Artikkel 6 (1) (C) GDPR
Juridisk forpliktelse som rettslig grunnlag
Et selskap har rett til å behandle personopplysninger hvis det er nødvendig for å overholde en annen lov i henhold til artikkel 6 (1) (c) GDPR.
Eksempel på rettslig forpliktelse for selskaper
Bedrifter må ofte behandle personopplysninger for å overholde andre lover. Med andre ord betyr dette at selskapet, som behandlingsansvarlig, må utføre behandlingen for å overholde en juridisk forpliktelse som påhviler den. Dette gjelder ikke bare nasjonale lover, men også andre EU-forskrifter.
Nedenfor er en oppsummering av noen eksempler på juridiske forpliktelser som enkelte selskaper har:
Skatter og trygde- og pensjonspremier
Bedrifter må rapportere visse data til skattemyndigheten i landet. For eksempel opplysninger om lønnstakernes lønnsopplysninger og betaling av skatter og trygde- og pensjonspremier. Disse prosessene kan innebære behandling av personopplysninger.
Fakturaer
I mange land må bedrifter oppbevare fakturaer som regnskapsdokumenter i flere år. I Sverige gjelder for eksempel regnskapsloven, som pålegger bedrifter å oppbevare fakturaer i 7 år.
Banker
I de fleste land må bankene holde et register over kundene som banken har under noen lov.
Informere de registrerte om behandlingen av deres personopplysninger
Bedrifter må informere de registrerte om behandlingen av deres personopplysninger. Den skal blant annet angi det rettslige grunnlaget for behandlingen, formålet med behandlingen, rettighetene til de registrerte og når selskapet sletter personopplysningene. Den registrerte skal forstå formålet med behandlingen, og derfor skal selskapet informere loven eller forskriften som behandlingen i henhold til en juridisk forpliktelse er basert på.
Slett personopplysninger når det ikke lenger er behov for dem
Hvis et selskap behandler personopplysninger for et bestemt formål og deretter ikke lenger trenger personopplysningene for dette formålet, men fortsatt må beholde personopplysningene på grunn av juridiske krav, er den videre oppbevaringen tillatt. I slike tilfeller bør imidlertid selskapet lagre personopplysningene på et eget sted. For eksempel ved å arkivere filen og beskytte tilgang gjennom passord til arkivmappen.
Mer informasjon om GDPR
Beskyttelse av vitale interesser er et annet rettslig grunnlag under GDPR
Det rettslige grunnlaget for beskyttelse av vitale interesser betyr at det er tillatt for et selskap å behandle personopplysninger om en person, hvis det er nødvendig for å redde hans eller hennes liv. Artikkel 6 (1) (d) i GDPR angir dette juridiske grunnlaget. Det er hovedsakelig selskaper innen helsesektoren som bruker dette rettslige grunnlaget for behandling av personopplysninger. Husk at det ikke er tillatt å basere behandlingen på dette juridiske grunnlaget hvis den registrerte er i stand til, for eksempel, å gi samtykke.