Rättslig grund och GDPR

Den sex rättsliga grunden i GDPR
De sex rättsliga grunderna i GDPR. Foto N Welingkar av Unsplash.

GDPR artikel 6 anger den rättsliga grunden för laglig användning av personuppgifter. Att kunna behandla personuppgifter måste du ha en giltig rättslig grund. Totalt finns det sex rättsliga grunder för behandling.

Det finns totalt sex rättsliga grunder i GDPR artikel 6.1. Var och en av dessa grunder gör att du kan uppfylla kriterierna för laglig användning av personuppgifter. Du bör välja den grund som bäst passar din behandling, se nedan om “nödvändigt”.

  • Samtycke från den registrerade är den första rättsliga grunden. Observera att denna grund är subsidiär till de andra grunderna, du bör därför alltid överväga de andra grunderna först.
  • GDPR artikel 7 anger villkoren för giltigt samtycke. Begäran om samtycke måste vara klar och tydlig. Personuppgiftsansvarig måste kunna visa att de registrerade har samtyckt till behandlingen. Om den registrerades samtycke även gäller andra frågor måste begäran om samtycke vara tydlig och otvetydig samt skild från de andra frågorna. De registrerade måste ha rätt att när som helst återkalla sitt samtycke. Till exempel är grunden samtycke anledningen till att cookies är okej enligt GDPR.

b) Nödvändigt för att fullgöra ett avtal, eller för att utarbeta ett avtal

Behandlingen är nödvändig för att fullgöra ett avtal mellan den registrerade och personuppgiftsansvarige, eller för att vidta åtgärder inför ingåndet av ett avtal. Detta är vanligtvis den mest lämpliga lagliga grunden att använda. För att utföra en tjänst till en kund krävs viss nödvändig användning av personuppgifter.

Om du till exempel är en bank och ingår ett kreditavtal med en person kan du använda dig av avtalet som laglig grund för tjänsten. Vad du inte kan göra är att överföra uppgifterna till en tredje part, utan berättigat intresse eller samtycke för detta ändamål. Detta beror på att avtalet är med banken och inte med den tredje parten (personuppgiftsansvarig).


c) Nödvändigt för att fullgöra en rättslig förpliktelse

Behandling av personuppgifter kan vara giltig om det finns lagar eller regler som förpliktar den personuppgiftsansvarige att utföra en uppgift som är beroende av behandlingen av personuppgifter. Många organisationer är skyldiga att dela med sig av medarbetaruppgifter till myndigheterna av skatteskäl eller på grund av andra rättsliga skyldigheter.

Advertisement

Sharp Cookie Advisors

Vill du bli en del av vårt team och arbeta med IT-rätt och internetjuridik?

Vi söker biträdande jurister med 0 – 5 års erfarenhet.

www.sharpcookie.se



d) Nödvändigt för att skydda den registrerades eller en annan fysisk persons grundläggande intressen
  • Denna rättsliga grund är det så kallade “medicinska undantaget”. Denna grund gäller när den registrerade inte kan ge sitt samtycke och behandlingen av deras personuppgifter är nödvändig för deras hälsa eller liv.

e) Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person
  • Denna rättsliga grund gäller för alla organisationer som utövar en uppgift i allmänhetens intresse. Det viktiga är inte organisationens utformning utan den relevanta funktionens utformning. Uppgiften eller myndigheten måste anges i nationell lagstiftning. Det behöver inte vara en uttrycklig lagbestämmelse, så länge som tillämpningen av lagen är tydlig och förutsebar.

f) Nödvändigt för de berättigade intressen som personuppgiftsansvarig, eller tredje part, eftersträvar

Den rättsliga grunden för berättigat intresse kallas också “intresseavägning”, eller “intressebedömning”. Detta innebär att personuppgiftsansvarige kan behandla personuppgifter utan den registrerades samtycke, om personuppgiftsansvariges intressen väger tyngre än den registrerades intressen (balanstestet) och om behandlingen är nödvändig för ändamålet i fråga.

Denna grund är den mest flexibla, men är kanske inte alltid den lämpligaste. Det kan vara lämpligt om du använder uppgifterna på ett sätt som individen rimligen kan förvänta sig och om behandlingen har mycket liten effekt på integritet och privatliv eller om det finns ett tvingande berättigat intresse bakom behandlingen. Det berättigade intresset kan vara ett eget, eller ett som hänför sig till en tredje part. Det kan vara antingen ett kommersiellt intresse eller ett individuellt intresse bland andra.

Ett exempel: En bank kanske vill behandla personuppgifter för att kunna upptäcka bedrägligt beteende på grundval av legitima intressen. De frågor banken behöver svara på är: Är det ett legitimt syfte? Det är utan tvekan ett legitimt ändamål för företaget. Men är det i ett legitimt ändamål i relation till företagets kunder och allmänheten? Ja, man kan säga att det ligger i deras intresse eftersom de i allmänhet har ett intresse av att upptäcka bedrägerier. Därefter måste du överväga behovet och väga intressen mot varandra (balanstestet).

För mer djupgående information om hur och när du ska göra en legitim intressebedömning, läs vår artikel Bedömning av berättigat intresse – allt du behöver veta.

Kriterier för laglig användning – “nödvändigt”

Du måste överväga vilken grund som bäst reflekterar syftet med din behandling och din relation med individen. Detta beror på att de flesta rättsliga grunder kräver att behandlingen är “nödvändig” för ett visst ändamål. En konsekvens av detta är att om du kan uppnå syftet utan behandlingen kommer behandlingen inte att vara laglig. För att använda extra känsliga uppgifter måste du dessutom identifiera både en rättslig grund i artikel 6 och ett separat villkor i artikel 9.

Ordet “nödvändigt” har inte samma betydelse i GDPR-sammanhang som i dagligt tal. Till exempel kanske användningen av personuppgifter för att fullgöra ett avtal inte alltid är nödvändig, men om behandlingen leder till nödvändiga effektivitetsvinster kan det ses som nödvändigt. Men om uppgiften kan utföras billigare eller enklare utan personuppgifter eller med anonyma uppgifter ses det vanligtvis inte som nödvändigt. Att använda sig av tekniska hjälpmedel för att behandla personuppgifter är nödvändigt om det leder till effektivitetsvinster.

Sammanfattning

  1. För varje behandling med ett separat syfte måste du ha en separat rättslig grund. Du kan inte använda en generel grund för alla ändamål.
  2. Identifiera den rättsliga grunden innan du påbörjar behandlingen.
  3. Varje enskild behandling måste ha en rättslig grund som är kopplad till syftet bakom behandlingen.

Uppfyll alltid kriteriet för laglig användning och följ GDPR. Detta innebär att du måste ha en rättslig grund men också följa de andra bestämmelserna i GDPR. Även om du har en rättslig grund måste behandlingen alltid vara i enlighet med de integritetsvänliga principerna i artikel 5. Dessutom har vissa extra känsliga uppgifter ytterligare krav i artikel 9.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here