• Avtal till företag & företagare
  • Fasta priser inkl. genomgång med jurist
  • GDPR-avtal & dokument
  • Gratis inledande samtal med jurist

Registrerades rättigheter

Rättsliga grunder

Varje enskild behandling av personuppgifter måste ha stöd i en rättslig grund för att vara laglig. Om en behandling av personuppgifter sker utan stöd i en rättslig grund, är behandlingen olaglig. Det finns totalt 6 stycken rättsliga grunder. Denna artikel kommer att ge en grundlig genomgång av rättsliga grunder enligt dataskyddsförordningen GDPR.

Det finns totalt 6 stycken rättsliga grunder i GDPR

Viktiga regler i GDPR

6 stycken rättsliga grunder enligt dataskyddsförordningen GDPR

Det finns flera rättsliga grunder enligt dataskyddsförordningen GDPR, var och en med sina egna kriterier: avtal, samtycke, rättslig förpliktelse, intresseavvägning, grundläggande intresse samt myndighetsutövning och uppgift av allmänt intresse.

Innehåll

Laglig grund är ett annat ord för rättslig grund

Förståelse av de rättsliga grunderna enligt dataskyddsförordningen GDPR är avgörande för varje organisation som hanterar personuppgifter inom EU. GDPR ställer dessutom högre krav på företag som behandlar personuppgifter än Personuppgiftslagen (PUL) som gällde tidigare i Sverige. 

De rättsliga grunderna är även i vissa fall kallade för ”lagliga grunder”. På engelska är det kallat för ”legal basis”. 

Varje behandling måste ha en rättslig grund

Enligt GDPR måste varje enskild behandling av personuppgifter ha stöd i lagen och regelverket anger dessa rättsliga grunder som företag kan använda. Dessutom finns det olika lagar som ett företag kan stödja sin behandling av personuppgifter på. Exempelvis patientdatalagen och bokföringslagen. För konsumenter är medvetenhet om de rättsliga grunderna enligt dataskyddsförordningen GDPR nyckeln till att skydda sina rättigheter.

Att förstå och respektera de rättsliga grunderna enligt dataskyddsförordningen GDPR är inte bara en skyldighet för företag, utan en avgörande del av att bygga förtroende med kunder och partners.

Ändamål med behandlingen av personuppgifterna

För att få behandla personuppgifter, måste den personuppgiftsansvarige först säkerställa att det finns ett ändamål med behandlingen. Dessutom måste ändamålet vara berättigat enligt GDPR. Det måste vara angivet uttryckligen i informationen som företaget ger till den registrerade samt specifikt definierat. Det är viktigt att tänka på att det måste finnas ett angivet ändamål, det vill säga ett syfte, för varje behandling av personuppgifter.

Vanliga rättsliga grunder som företag använder

Samtycke, avtal, rättslig förpliktelse och intresseavvägning är fyra olika rättsliga grunder som företag brukar använda vid behandling av personuppgifter. Ett företag behöver alltid en (1) rättslig grund vid varje behandling och det ska framgå vilken grund företaget använder till den registrerade.

Dessutom ska företaget tillhandahålla mer information om behandlingen till den registrerade. Detta regleras närmare i artikel 13-14 GDPR Exempelvis hur länge personuppgifterna blir behandlade, vem som är kontaktperson på företaget och om personuppgifterna blir överförda till ett land utanför EU/EES m.m. 

Denna informationen ska framgå i en integritetspolicy som handlar om behandlingen av personuppgifterna. Policyn kan med fördel vara publicerad på företagets hemsida.

Avtal med registrerad

Avtal är en vanlig rättslig grund som företag använder för att behandla personuppgifter. Detta kan bli använt när en person ingår ett avtal med ett företag, om företaget behöver behandla personuppgifterna för att kunna fullgöra avtalet. Även i personuppgiftslagen som blev ersatt av GDPR i Sverige, fanns denna reglering.

