Checklista: Laglig behandling av personuppgifter

1. Vad innebär laglig behandling av personuppgifter?

Enligt dataskyddsförordningen är en behandling av personuppgifter endast laglig om den uppfylls av åtminstone en av de nedanstående lagliga grunderna. De sju rättsliga grunderna som godtas är:

• samtycke av den registrerade

• avtalssituationer på två olika sätt

• rättslig förpliktelse som åvilar den personuppgiftsansvarige  

• intresseavvägning eller berättigat intresse

• skydda livsviktiga intressen för den registrerade eller för en annan fysisk person  

• uppgift av allmänt intresse, och

• myndighetsutövning.

Det finns inte fler lagliga grunder

Uppräkningen ovan är uttömmande. Det finns inte fler lagliga grunder. Behandling av personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera lagliga grunder kan vara tillämpliga avseende en och samma behandling. Därför behöver den personuppgiftsansvarige vara medveten om vilken laglig grund som man väljer. Finns det ingen laglig grund som överensstämmer med det som den personuppgiftsansvarige vill göra är behandlingen inte tillåten.

Grundläggande krav

Att endast finna en laglig grund räcker inte för att behandla personuppgifter. Har man identifierat en laglig grund kan man inte bara behandla vilka personuppgifter hur som helst eller på valfritt sätt. Grundläggande krav för all behandling av personuppgifter, bortsett från åtminstone en laglig grund, är att samtliga grundläggande principer också måste tillämpas. Därutöver ska de relevanta bestämmelserna i förordningen tillämpas bl.a. beroende på vilka personuppgifter och vilka behandlingar som är aktuella.

Vad kan hända vid överträdelser?

Överträdelse av bestämmelserna om laglig behandling av personuppgifter i förordningen när det gäller personuppgiftsansvarigas skyldigheter i dessa avseenden kan under vissa omständigheter medföra de högre administrativa sanktionsavgifterna.

Varje person som har lidit skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Dessa kan således bli solidariskt skadeståndsansvariga gentemot de registrerade.

Lagliga grunden ska finnas i informationen till de registrerade

Dataskyddsförordningen kräver också att den personuppgiftsansvarige ska tillhandahålla information till de registrerade om bl.a. den lagliga grunden för behandlingen av personuppgifterna. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan.

2. Undvik samtycke – om det finns en annan laglig grund

Den första lagliga grunden är att den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Dataskyddsförordningen reglerar även villkor för att ett samtycke ska anses giltigt. Ett samtycke kan inte med giltig verkan lämnas i efterhand och måste således finnas där innan behandlingen påbörjas.

Varför eventuellt en annan laglig grund?

En anledning till att samtycke bör undvikas om möjligt är att den registrerade ska ha rätt att när som helst återkalla sitt samtycke, vilket kan innebära problem för verksamheten. Även om inte ett återkallande ska påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas, så innebär ett återkallande att behandlingen måste upphöra. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

Om den lagliga grunden är samtycke krävs det enligt dataskyddsförordningen att den personuppgiftsansvarige ska tillhandahålla information till de registrerade om rätten att när som helst återkalla sitt samtycke. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan.

En annan anledning kan i vissa fall vara kravet på att samtycket ska vara frivilligt. Detta kan ibland vara svårt att avgöra. I de fall där den enskilde inte har någon verklig valmöjlighet torde den personuppgiftsansvarige försöka hitta en annan laglig grund.

Två exempel:

1. Om myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster kan det ifrågasättas om kravet på frivillighet är uppfyllt.

2. Datainspektionen har ansett att en enskild, som önskar få en fast telefon installerad, inte kan lämna ett frivilligt samtycke, eftersom bolaget, TeliaSonera, i praktiken har monopol på sådana tjänster.

Exempel 1 visar på det faktum att en enskild kan ha beroendeställning till PUB, vilket kan innebär att samtycker inte är att anse som frivilligt. För att vara säker på att samtycket lämnas frivilligt bör det därför, enligt dataskyddsförordningen, inte utgöra giltig laglig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Situationen med underordnad eller beroendeställning är svår och kan uppstå även då när arbetsgivare begär samtycke till registrering av uppgifter om arbetstagare eller arbetssökande och därför anser Datainspektionen att ett giltigt samtycke enbart kan föreligga när arbetstagaren har ett verkligt fritt val och senare kan återkalla samtycket utan att det medför några nackdelar för arbetstagaren.

Generellt kan också nämnas att om den personuppgiftsansvarige har frågat efter ett samtycke, men den registrerade säger nej alternativt inte svarar, kan behandlingen ändå ske om det finns en annan laglig grund för behandlingen. Man bör däremot inte fråga efter samtycke om det finns annan grund för behandlingen, dels utifrån skälen som angivits ovan, men även då det inte framstår som genomtänkt och respektlöst att fråga efter ett samtycke som kanske inte behövs. Det kostar också tid och pengar för PUB.

