Personuppgiftsansvariga måste stödja sig på en ”rättslig grund” för att kunna behandla personuppgifter på ett lagligt sätt. Det är viktigt att fastställa den lämpliga rättsliga grunden eftersom den kan komma med särskilda krav (t.ex. att samtycket måste vara fritt, specifikt, informerat och otvetydigt) och ha konsekvenser för enskildas rättigheter (t.ex. rätten till portabilitet gäller endast när den rättsliga grunden är samtycke eller ett avtal).
På den här sidan hittar ni mer information om de olika rättsliga grunderna under GDPR. Läs mer om vilka rättigheter som gäller per rättslig grund.
Vilka är de möjliga rättsliga grunderna enligt GDPR?
Personuppgiftsansvariga kan endast behandla personuppgifter i följande fall:
- med de berörda personernas samtycke,
- om det finns en avtalsförpliktelse (ett avtal mellan er organisation och en individ);
- för att uppfylla en rättslig skyldighet enligt EU-lagstiftning eller nationell lagstiftning,
- om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt EU-lagstiftning eller nationell lagstiftning,
- för att skydda en individs vitala intressen,
- för organisationens berättigade intressen (utom om dessa åsidosätts av enskilda personers intressen eller grundläggande rättigheter).
Dessutom fastställer dataskyddsförordningen ytterligare villkor för behandling av känsliga personuppgifter.
Samtycke
Er organisation kan besluta att stödja sig på samtycke för behandling av personuppgifter.
Om en personuppgiftsansvarig använder samtycke som rättslig grund för behandlingen av personuppgifter måste denne se till att detta samtycke ges fritt, informerat, specifikt och otvetydigt. Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs och de måste fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig senare.
Om organisationen måste behandla uppgifterna och inte kan göra det möjligt för enskilda att återkalla sitt samtycke, är detta en indikation på att samtycke inte är den lämpliga rättsliga grunden för behandlingen och man behöver bedöma om en annan rättslig grund kan vara tillämplig.
Villkor för samtycke
Frivilligt
Samtycke ges fritt när individer kan vägra samt dra tillbaka sitt samtycke utan risk för yttre påtryckningar eller negativa konsekvenser. Enskilda personer måste också ha rätt att när som helst återkalla sitt samtycke. Det måste vara lätt att återkalla sitt samtycke (lika lätt som det var att ge det). Återkallande av samtycke får inte påverka den behandling av den enskildes personuppgifter som gjordes före återkallandet, när samtycket fortfarande var giltigt.
Till exempel kommer arbetstagare i princip inte att fritt kunna ge sitt samtycke till behandling som utförs av arbetsgivaren, eftersom arbetstagarna kan känna att de inte kan neka till sin arbetsgivares begäran.
Specifika ändamål
För att samtycket ska vara giltigt måste det också vara specifikt för behandlingsändamålet. Detta villkor är nära relaterat till villkoret om informerat samtycke: enskilda personer måste informeras om de specifika ändamålen på ett tydligt och lättförståeligt språk, så att de har en klar uppfattning om för vilka ändamål deras uppgifter behandlas. Detta innebär också att om syftet med behandlingen ändras eller om ytterligare behandlingsåtgärder läggs till, bör enskilda personer bli ombedda att lämna sitt samtycke på nytt. På samma sätt, om en behandling har flera syften, bör samtycke ges för vart och ett av dem.
Till exempel samlar en streamingtjänst in sina kunders personuppgifter för att erbjuda dem skräddarsydda visningsförslag. Efter en tid beslutar streamingtjänsten att dela sina kunders personuppgifter med tredje part så att de kan skicka riktad reklam till kunderna baserat på deras visningsvanor. Eftersom detta är ett nytt syfte måste streamingtjänsten be om kundens samtycke.
Tydlig information
När ni begär samtycke från en individ måste er organisation se till att denna begäran kommuniceras till den enskilde i ett begripligt och lättillgängligt format, med hjälp av klart och tydligt språk. Information bör lämnas om ändamålen, den personuppgiftsansvariges identitet, uppgiftskategorierna, mottagarna och rätten att återkalla samtycket.
Otvetydigt
För att samtycket ska vara otvetydigt bör det finnas en klar jakande handling (utan förkryssade rutor och göras separat från tillämpliga allmänna villkor).
Det rekommenderas att medgivandet uppdateras med lämpliga intervall. Dessutom måste ni kunna visa att den person vars uppgifter behandlas har gett sitt samtycke, till exempel genom en skriftlig eller undertecknad förklaring, eller genom en avsiktlig åtgärd som att kryssa i en ruta.
