Fråga: Vad innebär kravet om rättslig grund i GDPR?
Jag har hört att det måste finnas en "rättslig grund" för alla personuppgifter som mitt bolag sparar. Vi har exempelvis en hel del personuppgifter gällande kunder och anställda. Hur tar jag reda på om det finns en rättslig grund och hur uppfyller jag enklast det kravet?
Legalbuddy svarar
Rickard
Jurist på LW Advisory

När ditt bolag (personuppgiftsansvarig) behandlar en persons (den registrerades) personuppgifter måste behandlingen stödjas på en rättslig grund enligt GDPR. Med behandling avses alla åtgärder som vidtas med personuppgifter, såsom insamling, lagring, överföring m.m. Det finns sex rättsliga grunder i GDPR och minst en rättslig grund måste vara uppfylld för att en behandling ska vara laglig. Nedan följer en kort sammanfattning av de rättsliga grunderna. 


  • Berättigat intresse -  behandlingen är tillåten om personuppgiftsansvariges intresse väger tyngre än den registrerades intresse av att personuppgifter inte behandlas. 


  • Avtal - behandlingen är nödvändig för att fullgöra ett avtal med den registrerade, eller för att ingå ett avtal med den registrerade.


  •  Samtycke - den registrerade har samtyckt till behandlingen. 


  • Rättslig förpliktelse - behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.


  • Myndighetsutövning och uppgift av allmänt intresse - behandlingen är nödvändig för att efterleva lagar och regler (ej tillämplig för privata bolag).


  • Grundläggande intresse - behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.


För privata bolag och i kommersiella sammanhang är i princip endast de fyra första rättsliga grunderna tillåtna att stödja behandling av personuppgifter på. Oavsett vilken rättslig grund som gäller för en behandling av personuppgifter ska den registrerade informeras om vilken rättslig grund behandling av dennes personuppgifter utgår ifrån.


Är du osäker på om det finns en rättslig grund för en behandling av personuppgifter, och i sådana fall vilken rättslig grund, bör du i första hand utreda om berättigat intresse eller avtal är aktuell. Föreligger inte berättigat intresse eller avtalsrelation kan du leta stöd för behandlingen genom de rättsliga grunderna samtycke eller rättslig förpliktelse. Om du vill använda dig av samtycke som rättslig grund är det viktigt att du följer de speciella reglerna som finns för att ett samtycke ska anses som giltigt. Detta innebär att det oftast är lite krångligare att samla in ett samtycke, därför bör du i första hand försöka hitta stöd för behandlingen genom de rättsliga grunderna berättigat intresse eller avtal. 


Glöm inte att behandling av personuppgifter, utöver kravet på rättslig grund, även måste uppfylla övriga bestämmelser i GDPR för att vara tillåten. 

Skapa ett biträdesavtal när någon annan processar data för din räkning. OBS gratistjänst

Skapa ett biträdesavtal när du processar data för någon annans räkning. OBS gratistjänst

Kommentarer

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image

Finns inte svaret på din fråga?

Skriv till oss så svarar vi inom 5 arbetsdagar.

Ställ en fråga

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan