RÄTTSLIGA GRUNDER
Nedan kan du läsa mer om olika rättsliga grunder enligt dataskyddsförordningen GDPR. Varje enskild behandling av personuppgifter måste ha stöd i en rättslig grund för att vara laglig.
Rättsliga grunder enligt GDPR
Det finns totalt 6 rättsliga grunder enligt dataskyddsförordningen (GDPR), eller lagliga grunder som de också är kallade för. De rättsliga grunderna är följande: avtal, samtycke, rättslig förpliktelse, intresseavvägning, grundläggande intresse samt myndighetsutövning och uppgift av allmänt intresse.
Enligt GDPR måste behandlingen av personuppgifter ha stöd i lagen och regelverket anger dessa rättsliga grunder som företag kan använda. Dessutom finns det fler lagar som ett företag kan stödja sin behandling av personuppgifter på. Exempelvis patientdatalagen och bokföringslagen. Personuppgifter genomgår en livscykel från att de blir inhämtade till dess att de blir raderade. GDPR ställer högre krav på företag som behandlar personuppgifter än personuppgiftslagen som gällde tidigare och därför är det viktigt att känna till reglerna.
Ändamål med behandlingen av personuppgifterna
Vanliga rättsliga grunder som företag använder
Samtycke, avtal, rättslig förpliktelse och intresseavvägning är fyra olika rättsliga grunder som företag brukar använda vid behandling av personuppgifter. Ett företag behöver alltid en (1) rättslig grund vid varje behandling och det ska framgå vilken som företaget använder till den registrerade.
Dessutom ska företaget tillhandahålla mer information om behandlingen. Exempelvis hur länge de blir behandlade, vem som är kontaktperson på företaget och om personuppgifterna ska bli överförda till ett land utanför EU/EES m.m.
Denna informationen ska framgå i en integritetspolicy som handlar om behandlingen av personuppgifterna. Policyn kan med fördel vara publicerad på företagets hemsida.
De 6 stycken rättsliga grunderna
Nedan på denna sida kan du läsa mer information om de rättsliga grunderna. Genom att klicka på knapparna kan du även föras direkt till avsnittet du vill läsa mer om.
Avtal som rättslig grund enligt GDPR
Avtal är en vanlig rättslig grund som företag använder för att behandla personuppgifter. Detta kan bli använt när en person ingår ett avtal med ett företag, om företaget behöver behandla personuppgifterna för att kunna fullgöra avtalet. Även i personuppgiftslagen som blev ersatt av GDPR i Sverige, fanns denna reglering.
Några exempel på avtal där det är vanligt att använda detta som den rättsliga grunden är: försäkringsavtal, anställningsavtal och leverantörsavtal.
Ett praktiskt exempel på när ett företag behöver behandla personuppgifter för att kunna fullgöra ett avtal är om en person köper produkter via en e-handel och önskar få hemleverans. Vid sådana fall behöver företaget behandla köparens namn och adress, vilket är personuppgifter, för att kunna leverera produkterna. Då kan behandlingen ske med stöd i köpeavtalet som parterna har ingått med varandra.
Däremot bör företag tänka på att inte använda avtal som laglig grund för att kunna skapa en omväg, så att företaget kan behandla mycket personuppgifter. Istället bör företaget i sådana fall hitta en annan rättslig grund som är mer lämplig att använda. Företaget får inte heller behandla fler personuppgifter än det som är nödvändigt för att fullgöra avtalet.
Rättslig förpliktelse som rättslig grund enligt GDPR
I vissa fall står det reglerat i någon annan lag att ett företag behöver behandla personuppgifter under en viss tid. Vid sådana fall gäller det som står i sådana lagar före GDPR.
Exempelvis bokföringslagen, där det står reglerat att ett företag måste spara sin bokföring i minst 7 år. Lagreglerade lagringstider finns även i patientdatalagen m.m.
Det är vanligt för myndigheter att kunna använda rättslig förpliktelse som rättsliga grund, eftersom det står reglerat i lagar kring deras arbete (exempelvis förvaltningslagen).
Bestämmelser om rättslig förpliktelse står också reglerat i kompletteringslagen till GDPR. Där framgår det till och med att kollektivavtal utgör rättslig förpliktelse. Med andra ord är det inte bara lagtext som rättslig förpliktelse omfattar, utan även domar och myndighetsbeslut m.m.