Praktiskt exempel

Ett praktiskt exempel på när ett företag behöver behandla personuppgifter för att kunna fullgöra ett avtal är om en person köper produkter via en e-handel och önskar få hemleverans. Vid sådana fall behöver företaget behandla köparens namn och adress, vilket är personuppgifter, för att kunna leverera produkterna. Då kan behandlingen ske med stöd i köpeavtalet som parterna har ingått med varandra.

Däremot bör företag tänka på att inte använda avtal som laglig grund för att kunna skapa en omväg, så att företaget kan behandla mycket personuppgifter. Istället bör företaget i sådana fall hitta en annan rättslig grund som är mer lämplig att använda. Företaget får inte heller behandla fler personuppgifter än det som är nödvändigt för att fullgöra avtalet. 

Rättslig förpliktelse

När ett företag behandlar personuppgifter på grund av ett krav i en annan lagstiftning, är den rättsliga grunden för behandlingen kallad för rättslig förpliktelse. 

I vissa fall står det reglerat i någon annan lag att ett företag behöver behandla personuppgifter under en viss tid. Då är det tillåtet att behandla personuppgifter i fråga för att följa kraven i den aktuella lagstiftningen.

Bokföringslagen och patientdatalagen

Exempelvis är det ett krav enligt bokföringslagen, att ett företag måste spara sin bokföring i minst 7 år. Lagreglerade lagringstider och krav på behandling av personuppgifter finns även i patientdatalagen m.fl.

Vanligt för myndigheter att använda

Det är vanligt för myndigheter att kunna använda rättslig förpliktelse som rättsliga grund, eftersom det står reglerat i lagar kring deras arbete (exempelvis förvaltningslagen).

Mer information i kompletteringslagen till GDPR

Bestämmelser om rättslig förpliktelse står också reglerat i kompletteringslagen till GDPR. Där framgår det till och med att kollektivavtal utgör rättslig förpliktelse. Med andra ord är det inte bara lagtext som rättslig förpliktelse omfattar, utan även domar och myndighetsbeslut m.m.

Däremot måste det vara tydligt för att gälla. Det är inte tillåtet att behandla personuppgifter med rättslig förpliktelse som rättslig grund om det inte står reglerat i nationell rätt eller unionsrätten.

Samtycke

Ett samtycke föreligger när en person säger ja till att personuppgifter som tillhör denne, blir behandlade. Däremot är det inte alltid tillåtet att använda samtycke som den rättsliga grunden för behandling. Därför är det bra att analysera och överväga om det finns någon annan grund som är mer lämplig, vilket även IMY rekommenderar. Dessutom är det viktigt att veta att det är företaget som måste kunna bevisa att företaget har fått ett giltigt samtycke, inte den registrerade.

Det är vanligt att företag, såsom en butik eller restaurang, inhämtar samtycke när kunden handlar vid köptillfället. Exempelvis genom att kunderna får möjlighet att ingå i ett lojalitetsprogram. Företagen kan då få data och information som kan vara väldigt värdefull, vilket de kan använda för att exempelvis kunna skicka rabatter på produkter som personen faktiskt köper.

 

Inhämta samtycke

Det är viktigt att samtycket är frivilligt lämnat från den registrerade ifråga som personuppgifterna tillhör. Det är inte tillåtet med underförstådda samtycken. Dessutom ska det framgå information om behandlingen i samband med att samtycket ska bli inhämtat. Samtycket får inte heller omfatta ett allt för brett område, såsom ”marknadsföring”. Istället ska den registrerade ge sitt samtycke till specifika delar av marknadsföring, för att det ska vara giltigt.

När en person vill köpa en produkt eller tjänst är det vanligt att ett företag begär samtycke för att få behandla fler personuppgifter utöver de som behöver bli behandlade för att kunna fullgöra avtalet. Då är det inte tillåtet för företaget att göra så att den registrerade måste samtycka till att få exempelvis reklam, för att få genomföra och slutföra köpet. Vid sådana fall anses inte samtycket vara frivilligt enligt GDPR.