3. De två olika avtalssituationerna som utgör laglig behandling

Behandling av personuppgiftsansvarige är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås är att anse som laglig grund. Den andra situationen är när det finns en avsikt att ingå ett avtal.

1. Den första avtalssituationen att fullgöra ett avtal avser endast när den registrerade själv är part i ett avtal där den personuppgiftsansvarige är den andra parten. Behandling för att fullgöra ett avtal kan t.ex. vara anställnings- & löneregister, fakturering, kundregister och förandet av kundkonton. Exempelvis ett avtal mellan den personuppgiftsansvarige och en juridisk person innebär inte att den personuppgiftsansvarige kan behandla personuppgifter om de som är anställda hos den juridiska personen. De är inte part av avtalet.

2. I den andra situationen angående åtgärder som måste vidtas innan ett avtal träffas krävs det att den registrerade har begärt skriftligen eller muntligen att de åtgärderna som gör det nödvändigt att behandla uppgifterna ska vidtas. Den personuppgiftsansvarige kan t.ex. på förhand ange att alla som vill komma ifråga för ett avtal kan komma att utsättas för behandling av personuppgifter. Vid tvist torde den personuppgiftsansvarige ha bevisbördan för att behandling har begärts av den registrerade. Det krävs inte att den registrerade ska bli part i det tilltänkta avtalet.

Det kan tilläggas att dataskyddsförordningen inte reglerar vad som är ett avtal eller vilka som är parter i ett avtal utan detta regleras av andra rättsregler, exempelvis Avtalslagen.

4. Undersök om det finns en rättslig förpliktelse

Den tredje lagliga grunden är att behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Enligt dataskyddsförordningen måste den lagliga grunden i detta fall fastställas antingen i unionsrätten eller i den nationella (svensk) rätten för att vara tillämplig. Rättsliga förpliktelser finns redan i svensk rätt, men för att tydliggöra vad som menas finns ett lagförslag.

Förslaget är att: personuppgifter får behandlas med stöd av denna grund om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som 1. gäller enligt lag eller annan författning, 2. följer av kollektivavtal, eller 3. följer av beslut som har meddelats med stöd av lag eller annan författning.

Det ska påpekas att den rättsliga förpliktelsen ska åvila den personuppgiftsansvarige och inte någon annan.

Syftet med behandlingen ska finnas

Dessutom kräver dataskyddsförordningen att syftet med behandlingen av personuppgifterna ska framgå av lydelsen i de ovan nämnda dokumenten. Syftet torde man kunna utläsa av den aktuella författningen, det aktuella kollektivavtalet eller av beslutet.

Tillämplig för myndighet eller privat

Den tredje lagliga grunden gäller oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ. Skyldigheter som åvilar enskilda enligt offentligrättsliga bestämmelser kan t.ex. vara en skyldighet att redovisa socialavgifter för anställda eller att inom ramen för rehabilitering av anställda göra arbetsförmågebedömningar.

5. Undersök om intresseavvägning kan användas

Den fjärde lagliga grunden är att behandlingen av personuppgifter är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen – om inte den registrerades intressen eller grundläggande rättigheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Denna lagliga grund kallas för intresseavvägning eller berättigat intresse.

Ska inte tillämpas av offentliga myndigheter

Denna rättsliga grund ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Motiveringen är att det är lagstiftarens sak att genom lagstiftning tillhandahålla den lagliga grunden för de offentliga myndigheternas behandling av personuppgifter.

Vem är tredje part?

En tredje part är en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.

Vad är ett berättigat intresse?

En personuppgiftsansvarigs berättigade intressen, inkl. intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige.

Berättigat intresse kan t.ex. finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, exempelvis att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.

En bedömning bör ske som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske.

OBS! Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig.

OBS! Behandling av personuppgifter för direkt marknadsföring kan betraktas som ett berättigat intresse.

Viktigt att tänka på vid direkt marknadsföring är att den registrerade ska ha rätt, enligt dataskyddsförordningen, att när som helst kostnadsfritt invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring. Om invändning mot användning av personuppgifter för direkt marknadsföring sker, ska personuppgifterna inte längre behandlas för sådana ändamål.

Rätten att göra invändning i den här situationen gäller oavsett om det handlar om inledande eller ytterligare behandling. Denna rättighet ska uttryckligen meddelas de registrerade och redovisas tydligt, klart och åtskilt från annan information.

Den registrerades intressen och invändning vid intresseavvägning

Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre, enligt dataskyddsförordningen, än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling.

