Artikel 6 i GDPR
De sex rättsliga grunderna
Det är viktigt för företag att känna till de sex rättsliga grunderna som finns i GDPR. GDPR är en förkortning för the General Data Protection Regulation, som är en EU-förordning. Laglig grund är ett annat ord för rättslig grund, och ett företag som behandlar personuppgifter måste stödja varje behandling på en av de rättsliga grunderna.
De sex rättsliga grunderna som finns i GDPR
Om en behandling av personuppgifter sker utan stöd i en rättslig grund, är behandlingen olaglig och det utgör ett brott mot GDPR. Dessutom måste företag följa de övriga delarna av GDPR, såsom att behandla personuppgifter i enlighet med de sju dataskyddsprinciperna.
Nedan följer en sammanfattnig av de sex rättsliga grunderna som finns i EU:s allmänna dataskyddsförordning:
Samtycke enligt artikel 6(1)(a) i GDPR
Samtycke är en relativt vanlig rättslig grund för företag att stödja en behandling av personuppgifter på. Däremot är det inte alltid lämpligt eller tillåtet att använda denna rättsliga grund för personuppgiftsbehandling.
Därför är det bra för företag att först börja med att analysera om någon annan rättslig grund, såsom avtal med den registrerade eller berättigat intresse, är mer lämplig. Samtycke innebär att en individ går med på att dennes personuppgifter blir behandlade för flera eller ett specifikt ändamål.
Observera att ett lämnat samtycke ska kunna bli återkallat av individen lika enkelt som det var att lämna samtycket. Om samtycket blir återkallat, ska behandlingen av personuppgifterna som sker med stöd i samtycket upphöra. Om det är för svårt att återkalla samtycket, är samtycket inte giltigt.
Om det råder ojämlika maktförhållanden
I de flesta fall är det inte tillåtet att behandla personuppgifter med stöd av samtycke om det råder ojämlika maktförhållanden mellan parterna. Detta gäller när den registrerade är den svagare parten i förhållande till den personuppgiftsansvariga som vill utföra behandlingen av personuppgifterna. Till exempel mellan en arbetsgivare och arbetstagare, eller mellan en myndighet och medborgare.
Anledningen till detta är att det är svårt att bevisa och säkerställa att samtycket har blivit frivilligt lämnat. I dessa situationer när det föreligger ett ojämlikt maktförhållande kanske den registrerade inte vågar säga nej till behandlingen av personuppgifterna. Därför är samtycke inte en lämplig rättslig grund att använda vid ojämlika maktförhållanden. Istället kan den rättsliga grunden avtal med registrerade eller berättigat intresse vara mer lämplig att använda.
Passiva samtycken är förbjudna
För att ett samtycke ska vara giltigt i enlighet med GDPR, måste det vara aktivt lämnat. Dessutom måste samtycket vara lämnat frivilligt för att vara giltigt. Med andra ord är det till exempel inte tillåtet för företag att ha en ikryssad samtyckesruta på sin webbplats, eftersom det inte anses vara ett aktivt lämnat samtycke av individen i fråga.
Avtal med registrerade enligt artikel 6(1)(b) i GDPR
Ett företag som bedriver en plattform för e-handel och säljer kläder som blir levererade hem till kunden, behöver behandla kundens personuppgifter, såsom namn och adress, för att utföra leveransen. Med andra ord sker behandlingen för att företaget ska fullgöra sina förpliktelser enligt avtalet som ingåtts mellan företaget och kunden.
Examples of contracts with data subjects
E-handel
Ett företag som bedriver en plattform för e-handel och säljer kläder som blir levererade hem till kunden, behöver behandla kundens personuppgifter, såsom namn och adress, för att utföra leveransen. Med andra ord sker behandlingen för att företaget ska fullgöra sina förpliktelser enligt avtalet som ingåtts mellan företaget och kunden.
Anställdas personuppgifter
Ytterligare ett exempel är när en arbetsgivare behandlar den anställdes namn och bankkontouppgifter för att kunna genomföra löneutbetalningen. En del av arbetsgivarens förpliktelser enligt anställningsavtalet är ju att utbetala lön för det utförda arbetet till den anställde.
Observera att företag inte får behandla fler personuppgifter än vad som är nödvändigt för ändamålet de blev insamlade för. Om företaget till exempel vill behandla samma och/eller fler personuppgifter för att även kunna analysera kundbeteendet, är det en separat behandling av personuppgifter. Vid sådana fall måste företaget ha en rättslig grund för även denna behandling, och avtal med den registrerade är inte lämplig i detta fall. Detta beror på att denna behandling inte är nödvändig för att fullgöra eller ingå ett avtal med den registrerade. Istället kan samtycke vid sådana fall vara en lämplig rättslig grund att använda.
Rättslig förpliktelse enligt artikel 6(1)(c) i GDPR
I vissa fall kan det finnas andra lagar eller förordningar som innebär att ett företag som är personuppgiftsansvarig har skyldighet att behandla personuppgifter. Om det är nödvändigt för företaget att behandla personuppgifter för att uppfylla en rättslig förpliktelse som åvilar företaget, sker behandlingen med stöd i rättslig förpliktelse som den rättsliga grunden.
Exempel på rättsliga förpliktelser för företag:
- Föra bokföring över sina affärstransaktioner.
- Redovisa skatter och sociala avgifter till skattemyndigheterna.
- Hantera reklamationsärenden och ärenden om ångerrätt i enlighet med tillämpliga tvingande konsumentskyddslagar.
- Anmäla incidenter av olika slag till relevanta myndigheter.
