Gå till innehållet

Rättslig grund

När ni vill behandla personuppgifter i er verksamhet måste ni följa dataskyddsförordningen (GDPR). Ni måste bland annat stödja er på någon av de rättsliga grunderna. Utan en rättslig grund är behandlingen av personuppgifter inte laglig.

Det finns sex rättsliga grunder:

Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen.

Obs! Ofta är det inte lämpligt eller ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Avtal: Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvariga.

Intresseavvägning: Den personuppgiftsansvariga får behandla personuppgifter om den personuppgiftsansvarigas intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.

Rättslig förpliktelse: Det finns lagar eller regler som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet.

Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvariga måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Grundläggande intresse: Den personuppgiftsansvariga måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om hen är medvetslös.

Privat och offentlig verksamhet kan stödja sig på olika rättsliga grunder

Privata företag, föreningar och organisationer i privat verksamhet kan främst använda grunderna

  • samtycke
  • avtal
  • rättslig förpliktelse
  • intresseavvägning.

Myndigheter och andra inom offentlig verksamhet kan främst använda grunderna

  • rättslig förpliktelse
  • uppgift av allmänt intresse eller myndighetsutövning
  • avtal.

Ibland kan privata företag vara verksamma inom offentlig verksamhet, till exempel skolor eller hälso- och sjukvård som bedrivs i privat regi. De utför då en uppgift av allmänt intresse och ska stödja sig på samma rättsliga grunder som en myndighet.

Obs! Myndigheter får inte använda sig av en intresseavvägning när de fullgör sina uppgifter.

Dokumentera era val och informera de registrerade

Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni ska alltid informera de registrerade om vilken rättslig grund ni utgår ifrån när ni behandlar deras personuppgifter.

Identifiera den rättsliga grunden innan behandlingen påbörjas

Eftersom de registrerade har rätt att bli informerade om med vilken rättslig grund deras personuppgifter behandlas så måste den personuppgiftsansvariga ha detta klart för sig redan innan uppgifterna samlas in.

Varje ändamål måste vara kopplat till en rättslig grund

Som regel ska varje personuppgiftsbehandling stödjas på endast en rättslig grund. Var alltså tydlig med varför ni tänker behandla personuppgifter och välj endast en rättslig grund för ett visst ändamål.

Det går inte att byta rättslig grund under en pågående personuppgiftsbehandling.

Problem med giltighet av samtycke

Exempel

Ni får inte börja använda en intresseavvägning för att det har uppstått problem med giltigheten av ett samtycke.

 

Vad innebär det att behandlingen ska vara "nödvändig"?

I dataskyddsförordningen står det att personuppgiftsbehandlingen ska vara "nödvändig" för flera av de olika rättsliga grunderna, till exempel för att ni ska kunna fullgöra ett avtal eller utföra en uppgift av allmänt intresse. Uttrycket "nödvändig" har dock inte samma betydelse här som i dagligt tal.

Behandlingen leder till effektivitetsvinster

Även om ett avtal skulle kunna fullgöras eller en uppgift skulle kunna utföras utan att personuppgifter behandlas på ett visst sätt, så kan behandlingen anses vara nödvändig och därmed tillåten om den leder till effektivitetsvinster.

Men om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, så är det inte nödvändigt att behandla personuppgifterna i den här bemärkelsen. Det kanske går nästan lika bra att använda anonyma uppgifter.

Myndigheter och företag skulle i teorin kunna bedriva sin verksamhet och utföra sina uppgifter manuellt, utan att behandla personuppgifter automatiskt. Det är dock inte ett realistiskt alternativ. Att använda tekniska hjälpmedel, och därmed behandla personuppgifter automatiskt, anses i dag mer eller mindre nödvändigt.

Följ alltid hela dataskyddsförordningen

Förutom kravet på rättslig grund måste ni uppfylla övriga bestämmelser i dataskyddsförordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna och andra krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.

Särskilda regler för känsliga personuppgifter

Vissa personuppgifter anses så känsliga att det som huvudregel är förbjudet att behandla dem. För sådana uppgifter räcker det inte att ha någon av de rättsliga grunderna ovan, utan det finns dessutom särskilda regler.

Läs om de grundläggande principerna
Läs om känsliga personuppgifter

 

Senast uppdaterad: 24 maj 2021
Sidans etiketter Dataskydd