När är avtal en giltig rättslig grund enligt GDPR?
Många företag använder den rättsliga grunden ”avtal” när de hanterar personuppgifter om kontaktpersoner hos kundföretag. Det är ofta fel. Här förklarar vi varför.
Att luta sig mot artikel 6.1 b i GDPR – den så kallade ”avtalsgrunden” – kräver att den registrerade personen är part i avtalet. Det innebär att grunden bara är tillämplig när avtalet ingås med en fysisk person, exempelvis en konsument eller en enskild firma. Vid avtal mellan två juridiska personer, exempelvis två företag, är det däremot inte möjligt att hänvisa till artikel 6.1 b för att behandla uppgifter om de personer som företräder eller arbetar för företaget.
Detta är en vanlig missuppfattning, särskilt i B2B-verksamheter där personuppgifter om kontaktpersoner (namn, telefonnummer, e-postadress) ofta behandlas som en del av kundrelationen. Men enligt GDPR gäller “avtal” som legal grund bara vid behandling av uppgifter om de fysiska personer som är part till avtalet. En juridisk person – alltså företaget som ingår avtalet – är som utgångspunkt separat från de personer som företräder företaget. Detta innebär att om den fysiska personen inte är part i avtalet, så kan inte artikel 6.1 b tillämpas för att etablera en legal grund för behandling av företrädarens personuppgifter.
Detta bekräftas även av Europeiska dataskyddsstyrelsens (EDPB) riktlinjer 2/2019 punkt 26. Där framgår att den legala grunden “avtal” endast gäller när behandlingen är ”objektivt nödvändig” för att uppfylla ett avtal där den registrerade är avtalspart. Att en person är involverad i avtalet eller nämns i det räcker inte.
Berättigat intresse vid behandling av kontaktpersoners uppgifter
När ett företag behandlar uppgifter om en kontaktperson hos en kund eller leverantör (där avtalet är mellan två företag), är det berättigat intresse enligt artikel 6.1 f som i regel är den rättsliga grund som kan användas. Denna grund kräver att den personuppgiftsansvarige gör en så kallad intresseavvägning – alltså att man väger sitt legitima behov av att behandla uppgifterna mot kontaktpersonens rätt till integritet.
Sådana situationer är mycket vanliga och inkluderar exempelvis:
- Kommunikation med kontaktpersoner i samband med offertförfrågningar och leveransavtal.
- Fakturering och administration.
- Inbjudningar till kundmöten eller branschseminarier.
Att förlita sig på legitimt intresse som legal grund innebär i praktiken att företag behöver dokumentera sin intresseavvägning noggrant och vara beredda att motivera varför just berättigat intresse är en rimlig grund i det aktuella fallet – eller använda en annan grund om den bedömningen inte håller.
När kan avtal vara rätt grund?
Det finns förstås situationer där avtal är en korrekt rättslig grund enligt GDPR:
- När du säljer en tjänst till en konsument.
- När en fysisk person (exempelvis en enskild firma) själv är kund.
- När ett anställningsavtal ingås med en individ.
I dessa fall är det fullt möjligt att behandla personuppgifter som är nödvändiga för att fullgöra avtalet, exempelvis kontaktuppgifter, betalningsinformation och leveransuppgifter. Men detta gäller alltså endast när det är den registrerade personen själv som är part i avtalet.
Kort om rättslig förpliktelse
Utöver avtal och berättigat intresse kan även rättslig förpliktelse vara aktuell som grund (artikel 6.1 c), till exempel för att uppfylla bokföringsskyldigheter eller lämna ut uppgifter till myndigheter.
Men även denna grund förutsätter att det finns ett tydligt och specifikt lagkrav i nationell eller EU-rätt.
Morling Consulting hjälper företag att säkerställa korrekt rättslig grund för personuppgiftsbehandling i affärsrelationer. Våra GDPR-jurister erbjuder stöd i intresseavvägningar, dokumentation och vägledning kring praktisk tillämpning av dataskyddsförordningen.
