27 mars 2017

Sex anledningar till att din hantering av personuppgifter är laglig även under GDPR!

Blogg

Får man skrämmas hur mycket som helst, bara det handlar om GDPR? Kommer allt att bli förbjudet när GDPR träder i kraft? Ibland är det lätt att tro det... Jag var på ett föredrag om Dataskyddsförordningen för några veckor sedan. Jag hade sett fram emot föredraget länge, mycket eftersom talaren kom från en välkänd revisionsbyrå. Han presenterades också som senior inom området. Tyvärr blev jag nästan omedelbart besviken. Föredraget bestod (lite hårdraget) av skrämselpropaganda uppblandat med direkta felaktigheter.

Troligen, men det är oklart...

Det som först fick mig att koka över var när föredragshållaren sa att all behandling under GDPR kräver den registrerades samtycke. På direkt fråga svarade föredragshållaren att även den som är lagligt skyldig spara information troligen måste ha den registrerades samtycke att göra det, men att rättsläget var oklart! Visst, han smög in ett troligen i sitt svar, men det gör inte svaret särskilt mycket bättre. Om han hade haft rätt så skulle det ju troligen innebära att du måste samla in samtycken för att spara information om ”kundens referens” på dina fakturor!

Sex olika undantag för att behandla personuppgifter

Men samtycke är absolut inte det enda i GDPR som kan göra din hantering av personuppgifter laglig. Faktum är att det finns hela sex olika undantag från det allmänna förbudet att lagra och behandla personuppgifter. Om din hantering av personuppgifter faller in under ett enda av undantagen, så har du laglig grund för din behandling. Observera att det inte alltid räcker med att det finns laglig grund – det krävs ibland mer formalia innan du är helt hemma. (Ibland finns det en informationsplikt, den registrerade har alltid rätt till rättelse mm, ibland har den registrerade rätt att bli glömd… allt beror på situationen! GDPR innehåller även starka formuleringar kring dokumentation av vilken laglig grund som registrering/behandling vilar på.) Här kommer undantagen i Dataskyddsförordningens som kan göra din hantering av personuppgifter laglig:

  1. Om den registrerade samtyckt till behandlingen.
  2. Om du har (eller tänker skaffa) ett avtal med den registrerade. Tänk anställningsavtal, hyresavtal mm. (Bara de uppgifter som är nödvändiga för avtalets ingående och uppfyllande får registreras!).
  3. Om personuppgiftsansvarig har en laglig skyldighet att lagra informationen. Tänk exempelvis bokföring, lagstiftning kring penningtvätt mm. (Vad som är tillåten behandling här beror på vilket lagrum du hänvisar till.)
  4. Om behandlingen är nödvändig för att ”skydda intressen som är av avgörande betydelse för den registrerades eller andra fysiska personers liv”. (Jag gissar lite här, men tänk någon sorts nödvärnsrätt som kan användas när den berörda personen själv inte kan lämna samtycke och behandlingen ändå är nödvändig.)
  5. Om behandlingen är nödvändig ”för att genomföra en uppgift av allmänt intresse” eller som ”ett led i den personuppgiftsansvariges myndighetsutövning. Tänk ”forskning, folkhälsa mm” och ”registrering som är nödvändig för att en myndighet ska kunna sköta sina uppgifter”.
  6. Om den som bedriver verksamhet (eller en tredje part) har ”ett berättigat intresse” av att hantera personuppgifterna. Under vissa omständigheter är det då möjligt att göra en intresseavvägning som ger rätt att hantera personuppgifter utan samtycke.

Som synes finns det många skäl som kan göra din hantering av personuppgifter laglig. Den exakta ordalydelsen finner du i Dataskyddsförordningens sjätte artikel.

Berättigade intressen

Undantaget för intresseavvägning (punkten 6 ovan) är tänkt för att göra det möjligt att hantera viss information utan samtycke, vilket är OK så länge det finns ett ”berättigat intresse” och den registrerades intresse att bli tillfrågad först ”inte är alltför starkt i förhållande till det berättigade intresset”. Det finns flera exempel på ”berättigade intressen”, bland annat marknadsföring och arbetsledningsrätt kan ge rätt att lagra och behandla personuppgifter utan samtycke. Känns det luddigt? Det är det, men det vore heller inget bra alternativ om lagstiftningen skulle räkna upp alla tillåtna fall. Enligt Datainspektionen så har reglerna kring intresseavvägningar inte ändrats i någon högre grad jämfört med PUL. Har man frågor kring intresseavvägningar i GDPR så hänvisar Datainspektionen i skrivande stund faktiskt till en broschyr om intresseavvägningar under Personuppgiftslagen. Den skulle jag gärna se i en ny utgåva som anpassats för GDPR.

Jag ska inte påstå att jag förstått GDPR fullt ut, men en sak är jag rimligt säker på: Syftet med GDPR är inte att skjuta din verksamhet i sank. Har du en god anledning att hantera personuppgifter, så finns det också en väg fram till en laglig hantering. Leta upp den lagliga grunden och strunta i skrämselpropagandan, så är du en god bit på väg!

Vill du läsa mer om GDPR och compliance kan du kika vidare på vår GDPR FAQ

Relaterade inlägg

linkedin-sales-solutions-multisoft_krav
Blogg
16 april 2024

Webinar | Effektiv kravhantering nyckel till framgångsrika IT-projekt

Välkommen till detta kostnadsfria webinar där du lär dig mer om hur du ska tänka inför o...
patrick-untersee-pI_2wdcdiDE-unsplash
Blogg
8 april 2024

Anpassat eller standardiserat system – vad passar er bäst?

Utforska de avgörande skillnaderna mellan anpassade och standardiserade affärssystem och...

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på , orgnr. använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för personlig anpassning

För att ge dig en bättre upplevelse placerar vi cookies för dina preferenser

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata