna använda rättslig förpliktelse som rättsliga grund, eftersom det står reglerat i lagar kring deras arbete (exempelvis förvaltningslagen).
Bestämmelser om rättslig förpliktelse står också reglerat i kompletteringslagen till GDPR. Där framgår det till och med att kollektivavtal utgör rättslig förpliktelse. Med andra ord är det inte bara lagtext som rättslig förpliktelse omfattar, utan även domar och myndighetsbeslut m.m.
Däremot måste det vara tydligt för att gälla. Det är inte tillåtet att behandla personuppgifter med rättslig förpliktelse som rättslig grund om det inte står reglerat i nationell rätt eller unionsrätten.
Samtycke som rättslig grund enligt GDPR
Ett samtycke föreligger när en person säger ja till att personuppgifter som tillhör denne, blir behandlade. Däremot är det inte alltid tillåtet att använda samtycke som den rättsliga grunden för behandling. Därför är det bra att analysera och överväga om det finns någon annan grund som är mer lämplig, vilket även IMY rekommenderar. Dessutom är det viktigt att veta att det är företaget som måste kunna bevisa att företaget har fått ett giltigt samtycke, inte den registrerade.
Det är vanligt att företag, såsom en butik eller restaurang, inhämtar samtycke när kunden handlar vid köptillfället. Exempelvis genom att kunderna får möjlighet att ingå i ett lojalitetsprogram. Företagen kan då få data och information som kan vara väldigt värdefull, vilket de kan använda för att exempelvis kunna skicka rabatter på produkter som personen faktiskt köper.
Inhämta samtycke
Det är viktigt att samtycket är frivilligt lämnat från den registrerade ifråga som personuppgifterna tillhör. Det är inte tillåtet med underförstådda samtycken. Dessutom ska det framgå information om behandlingen i samband med att samtycket ska bli inhämtat. Samtycket får inte heller omfatta ett allt för brett område, såsom “marknadsföring”. Istället ska den registrerade ge sitt samtycke till specifika delar av marknadsföring, för att det ska vara giltigt.
När en person vill köpa en produkt eller tjänst är det vanligt att ett företag begär samtycke för att få behandla fler personuppgifter utöver de som behöver bli behandlade för att kunna fullgöra avtalet. Då är det inte tillåtet för företaget att göra så att den registrerade måste samtycka till att få exempelvis reklam, för att få genomföra och slutföra köpet. Vid sådana fall anses inte samtycket vara frivilligt enligt GDPR.
Samtycke från barn
Enligt GDPR har barn som är över 16 år rätt att lämna sitt samtycke till behandling av dennes personuppgifter när det gäller internetssamhällets tjänster, exempelvis sociala medier.
Däremot har varje medlemsland i unionen rätt att sänka åldersgränsen, vilket Sverige har valt att göra till 13 år. Det är viktigt att tänka på att barn har särskilda rättigheter enligt GDPR eftersom de bland annat är i en utsatt situation och har svårare att bedöma konsekvenser av sina handlingar.
Exempelvis ska information till barn vara lättförståelig för barnet och på samma språk som det inhemska språket. I Nederländerna fick ett stort internationellt företag, som bedriver en app där målgruppen är mycket unga personer, en stor sanktionsavgift på grund av att språket för informationen om behandlingen av personuppgifterna var på engelska och inte holländska.
När det inte är tillåtet med samtycke
Det finns tillfällen när det inte är tillåtet att använda samtycke som rättslig grund. Om förhållandet mellan parterna innebär en för stor ojämlikhet, är det inte tillåtet. Exempelvis mellan en arbetsgivare och arbetstagare. Vid sådana fall är det istället vanligt att använda avtal (anställningsavtal) som rättslig grund.
Samtycke vid behandling av känsliga personuppgifter
Känsliga personuppgifter är enligt huvudregeln i GDPR förbjudna att behandla, men det finns undantag. För att få behandla känsliga personuppgifter behöver företaget få ett uttryckligt samtycke och det ställs högre krav genom ordet “uttryckligt”, än om det gäller andra personuppgifter.
Om företaget har rutor där den registrerade accepterar användarvillkor och integritetspolicy/dataskyddspolicy, behöver de ha en egen ruta för samtycket som avser de känsliga personuppgifterna. Det är inte tillåtet att rutorna är ikryssade i förväg, utan den registrerade behöver kryssa dem själv och lämna samtycket aktivt.
