» 3.1.1 Laglig grund

Laglig grund

All personuppgiftsbehandling måste ha stöd i lag!

 

För att ni ska få behandla personuppgifter inom organisationen måste ni ha ett ändamål med behandlingen, det vill säga en anledning till att ni behöver utföra den. Ni behöver också identifiera vilken av de lagliga grunderna i GDPR som behandlingen kan vila på. Dvs. ett giltigt stöd i lagen för den behandling som ska utföras.

Kraven bottnar i grundtanken att personuppgifter inte ska behandlas på ett godtyckligt eller lättvindigt sätt. Genom att tänka igenom grunder och ändamål kan ni se till att behandling av personuppgifter sker på ett strukturerat och ansvarsfullt sätt inom er organisation.

Vilka är de lagliga grunderna?

Denna artikel tar 10 min att läsa och innehåller även videos, mallar och annat användbart material.

Det finns sex lagliga grunder att använda sig av. Kan dina syften inte stödjas på någon av dessa lagliga grunder är behandlingen inte tillåten. De lagliga grunderna enligt dataskyddsförordningen är:

  • samtycke från den registrerade
  • avtal med den registrerade
  • fullgörande av en rättslig skyldighet
  • skydd av den registrerades grundläggande intressen
  • fullgörande av en uppgift av allmänt intresse (t.ex. myndighetsutövning)
  • berättigat intresse

Vid behandling av känsliga personuppgifter (t.ex. om etniskt ursprung, hälsa, facklig tillhörighet, m.m.) behöver ni ha en särskild laglig grund enligt artikel 9 i förordningen.

Vilken laglig grund ska jag använda?

De finns som nämnt ovan 6 olika lagliga grunder att stödja sin personuppgiftsbehandling på. Men vilken lagligt grund ska man använda och när? Det kan vara svårt att avgöra om man bör grunda en behandling på samtycke eller om det t.ex. räcker att göra en intresseavvägning. Kontakta oss så hjälper vi er vidare i dessa tankar!

Ändamålsbegränsning

Förutom laglig grund måste ni ha ett specifikt, uttryckligt och legitimt syfte eller ändamål med varje behandlingsaktivitet. Ändamålet med behandlingen ska vara bestämt redan innan ni påbörjar insamlingen av personuppgifter, och ni får sedan inte behandla uppgifterna på ett sätt som är oförenligt med det. De på förhand fastställda ändamålen är med andra ord det som sätter ramarna för behandlingen.

Dokumentera

Den lagliga grunden och behandlingens syfte måste dokumenteras i syfte att uppfylla de grundläggande principerna i GDPR, särskilt den så kallade ansvarsskyldigheten, det vill säga att ni måste kunna visa hur ni uppfyller kravet.

Några ord om cookie-hantering och laglig grund

Vad är cookies?

Cookies är små filer med information som kan sparas på användarens dator när hen besöker er webbplats. De kan användas för många olika syften, t.ex. för att förbättra upplevelsen av sidan genom att komma ihåg olika inställningar som användaren gjort. Eftersom cookies räknas som en personuppgift får de bara användas om användaren har samtyckt till det.

Regler om cookies

Hur cookies får användas regleras både i GDPR och i lagen om elektronisk kommunikation. Båda lagarna innehåller regler om att cookies bara är tillåtna om användaren har informerats om vad de används för och samtyckt till det innan insamlingen börjar. I GDPR är samtycket den lagliga grunden för personuppgiftsbehandlingen som sker vid cookiehantering; berättigat intresse får inte användas som laglig grund för cookies. Insamling av samtycke krävs bara för icke nödvändiga cookies, medan cookies som behövs för att sidan ska fungera får samlas in även utan samtycke.

Giltigt samtycke

Det finns särskilda villkor för att ett samtycke ska vara giltigt enligt GDPR. Informationen om syftet med cookies ska vara lätt att förstå, och det måste vara tydligt vad det är användaren samtycker till. Samtycket får inte presenteras på ett sätt som gör det enklare eller mer attraktivt att samtycka än att tacka nej till cookies. När samtycket samlas in ska det direkt på första sidan finnas möjlighet för användaren att godkänna eller neka alla cookies, eller att klicka sig vidare för att välja exakt vilka cookies hen vill acceptera. Samtycket ska också vara lika enkelt att ta tillbaka som att lämna.

Vad får ni inte göra?

Det är vanligt att användaren bara får två alternativ på startsidan: att samtycka till alla cookies eller att gå vidare till inställningar. Eftersom det inte får vara enklare att tacka ja till cookies än att tacka nej är det inte okej. Det räcker alltså att det krävs ett klick extra för att tacka nej för att en cookie-banner ska bli underkänd enligt GDPR. Rutan för samtycke får inte heller vara ikryssad på förhand, eftersom det krävs ett aktivt ställningstagande för att samtycket ska vara giltigt. Det är inte heller tillåtet att använda färgsättning eller andra grafiska element för att vilseleda användare att acceptera cookies.

Rekommenderade artiklar

Scroll to Top