Hoppa till innehåll på sidan
Vi guidar dig

Steg 4: Hitta rättslig grund för varje personuppgifts­behandling

Kom ihåg att ni måste ha stöd i GDPR för varje personuppgiftsbehandling, men att ni inte måste ha samma stöd för alla behandlingar.

I GDPR finns sex olika stöd, så kallade rättsliga grunder, för personuppgiftsbehandling: samtycke, rättslig förpliktelse, avtal, allmänt intresse, intresseavvägning och grundläggande intresse.

Samtycke inte alltid ett krav

Ett vanligt missförstånd är att man alltid måste ha samtycke från berörda personer för att få behandla deras personuppgifter. Samtycke är dock endast ett av flera tänkbara stöd i GDPR, och i många fall är samtycke inte ett lagligt eller lämpligt stöd.

Samtycke inte första valet

Bolag Y

Exempel

Bolag Y säljer träningsklockor och resonerar kring vilka stöd för personuppgiftsbehandling de har i GDPR.

  • Bolaget har gjort bedömningen att de kan stödja två personuppgiftsbehandlingar på samma rättsliga grund, att det finns ett avtal med den registrerade.
    • Bolaget vill behandla kundernas kreditkortsnummer, för ändamålet att ta betalt för klockorna. Eftersom hantering av kreditkortsnummer är nödvändigt för att fullgöra köpeavtalet med kunden gör bolaget bedömningen att behandlingen kan stödjas på den rättsliga grunden avtal.
    •  Bolag Y vill även behandla kundernas adresser, för ändamålet att leverera klockor till kunderna. Bolaget bedömer att hanteringen av adresser är nödvändig och kan stödjas på den rättsliga grunden avtal.
  • Träningsklockorna kan användas för att till exempel mäta användarens sömn och puls. Användaren kan välja att använda en tillhörande app utformad av Bolag Y. Om kunden använder appen delar den sin data med bolaget, som erbjuder analys av hälsodatan. För att bolaget ska kunna genomföra denna personuppgiftsbehandling, för ändamålet att analysera hälsodata, krävs det rättsligt stöd i GDPR. Bolaget måste dessutom ta hänsyn till att hälsodata är känsliga personuppgifter, vilket det som huvudregel är förbjudet att behandla.

Checklista

Rättslig grund är A och O

  • 1

    Ni måste ha ett stöd i GDPR

    Det kan i vissa fall vara så att ni inte hittar ett stöd i GDPR. Då får ni inte hantera personuppgifterna som ni har tänkt. Mer om de olika rättsliga grunderna

  • 2

    Annan lagstiftning

    Tänk på att vissa personuppgifter även omfattas av annan lagstiftning, som till exempel patientdatalagen.

Nästa steg

Senast uppdaterad: 18 november 2022