Den registrerade ska – av skäl som hänför sig till hans eller hennes specifika situation – ha rätt, enligt dataskyddsförordningen, att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på intresseavvägning, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

6. Skydda livsviktiga intressen för den registrerade

Den femte lagliga grunden är att behandlingen av personuppgifter är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Behandling av personuppgifter ska även anses laglig, enligt förordningen, när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte uppenbart kan ha en annan rättslig grund.

7. Klargör om det finns ett allmänt intresse

Den sjätte lagliga grunden är att behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse.

Enligt dataskyddsförordningen måste den lagliga grunden i detta fall fastställas antingen i unionsrätten eller i den nationella (svenska) rätten för att vara tillämplig. Uppgifter av allmänt intresse finns redan i svensk rätt, men för att tydliggöra vad som menas finns ett lagförslag.

Förslag: att personuppgifter får behandlas med stöd av denna grund om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En sådan upplysningsbestämmelse anges bidra till förståelse för dataskyddsförordningen.

Det är alltså inte tillräckligt att uppgiften är av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Vad innebär allmänt intresse?

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte definieras utförligt i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domstolen (begreppet finns även i dag). Enligt dataskyddsförordningen anges att allmänintresset inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

Allmänt intresse i Sverige

Enligt Dataskyddsutredningen förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. På motsvarande sätt bör man kunna utgå från att de obligatoriska uppgifter som utförs av kommuner och landsting, till följd av deras åligganden enligt lag eller förordning, är av allmänt intresse i dataskyddsförordningens mening.

Även i privat regi

OBS! Sådana uppgifter, som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan.

När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Den omständigheten att entreprenören bedriver en rent kommersiell verksamhet kan under sådana omständigheter inte påverka bedömningen av den aktuella uppgiftens art.

Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av den lagliga grunden allmänintresse.

Flera privaträttsliga organ utför en hel del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnomsorg och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs uppgiften i bl.a. hälso- och sjukvårdslagen. Inom den traditionellt statliga sektorn finns t.ex. järnvägstransporter, elektronisk kommunikation, postbefordran och eldistribution.

Sammanfattning

Statliga och kommunala myndigheters verksamhet är i allt väsentligt av allmänt intresse. Även privaträttsligt bedriven verksamhet av allmänt intresse omfattas av formuleringen, förutsatt att verksamheten är reglerad i lag eller annan författning eller följer av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning. Däremot omfattas inte oreglerad verksamhet. Formuleringen omfattar inte heller sådan verksamhet som i och för sig är reglerad, men som inte kan anses vara av allmänt intresse i unionsrättslig mening.

Krav på proportionalitet

Det bör uppmärksammas att den författning eller det kollektivavtal eller beslut som utgör den lagliga grunden för behandling av personuppgifter måste enligt dataskyddsförordningen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Invändning vid allmänt intresse

Den registrerade ska – av skäl som hänför sig till hans eller hennes specifika situation – ha rätt, enligt dataskyddsförordningen, att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på allmänt intresse inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

8. Utvärdera om behandlingen är ett led i en myndighetsutövning?

Den sjunde lagliga grunden är att behandlingen av personuppgifter är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning.

Enligt dataskyddsförordningen måste den lagliga grunden i detta fall fastställas antingen i unionsrätten eller i den nationella (svensk) rätten för att vara tillämplig. I svensk rätt har myndigheter inte någon generell befogenhet att utöva myndighet. Myndighetsutövning kan däremot inte ske helt utan stöd av författning. Det betyder att myndighetsutövning redan finns i svensk rätt, men för att tydliggöra vad som menas finns ett lagförslag.

Förslag: att personuppgifter får behandlas med stöd av denna grund om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

Tillämplig även för privata organ

Myndighetsutövning kan också ske i förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet och det innebär inte att det bara är myndigheter som har anförtrotts sådana uppgifter. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsuppgifter som innefattar myndighetsutövning. Möjligheten har bl.a. utnyttjats vad gäller betygssättning m.m. i fristående skolverksamhet och fordonsbesiktning som utförs av privaträttsliga besiktningsorgan. Denna lagliga grund för behandling av personuppgifter kan tillämpas för alla personuppgiftsansvariga som tilldelats myndighetsutövande befogenheter.

Ändamålet med behandlingen måste vara nödvändigt

OBS! Enligt dataskyddsförordningen ska syftet med behandlingen, när det gäller behandling enligt denna lagliga grund, vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndighetsutövningen.

Invändning vid myndighetsutövning

Den registrerade ska – av skäl som hänför sig till hans eller hennes specifika situation – ha rätt att på samma sätt som anges ovan vid rubriken Invändning vid allmänt intresse göra en invändning mot behandlingen när den lagliga grunden myndighetsutövning används.

Har du ytterligare frågor?