Villkor för barns samtycke
Som personuppgiftsansvarig bör ni vidta rimliga åtgärder för att kontrollera den enskildes ålder.
Barn som är 16 år och äldre anses kunna ge sitt eget samtycke.
För barn under 16 år måste er organisation begära samtycke från barnets vårdnadshavare eller förälder. I det här fallet måste ni göra rimliga ansträngningar för att kontrollera att den person som samtycker på barnets vägnar har föräldraansvaret. Observera dock att GDPR ger EU-länderna möjlighet att genom nationell lagstiftning fastställa åldern för samtycke mellan 13 och 16 år, när tjänster tillhandahålls via internet. Därför rekommenderas det att kontrollera era nationella bestämmelser i denna fråga.
När barn kan ge sitt samtycke bör det språk som används för att förmedla informationen om tjänsten anpassas till deras ålder.
Fullgörande av ett avtal
Behandling av en persons personuppgifter för fullgörande av ett avtal är en giltig rättslig grund, till exempel i följande fall:
- Er organisation behöver behandla en persons personuppgifter för att kunna tillhandahålla en tjänst.
- En potentiell kund har bett er att göra något innan man ingår ett avtal med er organisation, till exempel kan personen vilja få en offert för de tjänster som ni tillhandahåller, för vilka ni kan behöva behandla en del av deras personuppgifter.
Behandlingen måste vara nödvändig för att fullgöra ett avtal. I praktiken innebär det att er organisation inte kan gå vidare med genomförandet av kontraktet eller tjänsten utan de aktuella personuppgifterna. Det rekommenderas att er organisation dokumenterar skälen till varför behandlingen av en persons uppgifter är nödvändig för att fullgöra ett avtal.
Dessutom bör ni försöka samla in den minsta mängd personuppgifter som krävs för att utföra den avtalsenliga tjänsten eller för att vidta relevanta åtgärder innan avtalet ingås. I synnerhet kan ni inte använda avtalet för att på ett konstlat sätt utöka kategorierna av personuppgifter eller typer av behandling. Snarare bör ni se till att det finns en verklig ömsesidig förståelse av avtalets syfte, baserat på förväntningarna hos en genomsnittlig individ när avtalet ingås.
Denna rättsliga grund kan också gälla vissa åtgärder som rör avtalsgaranti och vissa åtgärder som rimligen kan förutses och som är nödvändiga inom ramen för ett normalt avtalsförhållande, såsom att skicka formella påminnelser om utestående betalningar eller korrigera fel eller förseningar i fullgörandet av avtalet.
Denna rättsliga grund gäller dock inte om ni vill behandla en persons personuppgifter för marknadsföringsändamål, bedrägeribekämpning, riktad reklam eller andra ändamål relaterade till er organisations affärsmodell. I sådana fall kan andra rättsliga grunder finnas tillgängliga, såsom samtycke eller berättigat intresse, förutsatt att de relevanta kriterierna är uppfyllda.
Lagstiftning kan också föreskriva behandling av personuppgifter, även efter det att avtalet har upphört att gälla (t.ex. för att föra register för bokföringsändamål).
Avtalet måste naturligtvis också vara giltigt enligt tillämplig lag.
I praktiken
- Ni har ett företag som säljer kläder, både online och i en butik, ni kan behöva behandla några av era kunders personuppgifter, såsom kreditkortsuppgifter, för att kunna behandla era kunders inköp av företagets kläder. I detta fall kan behandlingen av kundernas personuppgifter vara nödvändig för fullgörandet av ett avtal.
- Ni har ett företag som erbjuder hemförsäkring. En potentiell kund har begärt en offert för sin hemförsäkring. Som sådan kan vissa av deras personuppgifter vara nödvändiga för att ni ska kunna ge dem ett korrekt pris för sin hemförsäkring.
- Ni har ett företag som säljer böcker, som några av era kunder har köpt. När dessa kunder köpte dessa böcker kan ni ha samlat in en del av deras personuppgifter, vilket var nödvändigt för att behandla transaktionen. Ni vill nu behandla dessa kunders personuppgifter, inklusive uppgifter om deras tidigare köp, för att rekommendera andra böcker som de kanske gillar. Ni kan inte förlita er på behandling av personuppgifter för fullgörandet av ett avtal som rättslig grund eftersom behandling av kunders uppgifter i syfte att annonsera andra böcker inte är nödvändig för fullgörandet av ett avtal.
