Rättslig grund

Rättslig grund är en av de mest centrala principerna inom dataskydd och avgör när personuppgifter får behandlas enligt GDPR.

Vi förklarar – vad betyder rättslig grund?

Rättslig grund, även kallad laglig grund, är den juridiska bas som krävs för att behandling av personuppgifter ska vara tillåten enligt Dataskyddsförordningen (artikel 6 GDPR). Varje behandling måste bygga på en av de rättsliga grunderna samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, uppgift av allmänt intresse eller berättigat intresse.

En utsedd DPO-funktion (dataskyddsombud) har ofta en nyckelroll i att säkerställa att rättslig grund identifieras och dokumenteras korrekt, särskilt vid känsliga behandlingar eller nya ändamål. Rättslig grund används inom områden som dataskydd, personuppgiftsbehandling och regelefterlevnad.

När blir frågan om rättslig grund aktuell?

Frågan om rättslig grund uppkommer när en organisation planerar, ändrar eller ser över hur personuppgifter behandlas. Det kan gälla allt från kunddata i ett CRM-system till anställdas uppgifter i HR-processer. Valet av rättslig grund styr hur behandlingen får ske och vilka rättigheter de registrerade har.

Vid exempelvis anställningar används ofta avtal som rättslig grund, medan berättigat intresse kan användas vid kundkommunikation. För myndigheter är uppgift av allmänt intresse en vanlig grund.

En jurist i kostym granskar ett digitalt flödesschema på en stor skärm i ett ljust kontorslandskap. Flödesschemat visar symboler för rättsliga grunder: ett hjärta, en avtals­hand, en våg och en mapp, i ljusa toner med accentfärger i orange och turkos

Att tänka på kring rättslig grund

När en organisation fastställer rättslig grund finns flera praktiska och juridiska faktorer att beakta. Nedan följer centrala punkter som bör säkerställas i arbetet.

  • Dokumentera alltid den valda rättsliga grunden innan behandlingen påbörjas.
  • Säkerställ att ändamålet med behandlingen är tydligt definierat och nödvändigt.
  • Undvik att använda flera rättsliga grunder för samma behandling utan tydlig motivering.
  • Granska regelbundet om vald rättslig grund fortfarande är giltig, särskilt vid ändrade ändamål.
  • Informera de registrerade i integritetspolicyn om vilken rättslig grund som används.
  • Involvera dataskyddsombudet i bedömningen av rättslig grund för nya behandlingar.
  • Beakta särskilda krav vid behandling av känsliga personuppgifter enligt artikel 9 GDPR.

En genomtänkt hantering av legal grund ökar transparensen och stärker förtroendet mellan organisationen och de registrerade.

Rättslig grund

Varför är legal grund viktig?

Legal grund fungerar som den juridiska grunden för all personuppgiftsbehandling. Utan en korrekt identifierad grund är behandlingen olaglig, vilket kan leda till ingripanden från Integritetsskyddsmyndigheten (IMY) och sanktionsavgifter.

Att fastställa rättslig grund tydligt hjälper organisationer att uppfylla kraven på ansvarsskyldighet enligt artikel 5.2 GDPR. Det gör även att interna processer, såsom hantering av samtycken eller intresseavvägningar, blir mer konsekventa och spårbara.

Genom att visa att rättslig grund har bedömts och dokumenterats på rätt sätt stärker organisationen sin trovärdighet gentemot kunder, anställda och samarbetspartners. Det visar respekt för individens integritet och bidrar till ett hållbart dataskyddsarbete.

Vanliga frågor och svar om rättslig grund

Rättslig grund är den lagliga förutsättningen som krävs för att behandla personuppgifter enligt GDPR.

Det finns sex rättsliga grunder: samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, uppgift av allmänt intresse och berättigat intresse. Varje behandling måste baseras på en av dessa.

Organisationen behöver analysera syftet med behandlingen och bedöma vilket alternativ som bäst motsvarar ändamålet. I vissa fall krävs juridisk vägledning för att undvika felaktiga val.

  • Om behandlingen är nödvändig för att fullgöra ett avtal används grunden avtal.
  • Om behandlingen sker för myndighetsutövning används allmänt intresse.
  • Om ingen annan grund passar kan samtycke bli aktuellt.

Rättslig grund bör omprövas när syftet med behandlingen ändras eller när organisationen inför nya system.

  • Vid nya projekt som behandlar personuppgifter.
  • När insamlad data ska användas för nya ändamål.
  • Vid större förändringar i verksamheten.

Om en behandling sker utan rättslig grund är den olaglig enligt GDPR. Det kan leda till krav på radering av data, sanktionsavgifter och skada för företagets rykte. IMY kan även inleda tillsyn och förelägga organisationen att upphöra med behandlingen.

Dataskyddsombudet (DPO) ger rådgivning, granskar dokumentationen och hjälper till att säkerställa att rättslig grund fastställs korrekt. Ombudet fungerar även som kontaktpunkt mot IMY och bidrar till att dataskyddsarbetet följer GDPR:s krav på ansvarsskyldighet.

Läs mer om våra tjänster

AML-jurist

Ta hjälp av våra AML-jurister när penningtvättsarbetet behöver bli affärsnära, robust och praktiskt genomförbart. Vi stöttar i styrning, kundkännedom och riskklassning samt rapporterings- och uppföljningsprocesser, så att verksamheten arbetar konsekvent och står starkt vid granskning.

Allmän riskbedömning

Morling Consulting tar fram er allmänna riskbedömning för en tydlig riskbild och omsätter den till interna rutiner. Med vårt stöd får ni riskbedömning, metod för riskklassificering och uppdaterade interna rutiner, med särskilt fokus på finansiell verksamhet och bokförings- och redovisningsbyråer.

Kundkännedom

Ta in stöd för kundkännedom när processer och dokumentation behöver bli konsekventa och robusta, exempelvis i finansiell- och bokföringsverksamhet. Vi stärker onboarding och löpande uppföljning, mallar och kontrollpunkter, med fokus på praktiska krav på identifikation, riskklassning och spårbar dokumentation.

Kontakt

Porträtt av Felix Morling, jurist och legal consultant, kontakta oss för rådgivning.
Felix Morling

Kontakta oss

Om du föredrar telefon, välkommen att kontakta Felix Morling på +46 70 444 42 85

*” anger obligatoriska fält