Avtal (GDPR)
Vi utformar GDPR-avtal, granskar innehåll och tydliggör ansvar i personuppgiftsbehandling
Vi förklarar – vad betyder avtal som rättslig grund?
Avtal som rättslig grund innebär att en organisation får behandla personuppgifter när behandlingen är nödvändig för att fullgöra ett avtal med den registrerade, eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. Detta framgår av artikel 6.1 b i GDPR.
Grunden är vanlig vid kundrelationer, anställningsförhållanden och leverantörsavtal där viss behandling av personuppgifter är en direkt förutsättning för att avtalet ska kunna uppfyllas.
När blir frågan om avtal som rättslig grund aktuell?
Frågan blir aktuell när den personuppgiftsansvarige behöver behandla personuppgifter för att kunna uppfylla sina skyldigheter enligt avtalet. Detta kan gälla både under avtalets giltighetstid och i vissa fall vid förberedande åtgärder.
Exempel är när ett företag behandlar en kunds adressuppgifter för att leverera en vara, eller när en arbetsgivare hanterar anställdas bankuppgifter för löneutbetalningar.
Att tänka på kring avtal som rättslig grund
För att använda avtal som rättslig grund på ett korrekt sätt bör organisationen tänka på följande:
- Behandlingen måste vara nödvändig för att uppfylla avtalet – inte bara önskvärd.
- Endast de personuppgifter som är relevanta och proportionerliga får behandlas.
- Om behandlingen fortsätter efter att avtalet upphört krävs en annan rättslig grund.
- Åtgärder före avtalets ingående får endast omfatta behandling på den registrerades egen begäran.
- Information till den registrerade om behandlingen ska lämnas enligt GDPR:s transparenskrav.
- Avtal som rättslig grund får inte användas som ursäkt för att samla in fler uppgifter än nödvändigt.
En noggrann behovsanalys säkerställer att grunden “avtal” används korrekt och i enlighet med GDPR:s principer.
Avtal (GDPR)
Varför är avtal som rättslig grund viktigt?
Den legala grunden avtal är central eftersom den möjliggör behandling av personuppgifter som är direkt kopplade till den registrerades önskemål och rättigheter inom ramen för avtalet. Utan denna grund skulle många vardagliga affärs- och anställningsprocesser inte vara lagliga enligt GDPR.
Samtidigt ställer grunden höga krav på att behandlingen är strikt nödvändig och inte går utöver vad avtalet kräver. Felaktig användning av grunden kan leda till att behandlingen anses olaglig och till sanktioner från tillsynsmyndigheten.
Ur ett affärsperspektiv bidrar korrekt tillämpning till smidiga processer, nöjda kunder och medarbetare samt ett stärkt förtroende för organisationens dataskyddsarbete.
Vanliga frågor och svar om avtal som rättslig grund
Det innebär att personuppgifter får behandlas när det är nödvändigt för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på dennes begäran innan avtal ingås.
När behandlingen är direkt kopplad till att uppfylla avtalets villkor och är nödvändig för att avtalet ska kunna fullgöras.
Vanliga exempel är när en privatperson får:
- Leverans av beställda varor eller tjänster.
- Faktura skickad till sig.
- Löneutbetalningar i anställningsförhållanden.
Normalt inte, eftersom marknadsföring sällan är nödvändig för att uppfylla ett avtal. Då krävs ofta samtycke eller berättigat intresse som rättslig grund.
Efter avtalets upphörande måste behandlingen av personuppgifter baseras på en annan rättslig grund, exempelvis rättslig förpliktelse eller berättigat intresse.
Organisationen bör:
- Identifiera vilka behandlingar som är nödvändiga för avtalet.
- Begränsa insamlingen till relevanta uppgifter.
- Informera den registrerade och bevara dokumentation om behandlingen.
Läs mer om våra tjänster
GDPR-jurist
Ta hjälp av Morling Consultings GDPR-jurister när frågor om personuppgifter behöver drivas affärsnära med tydlig kontroll på risk. Vi stöttar i styrning, avtal, informationsgivning och biträden, så att organisationen håller linjen mot registrerade och IMY.
Konsekvensbedömning
Vi tar fram er konsekvensbedömning när en behandling kan innebära hög risk och ett beslutsunderlag krävs. Vi genomför DPIA, identifierar risker och tar fram åtgärder och dokumentation, så att bedömningen blir spårbar och redo vid granskning.
Incidenthantering
Morling Consulting stödjer vid incidenthantering när en personuppgiftsincident behöver hanteras snabbt och korrekt. Vi leder bedömning, åtgärdsplan och dokumentation, inklusive underlag för anmälan och kommunikation, så att verksamheten agerar samlat och minskar följdskador.
Prata med en GDPR-jurist
Behöver du ta fram eller se över GDPR-avtal? Hör av dig så tar vi det vidare
”*” anger obligatoriska fält