Laglig grund GDPR

Laglig grund GDPR

Det krävs en laglig grund för behandling av personuppgifter för att behandlingen ska vara laglig. Den lagliga grunden behöver det företag som är ansvarig för behandlingen (den personuppgiftsansvarige) fastställa innan behandlingen påbörjas. Det handlar om att ha ett giltigt skäl eller rättsligt stöd för varje enskild personuppgiftsbehandling. GDPR anger sex olika lagliga grunder:

  • samtycke,
  • avtal,
  • rättslig förpliktelse,
  • skydd för grundläggande intressen,
  • uppgift av allmänt intresse eller myndighetsutövning, samt
  • intresseavvägning.

En viss behandling kan rymmas inom en eller flera av de legala grunderna. Varje behandling av personuppgifter måste dock kopplas till en av dessa grunder för att vara laglig, det vill säga även om behandlingen skulle kunna rymmas inom flera av de lagliga grunderna måste den personuppgiftsansvarige välja en av dem.

Valet av laglig grund påverkar vilka rättigheter de registrerade (exempelvis den personuppgiftsansvariges kunder) har och vilka skyldigheter som åligger den personuppgiftsansvarige. Det är därför viktigt att noggrant analysera och dokumentera vilken GDPR laglig grund som används för varje specifik behandling. Utan laglig grund är behandlingen av personuppgifter olaglig enligt GDPR.

GDPR lagliga grunder: I den här texten går vi igenom de sex lagliga grunder som finns. Morling Consulting värderar vilka legala grunder som kan vara aktuella för viss behandling och vad effekten av den valda lagliga grunden är.

Samtycke som laglig grund

Samtycke som GDPR laglig grund innebär att en person frivilligt, specifikt, informerat och otvetydigt har gett sitt godkännande till behandling av sina personuppgifter för ett eller flera specifika ändamål. Efter att ett samtycker getts måste det vara lika enkelt att återkalla det som det var att ge det, och personen måste informeras om denna rättighet innan samtycke ges.

Samtycket ska vara en aktiv handling och kan inte presumeras genom tystnad eller passivitet. Det är den personuppgiftsansvariges ansvar att kunna visa att giltigt samtycke har inhämtats.

Avtal som laglig grund

Avtal är en laglig grund under GDPR och det innebär att behandling av personuppgifter är tillåten när det är nödvändigt för att fullgöra ett avtal där den registrerade är part. Avtal som legal grund täcker även förberedande åtgärder som vidtas innan ett avtal kommit till stånd när åtgärderna är ett led i att ingå avtal på den registrerades begäran.

Till exempel kan ett företag behandla en kunds adress för att leverera varor som beställts enligt ett köpeavtal. Denna grund är vanlig vid transaktioner, anställningsförhållanden och tjänsteleveranser där personuppgiftsbehandling krävs för att uppfylla avtalsförpliktelser.

Rättslig förpliktelse som legal grund

Den personuppgiftsansvarige kan ha rättslig förpliktelse som kräver att personuppgifter behandlas. Det innebär att den legala grunden rättslig förpliktelse blir aktuell till den mån behandlingen är nödvändigt för att uppfylla en skyldighet som följer av lag, förordning eller annat rättsligt krav.

Till exempel kan en organisation behandla personuppgifter för att uppfylla bokföringsskyldighet enligt bokföringslagen. Denna grund gäller när den personuppgiftsansvarige är juridiskt förpliktigad att utföra behandlingen, och den kan inte användas för frivilliga åtaganden. Det innebär att det behöver fastställas hur långt den rättslig förpliktelsen sträcker sig och om det är otydligt kan i vissa fall en annan legal grund behöva övervägas.

Skydd för grundläggande intressen som legal grund

Personuppgifter får behandlas om det är nödvändigt för att skydda den registrerades eller någon annan persons vitala intressen, särskilt när personen är fysiskt eller juridiskt oförmögen att ge sitt samtycke. Den legala grunden är då skydd för grundläggande intressen vilken främst är aktuell i nödsituationer, till exempel om en person är medvetslös och behöver akut medicinsk vård. Det bör övervägas om andra legala grunder är aktuella innan skydd för grundläggande intressen tillämpas.

Uppgift av allmänt intresse eller myndighetsutövning som legal grund

Den lagliga grunden uppgift av allmänt intresse eller myndighetsutövning innebär att personuppgiftsbehandling är tillåten när den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Detta gäller främst för offentliga myndigheter, men kan även omfatta privata aktörer som utför uppgifter av allmänt intresse.

Behandlingen måste ha stöd i lag, annan författning, kollektivavtal eller beslut som meddelats med stöd av lag. Ett exempel kan vara personuppgiftsbehandling inom skola, vård eller annan offentlig verksamhet.

Intresseavvägning som legal grund

Intresseavvägning som legal grund innebär att en organisation kan behandla personuppgifter om dess berättigade intresse väger tyngre än den registrerades integritetsintressen. Organisationen måste göra en noggrann bedömning där dess legitima intressen vägs mot individens rättigheter och friheter. Intresseavvägning som legal grund skiljer sig alltså från de andra legala grunderna i det att den personuppgiftsansvarige själv måste identifiera och väga det egna legitima intresset mot den registrerades intresse.

Intresseavvägning kan exempelvis användas för direktmarknadsföring, men det bör noteras att det finns en rätt för den registrerade att invända mot att få direktmarknadsföring. Intresseavvägningen måste dokumenteras och behandlingen måste vara nödvändig för att uppnå det berättigade intresset.

Hjälp med GDPR:s legala grunder

Vi på Morling Consulting kan hjälpa ert företag med GDPR, exempelvis värdering av tillämplig legal grund. Vi hjälper verksamheter med efterlevnad av GDPR och kan hjälpa till med enstaka insatser, projekt eller åtaganden över längre tid.

Kontakta oss

Om du föredrar telefon, välkommen att kontakta Felix Morling på +46 70 444 42 85

*” anger obligatoriska fält