Artikel 6(1)(c) i GDPR

Rättslig förpliktelse för företag

Ett företag har rätt att behandla personuppgifter om det är nödvändigt för att följa någon annan lag enligt artikel 6(1)(c) GDPR. 

Exempel på rättslig förpliktelse för företag

Företag behöver ofta behandla personuppgifter för att kunna uppfylla andra lagar. Med andra ord innebär detta att företaget, som är personuppgiftsansvarig, behöver utföra behandlingen för att fullfölja en rättslig förpliktelse som åligger företaget. Det gäller inte bara nationella lagar, utan även andra EU-förordningar. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Nedan följer en sammanställning av några exempel på rättsliga förpliktelser som vissa företag har:

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Skatter och sociala avgifter

Företag behöver rapportera vissa uppgifter till skattemyndigheten i landet, såsom information om de anställdas löneuppgifter, samt betala skatter och sociala avgifter. Dessa processer kan involvera behandling av personuppgifter.

An administrative fine

Fakturor

I många länder måste företag spara fakturor som bokföringsunderlag i ett antal år. I Sverige gäller till exempel bokföringslagen, som innebär att företag måste spara fakturorna i 7 år.

It may be possible for data subjects to claim damages

Banker

I de flesta länder måste banker föra ett register över de kunder som banken har i enlighet med någon lag.

Informera de registrerade om behandlingen av deras personuppgifter

Företag måste informera registrerade om behandlingen av deras personuppgifter. Det ska bland annat framgå vilken rättslig grund som behandlingen stödjer sig på, syftet med behandlingen, rättigheter som registrerade har och när företaget raderar personuppgifterna. Den registrerade ska förstå syftet med behandlingen och därför ska företaget informera vilken lag eller förordning som behandlingen med stöd av rättslig förpliktelse grundar sig på. 

Radera personuppgifter när de inte längre behövs

Om ett företag behandlar personuppgifter för ett visst syfte och sedan inte behöver personuppgifterna längre för det ändamålet, men ändå måste spara personuppgifterna på grund av lagkrav, är den fortsatta lagringen tillåten. Däremot bör företaget vid sådana fall lagra personuppgifterna på en avskild plats, exempelvis genom att arkivera underlaget och skydda åtkomsten genom lösenord till arkivmappen. 

Mer information om GDPR

Skyddande av grundläggande intressen är en annan rättslig grund enligt GDPR

Den rättsliga grunden skyddande av grundläggande intressen enligt artikel 6(1)(d) GDPR, innebär att det är tillåtet för ett företag att behandla personuppgifter om en person ifall det är nödvändigt för att rädda livet på denne. Denna rättsliga grund används framförallt inom vården. 

Ett praktiskt exempel är om någon blir medvetslös och inkommer till sjukhuset via ambulans. Vid sådana fall kan sjukhuset behöva behandla patientens personuppgifter, såsom namn och blodgrupp, för att kunna rädda livet på denne. Observera att uppgifter om hälsa är en känslig personuppgift enligt artikel 9 GDPR, men det är tillåtet att behandla känsliga personuppgifter med stöd i denna rättsliga grund. Tänk på att det inte är tillåtet att stödja behandlingen genom denna rättsliga grund om personen är kapabel till att exempelvis ge sitt samtycke.

Vill du lära dig mer?

Klicka här
Rulla till toppen