Säkerhetsblogg

GDPR: Laglig grund och samtycke

Innan organisationen kan behandla personuppgifter måste det finnas en laglig grund för behandlingen. Det finns mycket missförstånd kring detta, då många tror att det kommer att krävas samtycke till all behandling av personuppgifter. Detta är väldigt fel, då det finns många andra grunder att rättfärdiga sin behandling med. Samtycke bör som regel alltid övervägas sist av alla lagliga grunder då det kommer att kräva en aktiv handling från den enskilde, kan återkallas när som helst och det får inte förekomma någon större maktobalans mellan parterna (exempelvis mellan arbetsgivare och anställd). Många organisationer tenderar att använda samtycke i situationer där det egentligen inte behövs, och har blivit en typ av ”säkert kort” att förlita sig på. Att använda fel laglig grund, exempelvis samtycke, kan medföra att behandlingen blir olaglig.

Laglig grund beskrivs i Artikel 6 i GDPR. Jag tänker gå igenom Artikel 6 och förklara vad alla olika grunder innebär.

Artikel 6(1):

Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

  1. a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

Som sagt, även fast förordningen nämner samtycke först så bör denna lagliga grund beaktas sist. Det finns olika krav på samtycke. Först och främst så måste enskilda utföra en aktiv handling, exempelvis bocka i en ruta. Det räcker även att enskilda skriver in sina personuppgifter, exempelvis e-post, och det står bredvid fältet: ”Skriv in din e-postadress så att vi kan skicka nyhetsbrev om våra produkter till dig, mer information i hittar du i vår integritetspolicy(länk)”. Tänk på att det alltid måste framgå tydligt vad enskilda samtycker till. Enskilda kan inte samtycka åt andra än till sig själv, undantag ifall vårdnadshavare ger samtycke åt omyndiga som inte kan ge ett lagligt samtycke.

  1. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Ett typiskt exempel när ett avtal rättfärdigar behandlingen är ett anställningsavtal. En arbetsgivare får lagligt behandla personuppgifter om anställda som är nödvändigt för att fullgöra anställningsavtalet. När GDPR tillämpas i svensk lag behöver alltså inte arbetsgivare springa runt till alla sina anställda och be om samtycke.

  1. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Företag är exempelvis skyldiga att följa bokföringslagen och måste lagra personuppgifter en viss tid för detta ändamål. Företaget har alltså en rättslig förpliktelse att behandla sådana uppgifter och enskilda kan inte begära att få dessa uppgifter raderade tills företaget har fullgjort denna rättsliga förpliktelse. Det är upp till varje medlemsland att avgöra vad ”fullgöra en rättslig förpliktelse” kommer att omfatta. Denna grund kan bara användas för lagar som finns inom EU/EES, exempelvis amerikanska lagar kan inte användas som en rättslig förpliktelse.

  1. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Den här grunden handlar om nödsituationer, exempelvis ifall en person plötsligt blir svårt sjuk och personuppgifter behövs för att identifiera personen.

  1. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Tidigare så har svenska myndigheter förlitat sig på grunden ”berättigat intresse” när de fullgör sina uppgifter. Detta får de inte längre göra enligt artikel 6(1). Istället har denna grund tillkommit som ska användas av myndigheter. Det är upp till varje medlemsland att avgöra vad ”utföra en uppgift av allmänt intresse allmänt intresse” kommer att omfatta.

  1. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Berättigat intresse innebär att det görs en intresseavvägning mellan nyttan av behandlingen och risken för enskildas personliga integritet. Om risken för att registrerades personliga integritet blir kränkt är större än den nytta personen och organisationen kommer att ha med behandlingen kan denna grund inte hävdas. Det står uttryckligen i skäl (47) i förordningen att direktmarknadsföring är ett berättigat intresse. Detta betyder att det fortfarande kommer att finnas möjlighet att använda direktmarknadsföring utan samtycke, men bara ifall nyttan väger högre än risken. För att avgöra detta bör en jurist rådfrågas. Tänk på att ju känsligare behandlingen är desto svårare kommer det bli att hävda denna grund.

Datainspektionen har en broschyr där de utförligt förklarar berättigat intresse. Tyvärr så har de inte hunnit anpassa den till GDPR, utan den är i nuvarande stund bara anpassad till PuL.

 

Här kan du läsa mer om GDPR:

Viktigaste dokumentationen du behöver för att efterleva GDPR

Kostnadsfri GDPR-guide

Vad händer om du inte blir klar för GDPR i tid?

6 frågor och svar om GDPR

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com