Detta innebär att företaget får behandla de personuppgifter som är nödvändiga för att företaget ska uppfylla kraven enligt lag eller förordning. Därför är det viktigt för företag att känna till vilka specifika lagar och förordningar som gäller för företagets verksamhet. Det kan finnas branschspecifika lagar och regler att ta hänsyn till, utöver den mer generella lagstiftningen som gäller för majoriteten av företag.
Skydda grundläggande intressen enligt artikel 6(1)(d) i GDPR
När en behandling är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, är den laglig.
Ett exempel på ett intresse som är av grundläggande betydelse framgår i skäl 46 i GDPR. Där framgår det att när en behandling av personuppgifter är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv, bör behandlingen anses vara laglig.Dessutom är det vid dessa fall tillåtet att behandla särskilda kategorier personuppgifter (även kallade för känsliga personuppgifter). Exempel på känsliga personuppgifter är uppgifter om den registrerades hälsa och religiösa tro
I de fall en behandling av personuppgifter är nödvändigt för att rädda liv, är det därmed tillåtet att behandla personuppgifterna. Det är dock viktigt att notera att det också framgår att behandling av personuppgifter med stöd i någon annan fysisk persons grundläggande intressen enbart bör ske om behandlingen inte uppenbart kan bli genomförd med stöd i en annan rättslig grund.
Nödvändigt för att rädda liv
Ett exempel på när det kan vara nödvändigt att behandla personuppgifter för att rädda liv är om en person hamnar i en allvarlig bilolycka och är medvetslös när denne ankommer till sjukhuset. Vid sådana fall kan sjukhuset behöva ta reda på till exempel vilken blodgrupp personen har, vilket är en personuppgift. Det är till och med en känslig personuppgift då det avser uppgifter om hälsa. Observera att det inte är tillåtet att använda denna rättsliga grund om en person är medveten. Om en person går till en läkare för ett inbokat besök är samtycke eller uppgift av allmänt intresse istället mer lämpligt att använda.
Myndighetsutövning och uppgifter av allmänt intresse enligt artikel 6(1)(e) i GDPR
En behandling av personuppgifter är laglig om den är nödvändig för att:
- a) utföra en uppgift av allmänt intressen, eller
- b) som ett led i myndighetsutövning som utförd av den personuppgiftsansvarige.
Det är främst myndigheter, kommuner och staten som behandlar personuppgifter med stöd av denna rättsliga grund. Men den är även tillämpbar för behandling av personuppgifter som blir utförd av vissa privata aktörer. Exempelvis ett företag som bedriver skolverksamhet eller företag inom vården.
Myndighetsutövning
Staten kan ge ett företag i uppdrag att bestämma över medborgare i landet. Det kan handla om att besluta om vissa rättigheter eller skyldigheter. När lärare på en kommunal skola ger betyg till sina elever, är det ett exempel på myndighetsutövning. Detsamma gäller när en myndighet utfärdar bygglov.
Uppgifter av allmänt intresse
Både privata aktörer och statliga myndigheter kan utföra uppgifter som är av allmänt intresse. Exempelvis uppgiften att bedriva kollektivtrafik, flygtrafik, hälso- och sjukvård eller privat skolverksamhet.
Om ett företag inte är helt säkert på om det verkligen utför en uppgift av allmänt intresse, bör företaget överväga en annan rättslig grund för behandlingen av personuppgifterna. Exempelvis skulle denna rättsliga grund bli använd av ett företag som innehar uppgifter av allmänt intresse och som behandlar personuppgifter för arkivändamål. Detta gäller under förutsättning att det finns en rättslig skyldighet att bevara uppgifterna, exempelvis för att kunna ge tillgång till uppgifter av bestående värde för allmänintresset.
Berättigat intresse enligt artikel 6(1)(f) i GDPR
Om ett företag eller en tredje part har ett berättigat intresse, kan personuppgifter som är nödvändiga för att uppnå ändamålet och det berättigade intresset i fråga bli behandlade. Detta gäller dock endast under förutsättning att den registrerades grundläggande friheter och rättigheter samt intressen inte väger tyngre och kräver skydd av personuppgifterna.
Observera att myndigheter inte kan använda den rättsliga grund vid behandling av personuppgifter.
Vidare är det tillåtet för registrerade att göra invändningar mot behandlingen av personuppgifterna som sker efter en intresseavvägning, men det innebär inte per automatik att företaget måste upphöra med behandlingen. Däremot måste företaget vid sådana fall göra en ny analys och kunna visa att deras behov och intressen fortfarande väger tyngre än för den registrerade.
Utför en intresseavvägning och dokumentera bedömningen
För att ett företag ska kunna avgöra om det har ett berättigat intresse eller inte, behöver företaget utföra en intresseavvägning (Legitimate Interest Assessment). Det är viktigt att den utförda analysen blir dokumenterad skriftligen.
Exempel på när ett företag kan anses ha ett berättigat intresse är om företaget försöker förhindra bedrägeri, eller vid direktmarknadsföring genom mejlutskick till tidigare kunder.
Om företaget i sin intresseavvägning däremot kommer fram till att den registrerades grundläggande friheter och rättigheter samt intressen väger tyngre och kräver skydd av personuppgifterna, får företaget inte behandla personuppgifterna för det tilltänkta ändamålet i fråga med stöd i denna rättsliga grund.
Något som är viktigt att tänka på är att en intresseavvägning ska bli utförd innan behandlingen av personuppgifterna sker med stöd i denna rättsliga grund.
Mer info om GDPR
There are seven data protection principles
It is important for a company to know about both the six legal bases of the GDPR, and the seven data protection principles. Article 5 of the GDPR states the principles. On this website, you can find information about each data protection principle regulated under the GDPR. They are the foundation the the GDPR and all companies must adhere to the principles when processing personal data.