meny

Rättslig grund för personuppgiftsbehandling

All personuppgiftsbehandling måste ha stöd i förordningen

När ni vill behandla personuppgifter i er verksamhet måste ni följa dataskyddsförordningen. Det betyder bland annat att ni ska stödja er på någon av de rättsliga grunder som vi presenterar närmare här. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig.

Det finns sex rättsliga grunder. Här följer en kortfattad presentation. Längst ned på sidan finns det länkar till mer information om varje rättslig grund.

Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen. Obs! I många fall är det inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Avtal: Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige.

Intresseavvägning: Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.

Rättslig förpliktelse: Det finns lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet.

Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Grundläggande intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.

Privat och offentlig verksamhet kan stödja sig på olika rättsliga grunder

Privata företag, föreningar och andra organisationer

Företag, föreningar och organisationer i privat verksamhet kommer främst att använda grunderna

  • samtycke
  • avtal
  • rättslig förpliktelse
  • intresseavvägning.

Offentlig verksamhet

Myndigheter och andra inom offentlig verksamhet kommer främst att använda grunderna

  • rättslig förpliktelse
  • uppgift av allmänt intresse eller myndighetsutövning
  • avtal.

Ibland kan privata företag vara verksamma inom offentlig verksamhet, till exempel när skolor eller hälso- och sjukvård bedrivs i privat regi. De utför då en uppgift av allmänt intresse och ska stödja sig på samma rättsliga grunder som en myndighet.

Obs! Myndigheter får inte använda sig av en intresseavvägning när de fullgör sina uppgifter.

Dokumentera era val och informera de registrerade

Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni ska alltid informera de registrerade om vilken rättslig grund ni utgår ifrån när ni behandlar deras personuppgifter.

Identifiera den rättsliga grunden innan behandlingen påbörjas

Eftersom de registrerade har rätt att bli informerade om med vilken rättslig grund deras personuppgifter behandlas så måste den personuppgiftsansvarige ha detta klart för sig redan innan uppgifterna samlas in.

Varje ändamål måste vara kopplat till en rättslig grund

Som regel ska varje personuppgiftsbehandling stödjas på endast en rättslig grund. Var alltså tydlig med varför ni tänker behandla personuppgifter och välj endast en rättslig grund för ett visst ändamål.

Det går inte att byta rättslig grund under en pågående personuppgiftsbehandling.

Exempel: Ni får inte börja använda en intresseavvägning för att det har uppstått problem med giltigheten av ett samtycke.

Vad innebär det att behandlingen ska vara "nödvändig"?

I dataskyddsförordningen står det att personuppgiftsbehandlingen ska vara "nödvändig" för flera av de olika rättsliga grunderna, till exempel för att ni ska kunna fullgöra ett avtal eller utföra en uppgift av allmänt intresse. Uttrycket "nödvändig" har dock inte samma betydelse här som i dagligt tal.

Behandlingen leder till effektivitetsvinster

Även om ett avtal skulle kunna fullgöras eller en uppgift skulle kunna utföras utan att personuppgifter behandlas på ett visst sätt, så kan behandlingen anses vara nödvändig och därmed tillåten om den leder till effektivitetsvinster.

Men om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, så är det inte nödvändigt att behandla personuppgifterna i den här bemärkelsen. Det kanske går nästan lika bra att använda anonyma uppgifter.

Exempel: Myndigheter och företag skulle i teorin kunna bedriva sin verksamhet och utföra sina uppgifter manuellt, utan att behandla personuppgifter automatiskt. Det är dock inte ett realistiskt alternativ. Att använda tekniska hjälpmedel, och därmed behandla personuppgifter automatiskt, anses i dag mer eller mindre nödvändigt.

Följ alltid hela dataskyddsförordningen

Förutom kravet på rättslig grund måste ni uppfylla övriga bestämmelser i dataskyddsförordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna och andra krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.

Särskilda regler för känsliga personuppgifter

Vissa personuppgifter anses så känsliga att det som huvudregel är förbjudet att behandla dem. För sådana uppgifter räcker det inte att ha någon av de rättsliga grunderna ovan, utan det finns dessutom särskilda regler.

Läs om de grundläggande principerna
Läs om känsliga personuppgifter och uppgifter om brott

Rättsinformation

Artikel 6 (laglig behandling av personuppgifter)
Skäl 40–49