Artikel 6, stk. 1, litra c), i GDPR
Juridisk forpligtelse for virksomheder
En virksomhed har ret til at behandle personoplysninger, hvis det er nødvendigt for at overholde anden lovgivning i henhold til artikel 6, stk. 1, litra c), i GDPR.
Eksempler på juridiske forpligtelser for virksomheder
Virksomheder har ofte brug for at behandle personoplysninger for at overholde andre love. Det betyder med andre ord, at virksomheden, som er dataansvarlig, skal foretage behandlingen for at opfylde en retlig forpligtelse, der påhviler virksomheden. Dette gælder ikke kun for national lovgivning, men også for andre EU-forordninger.
Nedenfor er et resumé af nogle eksempler på juridiske forpligtelser, som nogle virksomheder har:
Skatter og socialsikringsbidrag
Virksomheder skal indberette visse data til skattemyndighederne i landet. F.eks. oplysninger om ansattes løndata samt betaling af skatter og socialsikringsbidrag. Disse processer kan omfatte behandling af personoplysninger.
Fakturaer
I mange lande skal virksomheder opbevare fakturaer som regnskabsdokumenter i en årrække. I Sverige gælder f.eks. regnskabsloven, hvilket betyder, at virksomhederne skal gemme fakturaerne i 7 år.
Banker
I de fleste lande er bankerne forpligtet til at føre en fortegnelse over de kunder, som banken har i overensstemmelse med enhver lov.
Informere de registrerede om behandlingen af deres personoplysninger
Virksomhederne skal informere de registrerede om behandlingen af deres personoplysninger. Den skal bl.a. angive det retsgrundlag, som behandlingen er baseret på, formålet med behandlingen, den registreredes rettigheder, og hvornår virksomheden sletter personoplysningerne. Den registrerede skal forstå formålet med behandlingen, og derfor skal virksomheden informere, hvilken lov eller regulering behandlingen er baseret på i henhold til en retlig forpligtelse.
Slet personoplysninger, når de ikke længere er nødvendige
Hvis en virksomhed behandler personoplysninger til et bestemt formål og derefter ikke længere har brug for personoplysningerne til dette formål, men stadig skal gemme personoplysningerne på grund af lovkrav, er fortsat opbevaring tilladt. I sådanne tilfælde bør virksomheden dog opbevare personoplysningerne på et separat sted. For eksempel ved at arkivere filen og beskytte adgangen via adgangskoder til arkivmappen.
Læs mere om GDPR
Beskyttelse af grundlæggende interesser er et andet retsgrundlag i henhold til GDPR
Retsgrundlaget for beskyttelsen af grundlæggende interesser i henhold til artikel 6, stk. 1, litra d), i GDPR betyder, at det er tilladt for en virksomhed at behandle personoplysninger om en person, hvis det er nødvendigt for at redde vedkommendes liv. Dette retsgrundlag anvendes hovedsagelig inden for sundhedspleje.
Et praktisk eksempel er, hvis nogen bliver bevidstløs og kommer ind på hospitalet med ambulance. I sådanne tilfælde kan hospitalet være nødt til at behandle patientens personoplysninger, såsom navn og blodtype, for at redde patientens liv. Bemærk venligst, at helbredsoplysninger er følsomme personoplysninger i henhold til artikel 9 i GDPR, men det er tilladt at behandle følsomme personoplysninger på grundlag af dette retsgrundlag. Bemærk venligst, at det ikke er tilladt at støtte behandlingen gennem dette retsgrundlag, hvis personen er i stand til f.eks. at give samtykke.