Ansök om att få behandla personuppgifter om lagöverträdelser
Andra verksamheter än myndigheter kan ansöka om att få behandla personuppgifter om lagöverträdelser.
Det är som huvudregel bara myndigheter som får behandla personuppgifter om lagöverträdelser. Det finns dock undantag. Om ni inte är en myndighet och inte omfattas av undantagen från denna regel kan ni ansöka om tillstånd att behandla personuppgifter om lagöverträdelser.
IMY får besluta om att andra än myndigheter får behandla personuppgifter om lagöverträdelser. Beslutet kan fattas efter ansökan från en personuppgiftsansvarig som bedömer att det finns ett behov av att behandla personuppgifter om lagöverträdelser i sin verksamhet.
IMY får besluta om att andra än myndigheter får behandla personuppgifter om lagöverträdelser. Beslutet kan fattas efter ansökan från en personuppgiftsansvarig som bedömer att det finns ett behov av att behandla personuppgifter om lagöverträdelser i sin verksamhet.
För att IMY ska kunna godkänna en ansökan om tillstånd ska sökanden kunna visa att behandlingen är förenlig med dataskyddsförordningen, GDPR, särskilt artiklarna 5 och 6.
Vid tillståndsprövningen tar IMY ställning till om sökandens behandling av personuppgifter om lagöverträdelser lever upp till principerna i artikel 5 och om sökandens behandling har stöd i en rättslig grund i artikel 6. Det är den som är personuppgiftsansvarig för behandlingen som kan göra en ansökan.
Handläggningen av en ansökan går snabbast när ansökan är komplett när den kommer in till IMY. Ta bara med information som är relevant för bedömningen. Ansökan bör innehålla följande delar.
IMY:s bedömning görs på en övergripande nivå. Det är sökanden som har ansvar för att säkerställa att personuppgiftsbehandlingen i varje enskilt fall uppfyller kraven i GDPR. IMY:s beslut kan i enskilda fall också innehålla villkor som tidsbegränsningar, återkallelseförbehåll samt krav på återrapportering.
Beskrivning av verksamhet och behandlingsprocess
Beskriv personuppgiftsansvaret, det vill säga på vilket sätt ni bestämmer ändamål och medel för behandlingen. Om behandlingen ska utföras för en uppdragsgivares räkning behöver det även framgå vilket inflytande uppdragsgivaren har på behandlingens innehåll och utförande.
Beskriv tydligt i vilka situationer ni vill behandla personuppgifter om lagöverträdelser. Ett tillstånd kan bara gälla den behandling som uttryckligen har angetts i er ansökan.
Exempel
Exempel på situationer är bakgrundskontroller i samband med kontroll av personer inför avtal vid anställning eller med uppdragstagare samt inför affärsavtal. Andra exempel är behandling av brottsuppgifter vid incidentutredningar och i kundsituationer. En annan situation är om ni avser att övervaka anställda eller kunder och det kan komma att innebära att ni behandlar personuppgifter om lagöverträdelser, exempelvis övervakning av förares hastighet i yrkestrafik.
Beskriv vilka kategorier av registrerade vars personuppgifter om lagöverträdelser ni kan komma att behandla.
Exempel
Exempel på kategorier av registrerade är anställda, konsulter samt företrädare för kunder och leverantörer.
Beskriv om behandlingen kommer att utföras för er egen del eller för en uppdragsgivares räkning.
Exempel
Ett exempel på när behandlingen ska utföras för en uppdragsgivares räkning är när ett bakgrundskontrollföretag ansöker om tillstånd att behandla personuppgifter om lagöverträdelser inom ramen för tillhandahållande av tjänsten bakgrundskontroller.
Beskriv tydligt hur processen för er behandling av personuppgifter om lagöverträdelser ser ut steg för steg. Förklara vilka typer av personuppgifter om lagöverträdelser som förekommer i de olika stegen, vilka som tar del av uppgifterna i respektive steg och hur uppgifterna behandlas i respektive steg.
Er rättsliga grund
Beskriv er rättsliga grund enligt artikel 6.1 i GDPR. Den vanligaste rättsliga grunden för behandling av personuppgifter om lagöverträdelser, i de fall som tillstånd krävs, är intresseavvägning. En annan rättslig grund är samtycke.
