Rättslig förpliktelse

Vi bedömer när rättslig förpliktelse kan användas som grund för behandling enligt GDPR

KONTAKTA OSS

Vi förklarar – vad innebär rättslig förpliktelse?

Rättslig förpliktelse är en rättslig grund enligt artikel 6.1 c i GDPR. Den innebär att personuppgifter får behandlas när det är nödvändigt för att uppfylla en skyldighet som följer av lag eller annan bindande rättsregel i EU eller nationell rätt. Detta gäller även när förpliktelsen följer av sektorsspecifik lagstiftning, som bokföringslagen eller penningtvättslagen.

Grunden används ofta när en organisation måste hantera personuppgifter för att följa rättsliga krav, oavsett om den registrerade samtycker eller inte.

När blir frågan om rättslig förpliktelse aktuell?

Frågan blir aktuell när en organisation måste behandla personuppgifter för att följa ett specifikt lagkrav. Detta gäller ofta inom ekonomi, arbetsrätt, skatterätt och regelefterlevnad inom reglerade branscher.

Exempel är att spara bokföringsunderlag enligt bokföringslagen, rapportera misstänkta transaktioner enligt penningtvättslagen eller lämna uppgifter till Skatteverket enligt skatteförfarandelagen.

Bilden visar paragrafsymbol (§) i mörkgrönt framför ett vitt dokument med ljusblå skuggor och en markerad ruta i orange, med ett kugghjul i bakgrunden.

Att tänka på kring rättslig förpliktelse

För att använda rättslig förpliktelse som rättslig grund behöver organisationen beakta följande:

  • Identifiera det specifika lagkravet som kräver behandlingen.
  • Behandla endast de personuppgifter som är nödvändiga för att uppfylla kravet.
  • Informera den registrerade om den rättsliga grunden och lagens krav.
  • Bevara dokumentation som visar att behandlingen grundas på en rättslig förpliktelse.
  • Upphöra med behandlingen när den rättsliga förpliktelsen inte längre gäller.
  • Samordna behandlingen med andra rättsliga krav, exempelvis GDPR:s principer om lagringsminimering och ändamålsbegränsning.

Genom att arbeta strukturerat minskar organisationen risken för både GDPR-överträdelser och brott mot den aktuella speciallagstiftningen.

Rättslig förpliktelse

Varför är rättslig förpliktelse viktig?

Rättslig förpliktelse är viktig eftersom den säkerställer att organisationer kan uppfylla sina skyldigheter enligt lag utan att riskera att bryta mot GDPR. Den ger ett tydligt och förutsägbart stöd för behandling av personuppgifter när detta krävs för regelefterlevnad.

Samtidigt är det avgörande att rättslig förpliktelse inte används som en generell motivering för all behandling. Användningen måste alltid vara knuten till ett tydligt och dokumenterat lagkrav.

Ur ett affärs- och förtroendeperspektiv visar korrekt hantering av rättsliga förpliktelser att organisationen tar både sin juridiska skyldighet och skyddet av individens integritet på allvar.

Vanliga frågor och svar om rättslig förpliktelse

Den legala grunden “rättslig förpliktelse innebär att personuppgiftsbehandling får utföras när det är nödvändigt för att uppfylla en skyldighet enligt lag eller annan bindande rättsregel.

När behandlingen direkt krävs av en specifik lagregel och är nödvändig för att uppfylla denna skyldighet.

Vanliga exempel är:

  • Sparande av bokföringsunderlag enligt bokföringslagen.
  • Rapportering av misstänkta transaktioner enligt penningtvättslagen.
  • Skyldighet att lämna uppgifter till Skatteverket enligt skatteförfarandelagen.

Nej, samtycke krävs inte när behandlingen är nödvändig för att uppfylla en rättslig förpliktelse. Samtycke är direkt olämplig i ett sådant fall eftersom den registrerade inte kan välja om behandlingen ska utföras.

När den rättsliga förpliktelsen inte längre gäller måste behandlingen avslutas såvida det inte finns en annan rättslig grund.

Organisationen bör:

  • Identifiera den specifika lag eller förordning inklusive paragraf som kräver behandlingen.
  • Begränsa insamlingen till vad som är nödvändigt.
  • Bevara dokumentation som visar att behandlingen följer kravet.

Läs mer om våra tjänster

GDPR-jurist

Ta hjälp av Morling Consultings GDPR-jurister när frågor om personuppgifter behöver drivas affärsnära med tydlig kontroll på risk. Vi stöttar i styrning, avtal, informationsgivning och biträden, så att organisationen håller linjen mot registrerade och IMY.

Konsekvensbedömning

Vi tar fram er konsekvensbedömning när en behandling kan innebära hög risk och ett beslutsunderlag krävs. Vi genomför DPIA, identifierar risker och tar fram åtgärder och dokumentation, så att bedömningen blir spårbar och redo vid granskning.

Incidenthantering

Morling Consulting stödjer vid incidenthantering när en personuppgiftsincident behöver hanteras snabbt och korrekt. Vi leder bedömning, åtgärdsplan och dokumentation, inklusive underlag för anmälan och kommunikation, så att verksamheten agerar samlat och minskar följdskador.

Kontakt

Porträtt av Felix Morling, jurist och legal consultant, kontakta oss för rådgivning.
Felix Morling

Prata med en GDPR-jurist

Behöver du bedöma om rättslig förpliktelse kan användas? Hör av dig så tar vi det vidare

*” anger obligatoriska fält