Artikel 6(1)(b) i GDPR

Avtal med registrerade

Företag har rätt att behandla personuppgifter när de ingår ett avtal med registrerade enligt artikel 6(1)(b) i GDPR. Behandling av den registrerades personuppgifter får även ske om det är nödvändigt för att företaget ska kunna fullgöra avtalet i fråga. Däremot får företaget inte behandla fler personuppgifter än nödvändigt för att fullgöra avtalet.

Den rättsliga grunden avtal med registrerade

Något som är viktigt att tänka på när företag överväger att behandla personuppgifter med stöd i denna rättsliga grund, är att den registrerade måste vara en avtalspart i avtalet som ingås med företaget. 

Om företaget kommer fram till att denna rättsliga grund kan bli använd för behandling av personuppgifter, måste företaget tillhandahålla den registrerade den information som krävs enligt artikel 13 och/eller 14 i GDPR. Där framgår bland annat att företaget ska informera om vilka personuppgifter som företaget behandlar, syftet och när företaget kommer att radera dem. Dessutom ska information om de rättigheter som de registrerade har enligt GDPR framgå.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Behandla inte fler personuppgifter än nödvändigt för ändamålet

Observera att ett företag kan vilja behandla fler personuppgifter än nödvändigt för att fullgöra avtalet. Till exempel om en e-handelsplattform vill analysera köpbeteendet hos sina kunder för att kunna anpassa sitt utbud efter det. Vid sådana fall får företaget inte använda den rättsliga grunden avtal med registrerade för det syftet. Samtycke kan istället vara en lämplig rättslig grund för detta. Anledningen är att analysen av köpbeteendet inte är något som behöver bli utförd för att fullgöra avtalet som ingåtts mellan företaget och den registrerade. 

Behandla personuppgifter med stöd i avtal med den registrerade

Nedan följer några exempel på när det kan vara lämpligt för ett företag att utföra en behandling med stöd den rättsliga grunden avtal med registrerade: 

E-handel

Företag som bedriver e-handel och säljer kläder, behöver behandla kundens personuppgifter, såsom namn och leveransadress, för att kunna fullgöra leveransen och därmed sina förpliktelser enligt avtalet med den registrerade.

Arbetsgivare

Arbetsgivare har normalt inte rätt att behandla personuppgifter tillhörande dennes anställda med stöd av samtycke som rättslig grund, eftersom det råder ett ojämlikt maktförhållande mellan dem. Istället brukar avtal med registrerade (anställningsavtalet) vara mer lämpligt att använda. Exempelvis ska en arbetsgivare utbetala lön till de anställda för utfört arbete. Detta kan ske med stöd i avtal med den registrerade som rättslig grund, eftersom löneutbetalningen är en del av arbetsgivarens skyldigheter enligt anställningsavtalet.

Kreditgivare

Innan en kreditgivare ger en person möjlighet till kredit, har företaget rätt att behandla individens personuppgifter i syfte att se om denne har tillräcklig kreditvärdighet. Däremot måste det ske på en begäran från den registrerade. Detta innebär att företaget behandlar personuppgifter innan de ingår ett avtal med en registrerad, och kan som sagt vara tillåtet.

Radera personuppgifterna när de inte längre är nödvändiga

Företag ska radera personuppgifter när de inte längre är nödvändiga för ändamålet de blev inhämtade för. Däremot innebär det inte att företaget måste radera personuppgifterna direkt efter att de har levererat sin produkt eller tjänst till kunden. Om företaget exempelvis har vissa skyldigheter på grund av kundens reklamationsrätt, erbjuder en garanti till kunden eller liknande, kan företaget behöva spara personuppgifterna kopplade till köpet så länge detta gäller. Syftet med detta är att företaget ska kunna veta om en person har rätt till det som denne begär. Exempelvis vid ärenden om reklamation eller åberopande av en garanti. 

Rätt till Dataportabilitet

Registrerade har rätt till dataportabilitet om personuppgifterna är behandlade med stöd av samtycke eller avtal med registrerade. Det innebär att den registrerade har rätt att få sina personuppgifter överförda till en annan personuppgiftsansvarig. Till exempel från en sociala medier-plattform till en annan. Däremot gäller det enbart om det är tekniskt möjligt för företaget att genomföra sådan överföring.

Praktiskt exempel av Dataportabilitet

Ett praktiskt exempel på när detta kan förekomma är om en individ vill byta sin elleverantör, eftersom denne hittat ett bättre alternativ. Då kan kunden begära att den nuvarande leverantören överför personuppgifterna direkt till den nya leverantören, om det är möjligt att genomföra detta rent tekniskt. Kunden har dock alltid rätt att få tillbaka sina personuppgifter från den nuvarande leverantören i ett format som är maskinläsbart och allmänt använt. Syftet med detta är att personuppgifterna i fråga ska kunna bli använda i andra system. 

Mer info om rättsliga grunder

Exempel på en annan rättslig grund enligt GDPR

Den rättsliga grunden myndighetsutövning och uppgifter av allmänt intresse kan användas främst av myndigheten. Däremot kan vissa företag använda den också. 

  • Myndighetsutövning: Detta är när någon får ett uppdrag av staten att bestämma över medborgare. Till exempel skolor och fängelser som är privata. Det måste grunda sig på nationella lagar eller EU-rätt. 
  • Uppgifter av allmänt intresse: För att få behandla personuppgifter för ett allmänt intresse, ska det ha stöd i en lag eller författning. 

Vill du lära dig mer?

Klicka här
Rulla till toppen