För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund är samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning, samt efter en intresseavvägning.

Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna för behandling av personuppgifter och de ytterligare krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.
 

Samtycke

Personuppgifter får behandlas om man har ett samtycke från den som personuppgifterna avser. I dataskyddsförordningen ställs det särskilda krav på samtycket, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. I vissa fall kan det vara lämpligt att överväga om någon annan rättslig grund är mer passande, till exempel ett avtal med den registrerade. Särskilt höga krav gäller när samtycke avser behandling av känsliga personuppgifter, såsom uppgifter om hälsa och religiös tro. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.

Mer information
På EU-nivå pågår ett arbete med att ta fram vägledningar för olika begrepp som är centrala i dataskyddsförordningen, bland annat om samtycke.
 

Avtal med den registrerade

Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs då att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Det gäller bara sådana avtal i vilka den registrerade är eller avser att bli part. Exempel på personuppgiftsbehandling som kan vara nödvändig i samband med avtal är kund- och personaladministrativa system för bland annat fakturering respektive löneberäkning.
 

Rättslig förpliktelse

Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Den rättsliga förpliktelsen ska åligga den personuppgiftsansvarige och följa av EU-rätt eller svensk rätt. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.
 

Skydda grundläggande intressen

Behandling av personuppgifter är tillåten om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för någon annan person. Det handlar om sådana intressen som är av avgörande betydelse för den registrerades eller någon annan persons liv. Som exempel kan nämnas personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna samtycke.
 

Uppgift av allmänt intresse och myndighetsutövning

Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgiften ska regleras i EU-rätt eller svensk rätt. Det innebär att uppgiften måste följa av lag eller annan författning eller av ett beslut som meddelats med stöd av lag eller annan författning. Det spelar ingen roll om den personuppgiftsansvarige som ska utföra uppgiften är en myndighet eller någon annan organisation.

Behandling av personuppgifter är också tillåten om den är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Myndighetsutövningen ska grundas på EU-rätt eller svensk rätt. Det är i första hand statliga och kommunala myndigheter som kan behandla personuppgifter som ett led i myndighetsutövning. Privata aktörer kan dock i vissa fall anförtros myndighetsutövning.

I Sverige är det vanligt att personuppgiftsbehandling som sker i samband med myndighetsutövning regleras i särskilda bestämmelser, så kallade registerförfattningar. Detta gäller till exempel för Skatteverkets verksamhet.

När personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning kan den registrerade ha rätt att invända mot att personuppgifter behandlas. Den personuppgiftsansvarige måste då göra en bedömning av om det ändå finns tvingande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen. Om man kan visa att så är fallet får personuppgifterna fortsätta att behandlas.
 

Intresseavvägning

Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att behandlingen är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Barn anses vara särskilt skyddsvärda. Myndigheter kan inte stödja sin behandling på en intresseavvägning när de behandlar personuppgifter som ett led i fullgörande av sina uppgifter. Sådan behandling får istället ske med stöd av lag eller annan författning (läs mer under Rättslig förpliktelse och Uppgift av allmänt intresse och myndighetsutövning).

Om den registrerade invänder mot en pågående behandling måste den som behandlar personuppgifterna göra en ny intresseavvägning och upphöra med behandlingen om inte det finns tvingande berättigade skäl. Om den registrerade invänder mot behandling som sker för direkt marknadsföring måste behandlingen upphöra.

 

Svensk version av dataskyddsförordningen (webbversion)

Svensk version av dataskyddsförordningen (pdf-version)

Engelsk version av dataskyddsförordningen (pdf-version)
 

Läs mer om:

Grunderna i dataskyddsförordningen
Dataskyddsförordningens beaktandesatser (skäl)
Enkla grunder i dataskydd
Dataskyddsförordningens syfte
Missbruksregeln upphör
Dataskyddsförordningens tillämpningsområde
Principer för behandling av personuppgifter
Känsliga personuppgifter
De registrerades rättigheter
Skyldigheter för de som behandlar personuppgifter
 
 

Källa:

Datainspektionen