Fråga: Hej, vilka är de rättsliga grunderna enligt GDPR? Det är mycket att hålla reda på angående GDPR och vad ett företag får och inte får göra. Som jag har förstått det måste ett företag ha en rättslig grund för att ens få behandla personuppgifter, men jag är osäker på vilka dem är.
Vilka är de rättsliga grunderna enligt GDPR?
Svar: Det finns sex stycken rättsliga grunder enligt GDPR och detta är en beskrivning av dem. För att ett företag ska få behandla personuppgifter, måste varje behandling ha en rättslig grund för att vara laglig. Dessutom ska personuppgifterna, när de inte längre är nödvändiga för det syfte de blev inhämtade för, bli raderade.
Om en person begär information från företaget om dennes personuppgifter, ska företaget utlämna det utan onödigt dröjsmål, senast en månad efter begäran. Däremot kan det i vissa fall bli förlängt med två månader, exempelvis om ärendet är mycket komplicerat. Tillsynsmyndighet för ärenden om GDPR i Sverige är Integritetsskyddsmyndigheten, även kallad för IMY. Tidigare hette myndigheten Datainspektionen.
De sex rättsliga grunderna enligt GDPR
Avtal
En vanlig rättslig grund som företag använder vid behandling av personuppgifter är avtal. Med andra ord får ett företag behandla personuppgifter för att uppfylla de avtalsenliga åtagandena som uppstått genom att företaget ingår ett avtal med en person som personuppgifterna tillhör. Avtal är en stark rättslig grund och är den främst rekommenderade rättsliga grunden att använda om det är möjligt.
Intresseavvägning
Ett företag kan behandla personuppgifter utan att ha fått ett samtycke från en person, om företagets intresse väger tyngre, än personens rätt till integritet. Däremot är det inte tillåtet att behandla känsliga personuppgifter med stöd i denna rättsliga grund. Företaget måste allltid göra en avvägning mellan företagets intresse till behandlingen och den fysiska personens intresse av att behandlingen av personuppgifterna inte ska ske. Valet av intresseavvägning måste alltid vara motiverad.
Rättslig förpliktelse
I vissa fall kan en lag innebära att ett företag måste behandla personuppgifter under en viss tid eller på ett visst sätt. Exempelvis måste företag enligt bokföringslagen lagra bokföringsunderlag en bestämd tid, och då har ett företaget rättslig förpliktelse till att behandla personuppgifterna som förekommer i bokföringsunderlaget för att följa lagen.
Myndighetsutövning
En myndighet kan ha ett allmänt intresse av att behandla personuppgifter vilket de har rätt till enligt denna rättsliga grund.
Samtycke
En person kan lämna ett aktivt frivilligt samtycke för att ett företag ska få behandla dennes personuppgifter. Däremot är det viktigt att det är ett aktivt lämnat samtycke. Dessutom ska ett lämnat samtycke kunna bli återkallat lika enkelt som det blivit lämnat. Om ett samtycke blir återkallat, ska behandlingen omedelbart upphöra. Exempelvis kan personer lämna ett aktivt samtycke genom att kryssa i en ruta och godkänna en viss behandling. Däremot får en kryssruta aldrig vara ikryssad i förväg, eftersom det inte anses utgöra ett “aktivt” val i sådana fall. Dessutom är det företaget som ansvarar för att kunna bevisa och styrka att företaget har fått ett samtycke. Rekommendationen är därför att dokumentera inhämtade samtycken skriftligen, för att kunna bevisa det. Observera att samtycke inte alltid är en lämplig rättslig grund att stödja en behandling av personuppgifter på. Till exempel om förhållandet är ojämlikt såsom mellan en arbetsgivare och arbetstagare.
Grundläggande intresse
I vissa fall kan ett företag behöva behandla personuppgifter för att rädda liv, alternativt skydda en person. Vid sådana fall är “grundläggande intresse” en rättslig grund som företag kan använda.