Behandlingsgrund

Publicerad 28. januar 2022
#Behandlingsgrund #Syfte #Berättigat intresse #Samtycke #Artikel 6
This post thumbnail

Alla verksamheter som ska behandla personuppgifter måste ha en rättslig grund, eller en 'hemställan', för att behandla personuppgifter. Här täcker vi kort de vanligaste behandlingsgrunderna, men Artikel 6 i GDPR (personuppgiftsförordningen) definierar alla giltiga behandlingsgrunder.

Syfte - snubbla inte på startlinjen

En mycket viktig sak är sambandet mellan behandlingsgrund och syfte. Detta är grundläggande, men ändå något som många missförstår. Säg att du driver en webbutik och för att kunna skicka produkterna kunderna beställt behöver du deras fullständiga namn och adress. Behandlingsgrunden för detta är nödvändigt för att uppfylla en avtal (skicka kundens varor). Detta ger dig inte automatiskt rätt att använda dessa uppgifter till något annat än just det som är nödvändigt för att uppfylla avtalet. Du kan till exempel inte använda kundens adress för att segmentera ett e-postmeddelande med ett specialerbjudande för personer som bor i ett specifikt område. Då använder du personuppgifterna för ett annat syfte, eller en annan behandling, och för detta måste du ha en giltig behandlingsgrund.

Med andra ord kan en enkel personuppgift användas i flera behandlingar med olika syften. Men varje behandling/syfte måste ha en giltig behandlingsgrund, och detta är du skyldig att dokumentera i en registerförteckning. Läs mer om registerförteckning här.

Nödvändigt för att uppfylla ett avtal

Ofte behöver du samla in och behandla personuppgifter för att uppfylla ett avtal med dina kunder/användare. Om detta är behandlingsgrunden ska du inte samla in mer data än vad du behöver. Till exempel kan det vara frestande att samla in kundens födelsedatum eller kön för att kunna anpassa användarupplevelsen bättre, men det är inte nödvändigt för att uppfylla ett avtal. Här måste du använda en annan behandlingsgrund.

Samtycke

Detta behandlingsgrunder är så enkelt som att kunden har gett sitt samtycke till behandlingen. Det viktiga här är hur samtycket har givits. Några klassiska fel vi ser på flera platser är:

  • Samtycke är inte verkligen frivilligt, eftersom man måste samtycka för att använda tjänsten/produkten.
  • Ingen möjlighet att dra tillbaka samtycket.
  • Svårt att förstå vad man samtycker till eller hitta texten som beskriver samtycket.

Om ett samtycke inte är korrekt innebär det att det inte är giltigt, och då har du inte en giltig behandlingsgrund. Med andra ord: lägg några extra timmar på att göra detta ordentligt, så sparar det dig mycket potentiella problem i framtiden. Artikel 7 i dataskyddsförordningen (GDPR) preciserar detta mycket bra, och vi uppmanar alla att läsa det.

Verksamhetens berättigade intresse (ja, det inkluderar direktmarknadsföring)

Uttrycket "berättigat intresse" är säkert en korrekt term inom juridiken, men för många är det inte så förståeligt. På engelska används uttrycket "legitimate interest", därför använder även vissa översättningen "legitimt intresse". Poängen är att du som företag har rätt att bedriva verksamhet, och ibland innebär det att behandla personuppgifter. Företaget har med andra ord ett intresse av att behandla personuppgifter för att bedriva verksamhet på ett visst sätt. Det betyder naturligtvis inte att du som företag har en frikort att göra vad du vill bara för att det är i företagets intresse. När du ska använda denna behandlingsgrund måste du väga ditt företags intressen mot kundernas/användarnas integritet, och dokumentera det i en intresseavvägning. Men direktmarknadsföring av tjänster och produkter kan helt klart vara ett berättigat intresse. Detta preciserades också i GDPR:s överväganden, se punkt 47. Samtidigt är det viktigt att poängtera att det finns stor oenighet om denna behandlingsgrund, och det debatteras mycket ofta.

© 2023 GDPRControl. Av Anders Svensson och Jan Ove Skogheim.