Laglig grund
All personuppgiftsbehandling måste ha stöd i lag!
För att ni ska få behandla personuppgifter inom organisationen måste ni ha ett ändamål med behandlingen, det vill säga en anledning till att ni behöver utföra den. Ni behöver också identifiera vilken av de lagliga grunderna i GDPR som behandlingen kan vila på. Dvs. ett giltigt stöd i lagen för den behandling som ska utföras.
Kraven bottnar i grundtanken att personuppgifter inte ska behandlas på ett godtyckligt eller lättvindigt sätt. Genom att tänka igenom grunder och ändamål kan ni se till att behandling av personuppgifter sker på ett strukturerat och ansvarsfullt sätt inom er organisation.
Vilka är de lagliga grunderna?
Denna artikel tar 10 min att läsa och innehåller även videos, mallar och annat användbart material.
Det finns sex lagliga grunder att använda sig av. Kan dina syften inte stödjas på någon av dessa lagliga grunder är behandlingen inte tillåten. De lagliga grunderna enligt dataskyddsförordningen är:
- samtycke från den registrerade
- avtal med den registrerade
- fullgörande av en rättslig skyldighet
- skydd av den registrerades grundläggande intressen
- fullgörande av en uppgift av allmänt intresse (t.ex. myndighetsutövning)
- berättigat intresse
Vid behandling av känsliga personuppgifter (t.ex. om etniskt ursprung, hälsa, facklig tillhörighet, m.m.) behöver ni ha en särskild laglig grund enligt artikel 9 i förordningen.
Vilken laglig grund ska jag använda?
De finns som nämnt ovan 6 olika lagliga grunder att stödja sin personuppgiftsbehandling på. Men vilken lagligt grund ska man använda och när? Det kan vara svårt att avgöra om man bör grunda en behandling på samtycke eller om det t.ex. räcker att göra en intresseavvägning. Kontakta oss så hjälper vi er vidare i dessa tankar!
Ändamålsbegränsning
Förutom laglig grund måste ni ha ett specifikt, uttryckligt och legitimt syfte eller ändamål med varje behandlingsaktivitet. Ändamålet med behandlingen ska vara bestämt redan innan ni påbörjar insamlingen av personuppgifter, och ni får sedan inte behandla uppgifterna på ett sätt som är oförenligt med det. De på förhand fastställda ändamålen är med andra ord det som sätter ramarna för behandlingen.
Dokumentera
Den lagliga grunden och behandlingens syfte måste dokumenteras i syfte att uppfylla de grundläggande principerna i GDPR, särskilt den så kallade ansvarsskyldigheten, det vill säga att ni måste kunna visa hur ni uppfyller kravet.
Några ord om cookie-hantering och laglig grund
Vad är cookies?
Cookies är små filer med information som kan sparas på användarens dator när hen besöker er webbplats. De kan användas för många olika syften, t.ex. för att förbättra upplevelsen av sidan genom att komma ihåg olika inställningar som användaren gjort. Eftersom cookies räknas som en personuppgift får de bara användas om användaren har samtyckt till det.
Regler om cookies
Hur cookies får användas regleras både i GDPR och i lagen om elektronisk kommunikation. Båda lagarna innehåller regler om att cookies bara är tillåtna om användaren har informerats om vad de används för och samtyckt till det innan insamlingen börjar. I GDPR är samtycket den lagliga grunden för personuppgiftsbehandlingen som sker vid cookiehantering; berättigat intresse får inte användas som laglig grund för cookies. Insamling av samtycke krävs bara för icke nödvändiga cookies, medan cookies som behövs för att sidan ska fungera får samlas in även utan samtycke.
Giltigt samtycke
Det finns särskilda villkor för att ett samtycke ska vara giltigt enligt GDPR. Informationen om syftet med cookies ska vara lätt att förstå, och det måste vara tydligt vad det är användaren samtycker till. Samtycket får inte presenteras på ett sätt som gör det enklare eller mer attraktivt att samtycka än att tacka nej till cookies. När samtycket samlas in ska det direkt på första sidan finnas möjlighet för användaren att godkänna eller neka alla cookies, eller att klicka sig vidare för att välja exakt vilka cookies hen vill acceptera. Samtycket ska också vara lika enkelt att ta tillbaka som att lämna.
Vad får ni inte göra?
Det är vanligt att användaren bara får två alternativ på startsidan: att samtycka till alla cookies eller att gå vidare till inställningar. Eftersom det inte får vara enklare att tacka ja till cookies än att tacka nej är det inte okej. Det räcker alltså att det krävs ett klick extra för att tacka nej för att en cookie-banner ska bli underkänd enligt GDPR. Rutan för samtycke får inte heller vara ikryssad på förhand, eftersom det krävs ett aktivt ställningstagande för att samtycket ska vara giltigt. Det är inte heller tillåtet att använda färgsättning eller andra grafiska element för att vilseleda användare att acceptera cookies.
GDPR
- GDPR
- 3.1.1 Laglig grund
- 3.1.2 Information till registrerade
- 3.1.3 Den registrerades rättigheter
- 3.1.4 Behandlingsregister enligt art 30
- 3.1.5 Incidenter
- 3.1.6 Säkerhet
- 3.1.7 Styrning & kontroll
- 3.1.8 Utbildning
- 3.1.9 Gallring
- 3.1.10 Konsekvensbedömning (DPIA)
- 3.1.11 Överföring av personuppgifter till annan part
- 3.1.12 Inbyggt dataskydd & dataskydd som standard
- 3.1.13 Dataskyddsombudsrollen
Flera artiklar
Förvaltningsrätten sänker Spotifys sanktionsavgift till 40 miljoner kronor för överträdelser av GDPR
Relaterade dokument
RIKTLINJER OM SAMTYCKE
Denna riktlinje är ett bra dokument för att lära sig mer om i vilka situationer samtycke kan användas som laglig grund och hur ett korrekt samtycke kan formuleras.