Samtycke från barn

Enligt GDPR har barn som är över 16 år rätt att lämna sitt samtycke till behandling av dennes personuppgifter när det gäller internetssamhällets tjänster, exempelvis sociala medier.

Däremot har varje medlemsland i unionen rätt att sänka åldersgränsen, vilket Sverige har valt att göra till 13 år. Det är viktigt att tänka på att barn har särskilda rättigheter enligt GDPR eftersom de bland annat är i en utsatt situation och har svårare att bedöma konsekvenser av sina handlingar.

Exempelvis ska information till barn vara lättförståelig för barnet och på samma språk som det inhemska språket. I Nederländerna fick ett stort internationellt företag, som bedriver en app där målgruppen är mycket unga personer, en stor sanktionsavgift på grund av att språket för informationen om behandlingen av personuppgifterna var på engelska och inte holländska.

Inte alltid lämpligt

Det finns tillfällen när det inte är tillåtet att använda samtycke som rättslig grund. Om förhållandet mellan parterna innebär en för stor ojämlikhet, är det inte tillåtet. Exempelvis mellan en arbetsgivare och arbetstagare. Vid sådana fall är det istället vanligt att använda avtal (anställningsavtal) som rättslig grund.

Samtycke vid behandling av känsliga personuppgifter

Känsliga personuppgifter är enligt huvudregeln i GDPR förbjudna att behandla, men det finns undantag. För att få behandla känsliga personuppgifter behöver företaget få ett uttryckligt samtycke och det ställs högre krav genom ordet ”uttryckligt”, än om det gäller andra personuppgifter.

Om företaget har rutor där den registrerade accepterar användarvillkor och integritetspolicy/dataskyddspolicy, behöver de ha en egen ruta för samtycket som avser de känsliga personuppgifterna. Det är inte tillåtet att rutorna är ikryssade i förväg, utan den registrerade behöver kryssa dem själv och lämna samtycket aktivt.

Intresseavvägning

I vissa fall kan det vara så att intresset för den personuppgiftsansvarige väger tyngre än personen som behandlingen av personuppgifter avser, då kan företaget använda intresseavvägning som rättslig grund. Det innebär att personuppgifter i vissa fall kan bli behandlade utan att det föreligger ett samtycke, rättslig förpliktelse eller ett avtal mellan parterna. Exempelvis är det vanligt att företag genomför direktmarknadsföring med stöd i intresseavvägning som rättslig grund. Men om en person motsätter sig behandling av dennes personuppgifter för direktmarknadsföring, ska det bli respekterat och behandlingen för detta ändamålet ska upphöra.

Måste vara nödvändigt

För att kunna använda intresseavvägning som rättslig grund, behöver behandlingen av personuppgifterna ifråga vara nödvändig för att kunna uppnå ändamålet med behandlingen.

Det är inte tillåtet för myndigheter att använda denna rättsliga grund. Detsamma gäller om behandlingen avser känsliga personuppgifter. Gällande barn, väger barnets skydd högre än när det kommer till vuxna och därför är det svårare att använda denna rättsliga grund om det avser peronuppgifter som tillhör barn.

Gör en intresseavvägning

  • Första steget är att börja med att analysera och identifiera vilka aktörer som blir påverkade av behandlingen.
  • Därefter om det finns ett berättigat intresse i behandlingen från en tredje part eller den personuppgiftsansvarige (företaget).
  • Identifiera hur de registrerade blir påverkade av behandlingen.
  • Avsluta med att analysera intressena från de olika parterna och gör en övergripande avvägning, för att se om intresseavvägning är en aktuell rättslig grund för den tilltänkta behandlingen.
 

Registrerades intressen

När det kommer till att identifiera de registrerades intressen och analysera dem finns det flera faktorer som har betydelse. Bland annat hur mycket personuppgifter som företaget behandlar, vilka typer av personuppgifter det handlar om och syftet med behandlingen.