För att kunna använda intresseavvägning som rättslig grund måste ni visa
att det finns ett berättigat intresse.
att behandlingen av personuppgifter är nödvändig för ett ändamål som rör det berättigade intresset
att de registrerades grundläggande fri- och rättigheter inte väger tyngre än det berättigade intresset.
Det berättigade intresset behöver vara klart och precist uttryckt. Intresset behöver också vara faktiskt och inte spekulativt eller hypotetiskt. Om ni ansöker om tillstånd för att behandla personuppgifter om lagöverträdelser på uppdrag av någon annan behöver ni också förklara vilket berättigat intresse som er uppdragsgivare har.
Beskriv på vilket sätt behandlingen är nödvändig för att uppnå ändamålet med det berättigade intresset. Beskriv också hur ni bedömer vilka uppgifter som är nödvändiga att behandla.
Beskriv slutligen er intresseavvägning och hur ni gör intresseavvägningen i det enskilda fallet.
Den rättsliga grunden samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen. I många fall är det inte en lämplig grund att stödja sig på. För att det ska vara lämpligt måste det vara frivilligt att samtycka. Det innebär att den registrerade ska kunna avgöra om personuppgifterna ska få behandlas, och hen ska alltid kunna säga nej. Den registrerade ska också kunna återkalla sitt samtycke utan att drabbas av negativa konsekvenser.
För att ni ska kunna använda samtycke som rättslig grund krävs det också att maktförhållandet mellan er och den registrerade är jämlikt. Maktförhållandet är ofta ojämlikt exempelvis mellan arbetsgivare och arbetstagare. Om det råder ett ojämlikt maktförhållande kan ni inte stödja er på samtycke.
Hittills har IMY inte beslutat om tillstånd att behandla personuppgifter om lagöverträdelser där den personuppgiftsansvarige har använt samtycke som rättslig grund för sin behandling.
Den som söker tillståndet behöver visa att behandlingen eller behandlingarna lever upp till principerna i artikel 5 i GDPR. De grundläggande principerna:
Utöver den beskrivning ni lämnat av processen för hur er behandling går till och er redogörelse för den rättsliga grund ni stödjer er behandling på, beskriv vilken information som ges till de registrerade i samband med behandlingen. Beskriv också när och hur informationen lämnas.
Om information om behandlingen inte lämnas till de registrerade, förklara varför information inte lämnas och hur ni i sådant fall lever upp till principen om öppenhet.
Beskriv ändamålen för er behandling. Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste vara specifika och konkreta.
Beskriv vilka rutiner ni har för att avgöra vad som är adekvata och relevanta uppgifter för de planerade behandlingarna. Redogör också för vilka rutiner ni har för att se till att insamlingen av personuppgifter om lagöverträdelser inte blir för omfattande i förhållande till ändamålet med behandlingen.
Förklara vilka rutiner ni har för att se till att de uppgifter som ni behandlar är riktiga och hur ni hanterar nödvändiga uppdateringar.
Förklara vilka rutiner ni har för lagring, gallring, avidentifiering och radering av de personuppgifter om lagöverträdelser som ni behandlar. Beskriv om lagringstid eller gallring påverkas av annan lagstiftning och hur det påverkar er behandling.
Om det inte framgår av den beskrivning ni lämnat av processen för hur er behandling går till, förklara hur ni säkerställer lämplig säkerhet för personuppgifterna. Beskriv både tekniska och organisatoriska åtgärder.
Skicka in ansökan
Tänk på att inte använda e-post om ansökan innehåller känsliga personuppgifter eller uppgifter som omfattas av sekretess.
När ni skickar in en ansökan till IMY blir ansökan allmän handling. Lämna bara uppgifter som är relevanta för ansökan. Om ni lämnar någon uppgift som ni anser bör omfattas av sekretess kan ni beskriva detta i ansökan.
Rätten för exempelvis enskilda personer och massmedier att ta del av allmänna handlingar kan begränsas genom sekretess. Bestämmelser om sekretess finns framför allt i offentlighets- och sekretesslagen (2009:400).
Behöver vi alltid göra en konsekvensbedömning innan vi skickar in en ansökan?
Nej, för att skicka in en ansökan är det inte obligatoriskt att ha genomfört en konsekvensbedömning. Däremot kan ni behöva genomföra en konsekvensbedömning efter att ni fått ett tillstånd från Integritetsskyddsmyndigheten och innan ni påbörjar behandlingen om ni är skyldiga att göra en sådan enligt artikel 35.