Verksamhet
Dataskydd Det här gäller enligt dataskyddsförordningen Rättslig grundRättslig grund
Det finns sex rättsliga grunder:
Den registrerade har sagt ja till personuppgiftsbehandlingen.
Obs! Ofta är det inte lämpligt eller ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.
Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvariga.
Det finns lagar eller regler som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet.
Den personuppgiftsansvariga måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om hen är medvetslös.
Den personuppgiftsansvariga måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.
Den personuppgiftsansvariga får behandla personuppgifter om den personuppgiftsansvarigas intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
Privat och offentlig verksamhet kan stödja sig på olika rättsliga grunder
Privata företag, föreningar och organisationer i privat verksamhet kan främst använda grunderna
- samtycke
- avtal
- rättslig förpliktelse
- intresseavvägning.
Myndigheter och andra inom offentlig verksamhet kan främst använda grunderna
- rättslig förpliktelse
- uppgift av allmänt intresse eller myndighetsutövning
- avtal.
Ibland kan privata företag vara verksamma inom offentlig verksamhet, till exempel skolor eller hälso- och sjukvård som bedrivs i privat regi. De utför då en uppgift av allmänt intresse och ska stödja sig på samma rättsliga grunder som en myndighet.
Obs! Myndigheter får inte använda sig av en intresseavvägning när de fullgör sina uppgifter.
Dokumentera era val och informera de registrerade
Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni ska alltid informera de registrerade om vilken rättslig grund ni utgår ifrån när ni behandlar deras personuppgifter.
Identifiera den rättsliga grunden innan behandlingen påbörjas
Eftersom de registrerade har rätt att bli informerade om med vilken rättslig grund deras personuppgifter behandlas så måste den personuppgiftsansvariga ha detta klart för sig redan innan uppgifterna samlas in.
Problem med giltighet av samtycke
ExempelNi får inte börja använda en intresseavvägning för att det har uppstått problem med giltigheten av ett samtycke.
Vad innebär det att behandlingen ska vara "nödvändig"?
I dataskyddsförordningen står det att personuppgiftsbehandlingen ska vara "nödvändig" för flera av de olika rättsliga grunderna, till exempel för att ni ska kunna fullgöra ett avtal eller utföra en uppgift av allmänt intresse. Uttrycket "nödvändig" har dock inte samma betydelse här som i dagligt tal.
Behandlingen leder till effektivitetsvinster
Även om ett avtal skulle kunna fullgöras eller en uppgift skulle kunna utföras utan att personuppgifter behandlas på ett visst sätt, så kan behandlingen anses vara nödvändig och därmed tillåten om den leder till effektivitetsvinster.
Men om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, så är det inte nödvändigt att behandla personuppgifterna i den här bemärkelsen. Det kanske går nästan lika bra att använda anonyma uppgifter.
Myndigheter och företag skulle i teorin kunna bedriva sin verksamhet och utföra sina uppgifter manuellt, utan att behandla personuppgifter automatiskt. Det är dock inte ett realistiskt alternativ. Att använda tekniska hjälpmedel, och därmed behandla personuppgifter automatiskt, anses i dag mer eller mindre nödvändigt.
Följ alltid hela dataskyddsförordningen
Förutom kravet på rättslig grund måste ni uppfylla övriga bestämmelser i dataskyddsförordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna och andra krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.
Särskilda regler för känsliga personuppgifter
Vissa personuppgifter anses så känsliga att det som huvudregel är förbjudet att behandla dem. För sådana uppgifter räcker det inte att ha någon av de rättsliga grunderna ovan, utan det finns dessutom särskilda regler.