Samla och spara in personuppgifter enligt GDPR

Samtycke & legala grunder

Vad menas med en behandling?

När det kommer till GDPR så är det enklast att tänka att ALLT du gör med personuppgifter är en behandling. Och du behöver inte ens arbeta aktivt med dem för att det ska räknas som behandling, så att lagra personuppgifter är en behandling, liksom att samla in, ändra, flytta och radera.

När man har uppfyllt de av GDPR definierade principerna, och sett till att det man vill göra verkligen faller inom dessa, så måste behandlingen av personuppgifterna även ha en laglig grund. Men först: vad menas med en behandling?

Enligt GDPR är behandlingen av personuppgifter laglig om den grundar sig på:

Nödvändigt att följa ett avtal

  • T ex om någon beställer en vara, så måste du kunna skicka den varan, och få betalt för den. Då har du rätt att behandla de personuppgifter som behövs för det ändamålet.

Fullgöra en rättslig förpliktelse

  • Vissa saker är du enligt lag skyldig att ha kvar för att t ex lämna kontrolluppgifter till en myndighet, eller för bokföringsändamål.

Utförande av uppgift av allmänt intresse eller som ett led i myndighetsutövning

  • Myndigheter faller tillbaks på detta för att de ska kunna utföra sina sysslor, och regleras av EU-rätt eller svensk rätt.

Skydda grundläggande intressen för den registrerade

  • Denna grund ska användas YTTERST sällan, då det kan handla om uppgifter som är nödvändiga för livsavgörande vård i akuta situationer där den registrerade inte kan lämna samtycke.

Avvägning mellan den personuppgiftsansvarige och den behandlades intressen

Klicka på Play för att se filmen

Ett exempel på en sådan avvägning kan vara marknadsföring. Finns det t ex ett kundförhållande så kan den personuppgiftsansvarige ha ett berättigat intresse att få marknadsföra sina varor.

Om den registrerade lämnat sitt samtycke

Det kan verka som om samtycke är den enklaste vägen att gå när det kommer till att behandla personuppgifter – har du fått ett ja från den registrerade så är det ju fritt fram att behandla personuppgifterna. Och det är oerhört bra om det funkar, MEN det ställs väldigt höga krav på samtycke enligt GDPR:

 

  • Det ska vara frivilligt, specifikt, informerat och otvetydigt.
  • Ska vara klart och tydligt och kunna särskiljas från de andra frågorna. Det går alltså inte längre att dölja det i en lång text och baka ihop det med andra frågor.
  • Får inte vara oskäligt knutet till fullgörandet av ett avtal. Dvs du kan inte kräva att kunden ska gå med på en massa saker om hen vill ha dina varor – då är det inte ett frivilligt samtycke utan ett tvång.
  • Samtycket ska lika lätt kunna återkallas som det lämnats. Har du en kryssruta på din webbplats för att acceptera ett samtycke så måste du även ha en kryssruta för att återkalla samtycket.
  • Du måste kunna visa att ett samtycke lämnats och det måste gå att återskapa.

 

Det är alltså en hel som måste vara på plats om du ska jobba med samtycke, framför allt tekniskt. För har du via samtycke tagit in extra uppgifter om din kund så måste den behandlingen kunna särskiljas och plockas bort från den andra behandlingen som krävs för att kunna fullgöra ett avtal. För om det här samtycket återkallas så får den behandlingen inte ske längre.