När får personuppgifter behandlas?

Rättsliga grunder för behandling av personuppgifter

Behandling av personuppgifter förutsätter alltid en behandlingsgrund i lagen. Grunden ska fastställas innan behandlingen inleds. När behandlingen av personuppgifter är bunden till en behandlingsgrund, kan inte grunden längre bytas till en annan. Behandlingsgrunden påverkar avsevärt den registrerades rättigheter gentemot den personuppgiftsansvarige.

Dataskyddsförordningen omfattar sex olika grunder, som möjliggör behandling av personuppgifter:

  • ett samtycke av den registrerade
  • ett avtal
  • en rättslig förpliktelse för den personuppgiftsansvarige
  • skydd av vitala intressen
  • en uppgift som gäller ett allmänt intresse eller offentlig makt
  • ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part.

Behandling av uppgifter som gäller särskilda kategorier av personuppgifter, såsom etniskt ursprung eller hälsorelaterade uppgifter, är i princip förbjuden. Det är dock möjligt att behandla sådana uppgifter, då ett undantag till behandlingsförbudet föreskrivits i dataskyddsförordningen eller i den nationella lagstiftningen.

Samtycke av den registrerade

En registrerad kan samtycka till att hans eller hennes personuppgifter behandlas. Ett sådant samtycke ska vara en frivillig, specifik, informerad och otvetydig viljeyttring, med vilken den registrerade godkänner att hans eller hennes personuppgifter behandlas. Den registrerade kan till exempel ge en skriftlig eller muntlig förklaring som gäller samtycket eller uttrycka sitt samtycke med en annan tydlig åtgärd, såsom att kryssa för en ruta på en webbsida. Samtycket ska kunna återkallas lika enkelt som det lämnats.

Den personuppgiftsansvarige ska kunna visa att ett lagstadgat samtycke finns.

Avtal

När en registrerad är part i ett avtal, får hans eller hennes personuppgifter behandlas för att genomföra avtalet. Om en registrerad till exempel beställer produkter på nätet, får företaget behandla hans eller hennes adressuppgifter, så att produkterna kan levereras till adressen.

Det är viktigt att fastställa avtalets exakta innehåll och grundläggande mål, eftersom dessa omständigheter ligger till grund för bedömningen av om behandling är nödvändig. Behandlingen ska avgränsas till nödvändiga personuppgifter.

Det är möjligt att behandlingsgrunden också omfattar behandlingsåtgärder som gäller personuppgifterna och vidtagits innan avtalet, om de vidtagits på begäran av den registrerade. Till exempel är det möjligt att en kreditgivare, innan ett kreditavtal ingås, behandlar uppgifter som är nödvändiga för att bedöma kreditvärdigheten.

Rättslig förpliktelse

En förutsättning för att den personuppgiftsansvarige fullföljer en rättslig förpliktelse kan vara att den personuppgiftsansvarige behandlar personuppgifter. En rättslig förpliktelse kan gälla personuppgiftsansvariga som verkar såväl inom den privata som inom den offentliga sektorn. Detta kan bli aktuellt till exempel då arbetsgivaren ska anmäla en anställds löneuppgifter till skattemyndigheterna eller då finansinstitut ska rapportera misstänkta affärstransaktioner till myndigheterna.

En rättslig förpliktelse kan grunda sig enbart på EU-lagen eller en medlemsstats lag. Förpliktelser som grundar sig på tredje länders lagstiftning omfattas inte av denna grund, om de inte inkluderats i Europeiska unionens eller en medlemsstats rättsordning till exempel med ett internationellt fördrag.

Skydd av vitala intressen

Det är tillåtet att behandla personuppgifter då det är nödvändigt för att skydda en registrerads eller en annan persons vitala intressen. Skydd av vitala intressen lämpar sig som behandlingsgrund exempelvis i situationer där det handlar om liv eller död eller risker som kan leda till skador hos en registrerad eller en annan person eller i övrigt vara skadliga för hälsan.

Behandling av personuppgifter kan främja ett vitalt intresse till exempel vid humanitära nödsituationer, såsom naturkatastrofer eller epidemier. Behandling av personuppgifter kan krävas bland annat då man vill följa utbredningen av en epidemi.

Ett allmänt intresse och offentlig makt

Personuppgifter får behandlas, då ett allmänt intresse eller utövande av offentlig makt som ankommer på den personuppgiftsansvarige så förutsätter. Detta kan fungera som behandlingsgrund såväl inom den privata som inom den offentliga sektorn i situationer som gäller ett allmänt intresse för Europeiska unionen eller en medlemsstat eller offentliga makt.

En uppgift som gäller ett allmänt intresse eller offentlig makt ska grunda sig på lagen eller andra rättsliga bestämmelser. Behandling utifrån ett allmänt intresse kan utgöras av till exempel behandling av personuppgifter för vetenskaplig eller historisk forskning eller för statistiska ändamål.

Ett berättigat intresse hos den personuppgiftsansvarige

Det är tillåtet att behandla personuppgifter då det är nödvändigt för att tillgodose berättigade intressen hos den personuppgiftsansvarige eller en tredje part. Huruvida ett intresse kan anses vara berättigat, avgörs med ett så kallat jämviktstest. I detta vägs den personuppgiftsansvariges eller en tredje parts intressen mot den registrerades intressen och grundläggande fri- och rättigheter.

Ett berättigat intresse kan föreligga till exempel då en betydelsefull relation föreligger mellan den registrerade och den personuppgiftsskyldige. Detta innebär att den registrerade är till exempel kund hos den personuppgiftsansvarige.