Därför kommer ert företag att behöva begära kundernas samtycke för att kunna annonsera andra böcker till dem eller, beroende på omständigheterna, stödja sig på ett berättigat intresse.
Fullgörande av en rättslig förpliktelse för den personuppgiftsansvarige
GDPR innehåller en annan rättslig grund, nämligen: att det är nödvändigt för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av.
Denna rättsliga grund kan åberopas när en behandling åläggs en organisation genom EU-lagstiftning eller nationell lagstiftning. Närmare bestämt måste fyra villkor vara uppfyllda:
- den rättsliga förpliktelsen måste definieras i EU-lagstiftning eller nationell lagstiftning som den personuppgiftsansvarige omfattas av.
- dessa rättsliga förpliktelser måste fastställa en tydlig och specifik skyldighet att behandla dessa personuppgifter.
- dessa förpliktelser ska åtminstone definiera ändamålen med behandlingen.
- denna skyldighet bör åläggas den personuppgiftsansvarige och inte de registrerade.
Om dessa villkor inte är uppfyllda kan behandlingen inte grundas på den rättsliga förpliktelsen och en annan rättslig grund måste användas.
GDPR föreskriver många olika omständigheter där personuppgiftsansvariga är juridiskt förpliktigade att behandla sina kunders, klienters eller anställdas personuppgifter. Till exempel behöver arbetsgivare vanligtvis behandla sina anställdas personuppgifter för socialförsäkringsändamål, eller ett företag behöver ofta behandla sina kunders eller klienters personuppgifter för skatteändamål.
Läs mer
Skydda intressen av grundläggande betydelse
Behandling av uppgifter för att skydda intressen av grundläggande betydelse för en person kan endast åberopas i sällsynta och specifika fall. Detta kan till exempel vara fallet om ni behöver behandla personuppgifter för att skydda någons liv. Enligt dataskyddsförordningen är denna rättsliga grund emellertid mycket begränsad och kan endast åberopas i nödsituationer.
I praktiken
Er organisation erbjuder forsränningsresor. Under en av resorna som ni arrangerade blir en av deltagarna allvarligt skadad. Som ett resultat av detta är deltagaren medvetslös och måste få akut vård på ett sjukhus. Som organisation kan ni behöva kommunicera den personens personuppgifter till sjukhuset som behöver behandla dem för att rädda den personens liv. I detta sammanhang kan ni ha möjlighet att behandla den här personens uppgifter för att skydda hans/hennes grundläggande intressen.
Uppgift av allmänt intresse
I vissa specifika fall kan er organisation behandla enskildas personuppgifter för en uppgift av allmänt intresse. I detta fall måste behandlingen ha en grund i EU-lagstiftningen eller nationell lagstiftning. Dess syfte måste fastställas i den rättsliga grunden eller vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Denna rättsliga grund kan därför vara relevant särskilt för offentliga myndigheters behandling i syfte att utföra sina uppgifter.
I praktiken
Er organisation är en medicinsk klinik, som inkluderar en tandläkare och en allmänläkare. Ni kan behöva behandla både tandläkarens och allmänläkarens personuppgifter för att säkerställa att deras kvalifikationer, moraliska och etiska uppförande uppfyller de normer som fastställts i det land där er klinik är belägen.
Intresseavvägning
Er organisation kan komma att behandla enskilda personers uppgifter för berättigade intressen, förutsatt att dessa intressen (kommersiella, skydda er egendom, etc.) inte skapar en obalans till skada för enskilda personers rättigheter och intressen.
Även om dataskyddsförordningen och relevant rättspraxis från Europeiska unionens domstol innehåller exempel på intresseavvägning, finns det ingen uttömmande förteckning.
Du måste dock se till att er intresseavvägning uppfyller ett visst antal krav:
- den ska vara laglig, tydlig, verklig och aktuell.
- behandlingen måste vara nödvändig för att tillgodose detta intresse.
- intresseavvägningen måste ta hänsyn till den enskildes rätt till dataskydd, som inte kan åsidosättas. Inom ramen för detta krav måste den personuppgiftsansvarige väga sitt berättigade intresse och enskilda personers intressen eller grundläggande fri- och rättigheter och även beakta vad de rimligen kan förvänta sig. Denna avvägning måste göras mot bakgrund av de konkreta förhållanden under vilka dessa åtgärder genomförs.
