Om de sex rättsliga grunderna: När får du behandla personuppgifter?
Att behandla personuppgifter kräver stöd i en av sex rättsliga grunder enligt dataskyddsförordningen (GDPR). Ett vanligt misstag bland företag är att välja fel grund – eller flera grunder samtidigt – vilket kan leda till felaktig tillämning av dataskyddsförordningen. Nedan följer en genomgång av vanliga felbedömningar vid val av rättslig grund.
Vanliga misstag vid val av rättslig grund
Ett vanligt fel är att använda samtycke som standardlösning, kanske för att det känns enkelt att vid osäkerhet om vilken legal grund som kan vara aktuellt. Samtycke ska vara frivilligt, informerat och återkalleligt. I anställningsförhållanden eller andra relationer där det finns en maktobalans, kan samtycke sällan anses leva upp till kravet på att vara frivilligt.
Ett annat misstag är att blanda ihop grunderna avtal och berättigat intresse. Behandling som är nödvändig för att fullgöra ett avtal kräver ingen ytterligare intresseavvägning, den är så att säga redan gjord av dataskyddsförordningen. Om behandlingen däremot går utöver det som är nödvändigt för avtalets uppfyllande, krävs en annan grund – ofta berättigat intresse, förutsatt att en intresseavvägning ger stöd för det.
En tredje vanlig felbedömning är att använda rättslig förpliktelse utan att det finns ett tydligt lagkrav. Denna grund gäller endast när en svensk lag eller annan författning kräver viss personuppgiftsbehandling. Det räcker inte att lag kan tolkas innefatta viss typ av behandling, utan kravet från lagen behöver nå viss tydlighet.
GDPR kräver att varje behandling har en tydlig, dokumenterad rättslig grund. Det innebär att grunden inte bara måste finnas – den måste också kunna visas upp. Att i efterhand byta rättslig grund eller hänvisa till ”flera grunder” för samma behandling är inte tillåtet.
På Morling Consulting hjälper våra GDPR-jurister företag att säkerställa korrekt val och dokumentation av rättslig grund enligt GDPR – från policy till praktisk tillämpning.
