För att konkretisera vad GDPR egentligen innebär för de flesta företag så kan man sammanfatta det så här. Ett företag behöver rättslig grund för att att behandla personuppgifter. Har man inte rättslig grund så ska man enligt bestämmelserna i dataskyddsförordningens text inte hantera personuppgifter. Här kommer en enkel och kortfattad checklista som du kan använda dig utav för att se om det föreligger r��ttslig grund för er att hantera personuppgifter.

Om det funnes en knapp som löste alla problem med dataskyddsförordningen skulle vi ha sålt den till er.

Bli klar över de rättsliga grunderna som anses godtagbara för att få hantera personuppgifter.

Det finns sju olika rättsliga grunder för att få hantera personuppgifter.

  1. Samtycke finns från den registrerade.
  2. Den registrerade ingår avtal med dig/er.
  3. Arbete med myndighetsutövning.
  4. Förefintlighet av uppgifter av allmänt intresse.
  5. Skyddas grundläggande intressen för den registrerade.
  6. Förefintlighet av rättslig förpliktelse att hantera personuppgifterna.
  7. Förefintlighet av berättigat intresse.

Det här de rättsliga grunder som finns. Det finns inte några andra. Och här måste alltså minst ett av kriterierna vara uppfyllda för att man ska få hantera personuppgifter. Många gånger överlappar kanske grunderna varandra och flera rättsliga grunder föreligger.

Välj nödvändigtvis inte det enklaste alternativet – samtycke

Det kan verka lockande att välja samtycke som sin rättsliga grund för att behandla personuppgifter. Det är ju bara att be om samtycke varje gång någon registrerar sig på hemsidan, etc. Men här finns det en del i dataskyddsförordningen som säger att man måste kunna motivera varför man väljer samtycke före alla de andra rättsliga grunderna. Anledningen är att ett samtycke ska vara lika enkelt att återkalla som att ge för den registrerade. Det innebär i sin tur att om ett samtycke återkallas och samtycke var den rättsliga grunden för att behandla personuppgifter – så är helt plötsligt behandlingen olaglig. Därför bör man ha en ytterligare rättslig grund än just bara samtycke när man ska behandla personuppgifter.

Var noga med att konkretisera syftet med behandlingen av personuppgifter

Se alltid till att tydligt kunna redogöra för syftet med att behandla personuppgifter. Det här gäller alla rättsliga grunder. Man kan inte bara behandla personuppgifter för att man kan. Syftet ska framgå tydligt och man kan i många fall även behöva göra en så kallad konsekvensbedömning, det vill säga, se efter vad konsekvenserna skulle bli om personuppgifterna hamnade i fel händer, osv. Om dessa konsekvenser anses större än vinningen av att behandla personuppgifterna så bör man avstå.

Bli klar över vad som avses med allmänt intresse

Allmänt intresse kan upplevas som en ganska vag beskrivning och dess innebörd har ännu inte definierats av EU. GDPR:s text har dock definierat detta som att innefatta hälso- och sjukvårdsrelaterad information, men även organisationer med ändamål av civilrättslig karaktär såsom yrkesorganisationer, etc.  För mer information om Rättsakutens tjänster inom GDPR Dataskyddsdirektivet klicka här. Önskar ni vet hur en konsekvensbedömnings ska genomföras klicka här

Kontakta Rättsakutens jurister!