Däremot måste det vara tydligt för att gälla. Det är inte tillåtet att behandla personuppgifter med rättslig förpliktelse som rättslig grund om det inte står reglerat i nationell rätt eller unionsrätten.
Samtycke som rättslig grund enligt GDPR
Ett samtycke föreligger när en person säger ja till att personuppgifter som tillhör denne, blir behandlade. Däremot är det inte alltid tillåtet att använda samtycke som den rättsliga grunden för behandling. Därför är det bra att analysera och överväga om det finns någon annan grund som är mer lämplig, vilket även IMY rekommenderar. Dessutom är det viktigt att veta att det är företaget som måste kunna bevisa att företaget har fått ett giltigt samtycke, inte den registrerade.
Det är vanligt att företag, såsom en butik eller restaurang, inhämtar samtycke när kunden handlar vid köptillfället. Exempelvis genom att kunderna får möjlighet att ingå i ett lojalitetsprogram. Företagen kan då få data och information som kan vara väldigt värdefull, vilket de kan använda för att exempelvis kunna skicka rabatter på produkter som personen faktiskt köper.
Inhämta samtycke
Det är viktigt att samtycket är frivilligt lämnat från den registrerade ifråga som personuppgifterna tillhör. Det är inte tillåtet med underförstådda samtycken. Dessutom ska det framgå information om behandlingen i samband med att samtycket ska bli inhämtat. Samtycket får inte heller omfatta ett allt för brett område, såsom ”marknadsföring”. Istället ska den registrerade ge sitt samtycke till specifika delar av marknadsföring, för att det ska vara giltigt.
När en person vill köpa en produkt eller tjänst är det vanligt att ett företag begär samtycke för att få behandla fler personuppgifter utöver de som behöver bli behandlade för att kunna fullgöra avtalet. Då är det inte tillåtet för företaget att göra så att den registrerade måste samtycka till att få exempelvis reklam, för att få genomföra och slutföra köpet. Vid sådana fall anses inte samtycket vara frivilligt enligt GDPR.
Samtycke från barn
Enligt GDPR har barn som är över 16 år rätt att lämna sitt samtycke till behandling av dennes personuppgifter när det gäller internetssamhällets tjänster, exempelvis sociala medier.
Däremot har varje medlemsland i unionen rätt att sänka åldersgränsen, vilket Sverige har valt att göra till 13 år. Det är viktigt att tänka på att barn har särskilda rättigheter enligt GDPR eftersom de bland annat är i en utsatt situation och har svårare att bedöma konsekvenser av sina handlingar.
Exempelvis ska information till barn vara lättförståelig för barnet och på samma språk som det inhemska språket. I Nederländerna fick ett stort internationellt företag, som bedriver en app där målgruppen är mycket unga personer, en stor sanktionsavgift på grund av att språket för informationen om behandlingen av personuppgifterna var på engelska och inte holländska.
När det inte är tillåtet med samtycke
Det finns tillfällen när det inte är tillåtet att använda samtycke som rättslig grund. Om förhållandet mellan parterna innebär en för stor ojämlikhet, är det inte tillåtet. Exempelvis mellan en arbetsgivare och arbetstagare. Vid sådana fall är det istället vanligt att använda avtal (anställningsavtal) som rättslig grund.
Samtycke vid behandling av känsliga personuppgifter
Känsliga personuppgifter är enligt huvudregeln i GDPR förbjudna att behandla, men det finns undantag. För att få behandla känsliga personuppgifter behöver företaget få ett uttryckligt samtycke och det ställs högre krav genom ordet ”uttryckligt”, än om det gäller andra personuppgifter.
Om företaget har rutor där den registrerade accepterar användarvillkor och integritetspolicy/dataskyddspolicy, behöver de ha en egen ruta för samtycket som avser de känsliga personuppgifterna. Det är inte tillåtet att rutorna är ikryssade i förväg, utan den registrerade behöver kryssa dem själv och lämna samtycket aktivt.
Intresseavvägning som rättslig grund enligt GDPR
I vissa fall kan det vara så att intresset för den personuppgiftsansvarige väger tyngre än personen som behandlingen av personuppgifter avser, då kan företaget använda intresseavvägning som rättslig grund. Det innebär att personuppgifter i vissa fall kan bli behandlade utan att det föreligger ett samtycke, rättslig förpliktelse eller ett avtal mellan parterna. Exempelvis är det vanligt att företag genomför direktmarknadsföring med stöd i intresseavvägning som rättslig grund. Men om en person motsätter sig behandling av dennes personuppgifter för direktmarknadsföring, ska det bli respekterat och behandlingen för detta ändamålet ska upphöra.
