Vad är rättslig grund?
En grundläggande bestämmelse i GDPR är att det inte är tillåtet att behandla personuppgifter om man inte har en rättslig grund för behandlingen, det vill säga en lagligt godkänd anledning till att registrera uppgifterna. En rättslig grund kan alltså förklaras som en anledning till varför personuppgifterna används. IMYs rekommendationer är att ni bara använder en av dessa per ändamål (syfte).
Vilken rättsliga grund din verksamhet kan använda sig av påverkas också om arbetet är på myndighet/offentlig verksamhet eller i privat regi. Exempelvis kan en myndighet sällan använda den rättsliga grunden “berättigat intresse”, medan en privat verksamhet sällan kan använda “myndighetsutövning”.
Det finns sex olika möjliga rättsliga grunder
- Samtycke (artikel 6.1 a).
Personerna har själva sagt ja (samtyckt) till att personuppgifterna kan användas av er för det aktuella syftet. Ett samtycke är bara giltigt om personen har tagit ett aktivt, informerat beslut att samtycka och har haft ett faktiskt val. Samtycke ska därför inte användas vid ojämna maktförhållanden, till exempel mellan en arbetsgivare och en anställd eller en kommun och dess invånare, där det kan upplevas tvingande att säga ja. Samtycket får heller inte vara en obligatorisk del av avtalsvillkor. En person får heller inte drabbas av negativa konsekvenser om hen inte lämnar sitt samtycke.
Samtycke är lite knepigt, men vi har samlat mer information om hur du kan agera i faktabladet “Samtycke som rättslig grund”. - Avtal (artikel 6.1 b)
Ni behöver personuppgifterna för att uppfylla ett avtal där personen vars personuppgifter det handlar om är part. Det kan exempelvis handla om att leva upp till det som står i ett anställningsavtal, ett tjänsteavtal eller ett köpeavtal som personen omfattas av. Det kan också vara så att personuppgifterna behövs inför att personen ska ingå ett avtal med den personuppgiftsansvariga. - Rättslig förpliktelse (Artikel 6.1 c)
Ni har en laglig skyldighet att utföra behandlingen av personuppgifterna. Personuppgifterna behövs för att ni ska kunna leva upp till specifika lagar och regler. Ett exempel är patientdatalagen som gör det obligatoriskt för legitimerad hälso- och sjukvårdspersonal att skriva journal till sina patienter. - Skydda registrerades grundläggande intressen (artikel 6.1 d)
Personuppgifterna behövs för att rädda en persons liv. I huvudsak handlar det om tillfällen när en person inte kan fatta beslut eller lämna samtycke, till exempel om hen är medvetslös. Det är väldigt få verksamheter som hänvisar till den här rättsliga grunden. I första hand är den aktuell inom vården. - Myndighetsutövning eller en uppgift av allmänt intresse (artikel 6.1 e)
Ni behöver personuppgifterna antingen i samband med myndighetsutövning eller för att ni ska kunna utföra en så kallad "uppgift av allmänt intresse". Det ska vara fråga om en aktivitet som har i uppdrag att utföra och som är fastslagen i lag som ni omfattas av (antingen EU-rätt eller nationell lagstiftning). Denna rättsliga grund används ofta av myndigheter, men kan också vara aktuell för privata aktörer i vissa sammanhang, exempelvis friskolor, privata vårdbolag eller bolag som driver kollektivtrafik. Är du osäker på om ni kan använda er av denna rättsliga grund kan du hitta fler exempel finns på IMYS webbplats. - Berättigat intresse (artikel 6.1 f)
Ni har ett berättigat intresse av att behandla personuppgifterna för det aktuella syftet. För detta krävs att ni gjort en intresseavvägning där ni vägt organisationens intresse av att behandla personuppgifterna mot de registrerades integritetsintresse och kommit fram till att ert intresse väger tyngre. Denna rättsliga grund kan i regel inte användas av myndigheter.
Beroende på sammanhang kan de olika rättsliga grunderna vara mer eller mindre lämpliga att använda sig av. Det gäller att hitta den rättsliga grund som passar med den egna verksamheten och de personuppgiftsbehandlingar som man utför/planerar att utföra.
Kan jag byta rättslig grund efter hand?
Nej. Ni kan inte byta rättslig grund för behandlingen i efterhand utan att informera de registrerade om detta. Bland annat därför är det viktigt att man tänker till och väljer rätt.
Vad gör vi om det inte finns någon rättslig grund?
Då är behandlingen inte laglig och ni behöver tänka om.
Behöver du mer hjälp?
Det är inte alltid lika lätt i teorin som i praktiken (eller tvärt om). Med tjänsten Privacy as a Service får du hands-on-hjälp med ditt dataskyddsarbete. Tjänsten utgår från vad du behöver och var din organisation är idag. Läs mer om hur vi hjälper dig göra GDPR-arbetet enklare.