I praktiken
Ni driver ett renoveringsföretag. En av era kunder ifrågasätter kvaliteten på en köksrenovering och vägrar att betala räkningen i sin helhet. Som ett första steg överför ni kundens uppgifter till er advokat för att förhandla om en uppgörelse med kunden. Eftersom kunden fortfarande vägrar att betala, anlitar ni en inkassobyrå. Ni överför endast de personuppgifter som är nödvändiga för förfarandet till inkassobyrån och byrån utför endast begränsade kontroller för att bekräfta kundens kontaktuppgifter och för att inleda ett domstolsförfarande.
Det första steget kan fortfarande omfattas av den behandling som är nödvändig för att fullgöra ett avtal, men ytterligare åtgärder som vidtagits, såsom att anlita ett inkassobolag, skulle kunna anses ligga i den personuppgiftsansvariges berättigade intresse. Eftersom de åtgärder som vidtas av inkassobolaget inte är alltför inkräktande och inverkan på kunden är begränsad, skulle intresseavvägning kunna vara en lämplig rättslig grund.
Behandling av känsliga personuppgifter
Ytterligare krav gäller om ni avser att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter, biometriska uppgifter i syfte att unikt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dessa särskilda kategorier av uppgifter kallas vanligen ”känsliga personuppgifter”.
Behandling av känsliga personuppgifter är i allmänhet förbjuden, utom i följande specifika fall.
- Den enskilde har gett sitt uttryckliga samtycke till att deras känsliga uppgifter behandlas.
- Behandlingen av känsliga uppgifter är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter, särskilt när det gäller sysselsättning, social trygghet och socialt skydd. Den personuppgiftsansvarige kan till exempel behöva behandla en persons känsliga uppgifter för att kunna avgöra om de har rätt till vissa socialförsäkringsförmåner eller anställningsstipendier.
- Behandlingen av känsliga uppgifter är nödvändig för att skydda de grundläggande intressena hos en person där personen är fysiskt eller juridiskt oförmögen att ge sitt samtycke. Till exempel, om en person lämnas medvetslös till följd av en olycka och kräver omedelbar medicinsk vård, kan känsliga uppgifter om personen behöva behandlas för att lämplig medicinsk vård ska tillhandahållas.
- Behandlingen av känsliga uppgifter sker inom ramen för en stiftelses, förenings eller annan ideell organisations legitima verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte och endast för behandling av personuppgifter om deras medlemmar, tidigare medlemmar eller personer som har regelbunden kontakt med dem.
- De känsliga uppgifterna har tydligt offentliggjorts av den registrerade.
- Behandling av känsliga uppgifter är nödvändig i samband med rättsliga förfaranden .
- Behandlingen av känsliga uppgifter är nödvändig för frågor som rör uppgifter av ett viktigt allmänt intresse.
- Behandlingen av känsliga uppgifter är nödvändig av skäl som hör samman med tillhandahållande av hälso- och sjukvård inklusive företagshälsovård. Till exempel kan det vara nödvändigt att behandla en persons känsliga uppgifter, såsom deras medicinska uppgifter, för att fastställa deras arbetsförmåga som anställd.
- Behandlingen av känsliga uppgifter är nödvändig för folkhälsofrågor på grundval av EU-lagstiftning eller nationell lagstiftning. Till exempel kan behandling av enskildas känsliga uppgifter vara nödvändig för att säkerställa en hög kvalitet inom hälso- och sjukvården och en hög kvalitet på medicinska produkter, eller för att bekämpa allvarliga hälsohot, såsom virus.
- Behandlingen av känsliga uppgifter är nödvändig för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska, historiska eller forskningsändamål. Till exempel kan behandling av känsliga uppgifter vara nödvändig för att tillhandahålla korrekt statistik om ett lands situation inom ett visst område.
Checklista för behandling av känsliga personuppgifter
- Fråga er om ni behöver behandla en persons känsliga personuppgifter för den planerade behandlingen.
- Identifiera den rättsliga grunden (= rättslig motivering) för behandling av en persons uppgifter. Ni bör hänvisa till artikel 6 i GDPR.
- Identifiera om de ytterligare villkoren för behandling av känsliga uppgifter är uppfyllda. Ni bör hänvisa till artikel 9 i GDPR.
- Identifiera de risker och skyddsåtgärder för dataskydd, t.ex. de tekniska och organisatoriska åtgärder som er organisation kan behöva vidta vid behandling av enskildas känsliga personuppgifter.
- Glöm inte att föra register över era skäl för att behandla en persons känsliga personuppgifter, de risker som detta kan medföra och de åtgärder ni har vidtagit för att minska dessa risker.