Men för att kunna använda intresseavvägning som rättslig grund, behöver behandlingen av personuppgifterna ifråga vara nödvändig för att kunna uppnå ändamålet med behandlingen.
Det är inte tillåtet för myndigheter att använda denna rättsliga grund. Detsamma gäller om behandlingen avser känsliga personuppgifter.
Ett annat ordval för intresseavvägning är berättigat intresse. Det är viktigt att tänka på att företaget alltid måste göra en intresseavvägning innan denna rättsliga grund blir använd. Dessutom är det bra att tänka på att det är det faktiska förhållandet som är det viktiga, inte om företaget anser att det är en berättigad rättslig grund eller inte.
Gällande barn, väger barnets skydd högre än när det kommer till vuxna och därför är det svårare att använda denna rättsliga grund om det avser peronuppgifter som tillhör barn.
Gör en intresseavvägning
– Första steget är att börja med att analysera och identifiera vilka aktörer som blir påverkade av behandlingen.
– Därefter om det finns ett berättigat intresse i behandlingen från en tredje part eller den personuppgiftsansvarige (företaget).
– Identifiera hur de registrerade blir påverkade av behandlingen.
– Avsluta med att analysera intressena från de olika parterna och gör en övergripande avvägning, för att se om intresseavvägning är en aktuell rättslig grund för den tilltänkta behandlingen.
Registrerades intressen
När det kommer till att identifiera de registrerades intressen och analysera dem finns det flera faktorer som har betydelse. Bland annat hur mycket personuppgifter som företaget behandlar, vilka typer av personuppgifter det handlar om och syftet med behandlingen.
GDPR skiljer på vanliga och integritetskänsliga personuppgifter, vilket har en betydelse. För att få hantera känsliga personuppgifter såsom uppgifter om hälsa, krävs ett uttryckligt samtycke från den registrerade och därför räcker det inte med enbart intresseavvägning.
Det som en registrerad rimligen kan förvänta sig har en viktig betydelse. Med andra ord kan en anställd förvänta sig att en arbetsgivare måste behandla vissa personuppgifter för att denne ska kunna fullgöra sitt arbete och sina förpliktelser i egenskap av arbetsgivare.
Myndighetsutövning och allmänt intresse som rättslig grund enligt GDPR
Myndigheter behandlar personuppgifter och de har rätt att göra det, för att kunna utföra sitt arbete som myndighetsutövare. Detsamma gäller om behandlingen är av allmänt intresse. Dessutom behöver myndigheter ha dataskyddsombud som registrerade har rätt att kontakta gällande frågor om behandlingen.
Statliga organ måste behandla personuppgifter i sitt arbete och därför är den här rättsliga grunden viktig. Däremot är det inte tillåtet att enbart använda uppgift av allmänt intresse vid behandling av personuppgifter. Det måste framgå av någon annan lag eller något beslut att behandlingen behöver ske. Detsamma gäller om det står skrivet i exempelvis kollektivavtal.
Grundläggande intresse som rättslig grund enligt GDPR
I vissa fall kan en registrerad inte lämna ett giltigt samtycke för behandling av dennes personuppgifter, men att det är nödvändigt för att skydda dennes grundläggande intressen. Vid sådana fall har företaget rätt att behandla personuppgifterna.
Exempelvis kan en person vara medvetslös när denne kommer in till ett sjukhus och därför kan denne inte lämna sitt samtycke. Då måste sjukhuset behandla personuppgifterna ändå för att skydda personen i enlighet med grundläggande intresse.
Grundläggande intresse för känsliga personuppgifter
Det krävs ett uttryckligt samtycke för att ett företag eller en organisation ska få behandla känsliga personuppgifter. Däremot finns det undantag. Om det föreligger ett grundläggande intresse för att skydda individen, är det tillåtet. Däremot måste personen vara förhindrad att få ge sitt samtycke. Exempelvis på ett sjukhus där de behandlar uppgifter om hälsa som är känsliga och vissa personer inte är kapabla att ge sitt samtycke, exempelvis på grund av att de ligger i koma.
Vi skriver och granskar avtal till fasta priser
MER INFORMATION OM GDPR AVTAL
Om du vill lära dig mer om GDPR och GDPR avtal, vänligen besök vår hemsida: www.AvtalGDPR.se.
Gratis juridikskolor
Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.