Intresseavvägning som rättslig grund enligt GDPR
I vissa fall kan det vara så att intresset för den personuppgiftsansvarige väger tyngre än personen som behandlingen av personuppgifter avser, då kan företaget använda intresseavvägning som rättslig grund. Det innebär att personuppgifter i vissa fall kan bli behandlade utan att det föreligger ett samtycke, rättslig förpliktelse eller ett avtal mellan parterna. Exempelvis är det vanligt att företag genomför direktmarknadsföring med stöd i intresseavvägning som rättslig grund. Men om en person motsätter sig behandling av dennes personuppgifter för direktmarknadsföring, ska det bli respekterat och behandlingen för detta ändamålet ska upphöra.
Men för att kunna använda intresseavvägning som rättslig grund, behöver behandlingen av personuppgifterna ifråga vara nödvändig för att kunna uppnå ändamålet med behandlingen.
Det är inte tillåtet för myndigheter att använda denna rättsliga grund. Detsamma gäller om behandlingen avser känsliga personuppgifter.
Ett annat ordval för intresseavvägning är berättigat intresse. Det är viktigt att tänka på att företaget alltid måste göra en intresseavvägning innan denna rättsliga grund blir använd. Dessutom är det bra att tänka på att det är det faktiska förhållandet som är det viktiga, inte om företaget anser att det är en berättigad rättslig grund eller inte.
Gällande barn, väger barnets skydd högre än när det kommer till vuxna och därför är det svårare att använda denna rättsliga grund om det avser peronuppgifter som tillhör barn.
Gör en intresseavvägning
– Första steget är att börja med att analysera och identifiera vilka aktörer som blir påverkade av behandlingen.
– Därefter om det finns ett berättigat intresse i behandlingen från en tredje part eller den personuppgiftsansvarige (företaget).
– Identifiera hur de registrerade blir påverkade av behandlingen.
– Avsluta med att analysera intressena från de olika parterna och gör en övergripande avvägning, för att se om intresseavvägning är en aktuell rättslig grund för den tilltänkta behandlingen.
Registrerades intressen
När det kommer till att identifiera de registrerades intressen och analysera dem finns det flera faktorer som har betydelse. Bland annat hur mycket personuppgifter som företaget behandlar, vilka typer av personuppgifter det handlar om och syftet med behandlingen.
GDPR skiljer på vanliga och integritetskänsliga personuppgifter, vilket har en betydelse. För att få hantera känsliga personuppgifter såsom uppgifter om hälsa, krävs ett uttryckligt samtycke från den registrerade och därför räcker det inte med enbart intresseavvägning.
Det som en registrerad rimligen kan förvänta sig har en viktig betydelse. Med andra ord kan en anställd förvänta sig att en arbetsgivare måste behandla vissa personuppgifter för att denne ska kunna fullgöra sitt arbete och sina förpliktelser i egenskap av arbetsgivare.
Myndighetsutövning och allmänt intresse som rättslig grund enligt GDPR
Myndigheter behandlar personuppgifter och de har rätt att göra det, för att kunna utföra sitt arbete som myndighetsutövare. Detsamma gäller om behandlingen är av allmänt intresse. Dessutom behöver myndigheter ha dataskyddsombud som registrerade har rätt att kontakta gällande frågor om behandlingen.
Statliga organ måste behandla personuppgifter i sitt arbete och därför är den här rättsliga grunden viktig. Däremot är det inte tillåtet att enbart använda uppgift av allmänt intresse vid behandling av personuppgifter. Det måste framgå av någon annan lag eller något beslut att behandlingen behöver ske. Detsamma gäller om det står skrivet i exempelvis kollektivavtal.
Grundläggande intresse som rättslig grund enligt GDPR
I vissa fall kan en registrerad inte lämna ett giltigt samtycke för behandling av dennes personuppgifter, men att det är nödvändigt för att skydda dennes grundläggande intressen. Vid sådana fall har företaget rätt att behandla personuppgifterna.
Exempelvis kan en person vara medvetslös när denne kommer in till ett sjukhus och därför kan denne inte lämna sitt samtycke. Då måste sjukhuset behandla personuppgifterna ändå för att skydda personen i enlighet med grundläggande intresse.
Grundläggande intresse för känsliga personuppgifter
Det krävs ett uttryckligt samtycke för att ett företag eller en organisation ska få behandla känsliga personuppgifter. Däremot finns det undantag. Om det föreligger ett grundläggande intresse för att skydda individen, är det tillåtet. Däremot måste personen vara förhindrad att få ge sitt samtycke. Exempelvis på ett sjukhus där de behandlar uppgifter om hälsa som är känsliga och vissa personer inte är kapabla att ge sitt samtycke, exempelvis på grund av att de ligger i koma.
Vi skriver och granskar avtal till fasta priser
MER INFORMATION OM GDPR AVTAL
Om du vill lära dig mer om GDPR och GDPR avtal, vänligen besök vår hemsida: www.AvtalGDPR.se.
Gratis juridikskolor
Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.