GDPR skiljer på vanliga och integritetskänsliga personuppgifter, vilket har en betydelse. För att få hantera känsliga personuppgifter såsom uppgifter om hälsa, krävs ett uttryckligt samtycke från den registrerade och därför räcker det inte med enbart intresseavvägning.

Det som en registrerad rimligen kan förvänta sig har en viktig betydelse. Med andra ord kan en anställd förvänta sig att en arbetsgivare måste behandla vissa personuppgifter för att denne ska kunna fullgöra sitt arbete och sina förpliktelser i egenskap av arbetsgivare.

Myndighetsutövning och allmänt intresse

Myndigheter behandlar personuppgifter och de har rätt att göra det, för att kunna utföra sitt arbete som myndighetsutövare. Detsamma gäller om behandlingen är av allmänt intresse. Dessutom behöver myndigheter ha dataskyddsombud som registrerade har rätt att kontakta gällande frågor om behandlingen.

Statliga organ måste behandla personuppgifter i sitt arbete och därför är den här rättsliga grunden viktig. Däremot är det inte tillåtet att enbart använda uppgift av allmänt intresse vid behandling av personuppgifter. Det måste framgå av någon annan lag eller något beslut att behandlingen behöver ske. Detsamma gäller om det står skrivet i exempelvis kollektivavtal.

Skydda grundläggande intresse

I vissa fall kan en registrerad inte lämna ett giltigt samtycke för behandling av dennes personuppgifter, men att det är nödvändigt för att skydda dennes grundläggande intressen. Vid sådana fall har företaget rätt att behandla personuppgifterna.

Exempelvis kan en person vara medvetslös när denne kommer in till ett sjukhus och därför kan denne inte lämna sitt samtycke. Då måste sjukhuset behandla personuppgifterna ändå för att skydda personen i enlighet med grundläggande intresse. 

Grundläggande intresse för känsliga personuppgifter

Det krävs ett uttryckligt samtycke för att ett företag eller en organisation ska få behandla känsliga personuppgifter. Däremot finns det undantag. Om det föreligger ett grundläggande intresse för att skydda individen, är det tillåtet. Däremot måste personen vara förhindrad att få ge sitt samtycke. Exempelvis på ett sjukhus där de behandlar uppgifter om hälsa som är känsliga och vissa personer inte är kapabla att ge sitt samtycke, exempelvis på grund av att de ligger i koma.

Lär dig mer

Gratis juridikskola

Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Där skriver vi bland annat om relevanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. På vår hemsida och Instagram publicerar vi dessutom olika juridiska quiz

Mer information

Avtal och dokument

Företag behöver kunna visa att de följer GDPR, vilket framgår av den grundläggande principen ansvarsskyldighet. Det innebär bland annat att ha lämpliga GDPR-relaterade avtal och dokument. Exempelvis personuppgiftsbiträdesavtal och integritetsmeddelande. 

Vill du veta mer?

Till nästa sida

Vill ni ha vår hjälp?

Beställ uppdrag

Välkommen att kontakta oss via telefon, eller skicka ett meddelande via formuläret eller till vår mail så hör vi av oss så snart vi kan.

E-post

kontakt@digitalajuristerna.se

Telefon

08-81 66 33

    DIGITALA

    Juristerna

    Linkedin Instagram
    Vi arbetar på distans och håller möten på det sätt som passar dig bäst, via telefon eller videomöte

    Kontakta oss

    • 08-81 66 33
    Mån-Sön: kl 09:00-20:00.

    DigiJuris Sverige AB
    Sveavägen 124, 113 50 Stockholm
    kontakt@digitalajuristerna.se
    Org. nr: 559434-7378

    ekonomi@digitalajuristerna.se
    Bankgiro: 161-4262
    VAT.nr: SE559434737801
    Godkänd för F-skatt

    GDPR

    Juridikskola

    Nyheter

    Sök på sidan

    Rulla till toppen
    Call Now Button