27 mars 2017
Sex anledningar till att din hantering av personuppgifter är laglig även under GDPR!
Får man skrämmas hur mycket som helst, bara det handlar om GDPR? Kommer allt att bli förbjudet när GDPR träder i kraft? Ibland är det lätt att tro det... Jag var på ett föredrag om Dataskyddsförordningen för några veckor sedan. Jag hade sett fram emot föredraget länge, mycket eftersom talaren kom från en välkänd revisionsbyrå. Han presenterades också som senior inom området. Tyvärr blev jag nästan omedelbart besviken. Föredraget bestod (lite hårdraget) av skrämselpropaganda uppblandat med direkta felaktigheter.
Troligen, men det är oklart...
Det som först fick mig att koka över var när föredragshållaren sa att all behandling under GDPR kräver den registrerades samtycke. På direkt fråga svarade föredragshållaren att även den som är lagligt skyldig spara information troligen måste ha den registrerades samtycke att göra det, men att rättsläget var oklart! Visst, han smög in ett troligen i sitt svar, men det gör inte svaret särskilt mycket bättre. Om han hade haft rätt så skulle det ju troligen innebära att du måste samla in samtycken för att spara information om ”kundens referens” på dina fakturor!
Sex olika undantag för att behandla personuppgifter
Men samtycke är absolut inte det enda i GDPR som kan göra din hantering av personuppgifter laglig. Faktum är att det finns hela sex olika undantag från det allmänna förbudet att lagra och behandla personuppgifter. Om din hantering av personuppgifter faller in under ett enda av undantagen, så har du laglig grund för din behandling. Observera att det inte alltid räcker med att det finns laglig grund – det krävs ibland mer formalia innan du är helt hemma. (Ibland finns det en informationsplikt, den registrerade har alltid rätt till rättelse mm, ibland har den registrerade rätt att bli glömd… allt beror på situationen! GDPR innehåller även starka formuleringar kring dokumentation av vilken laglig grund som registrering/behandling vilar på.) Här kommer undantagen i Dataskyddsförordningens som kan göra din hantering av personuppgifter laglig:
- Om den registrerade samtyckt till behandlingen.
- Om du har (eller tänker skaffa) ett avtal med den registrerade. Tänk anställningsavtal, hyresavtal mm. (Bara de uppgifter som är nödvändiga för avtalets ingående och uppfyllande får registreras!).
- Om personuppgiftsansvarig har en laglig skyldighet att lagra informationen. Tänk exempelvis bokföring, lagstiftning kring penningtvätt mm. (Vad som är tillåten behandling här beror på vilket lagrum du hänvisar till.)
- Om behandlingen är nödvändig för att ”skydda intressen som är av avgörande betydelse för den registrerades eller andra fysiska personers liv”. (Jag gissar lite här, men tänk någon sorts nödvärnsrätt som kan användas när den berörda personen själv inte kan lämna samtycke och behandlingen ändå är nödvändig.)
- Om behandlingen är nödvändig ”för att genomföra en uppgift av allmänt intresse” eller som ”ett led i den personuppgiftsansvariges myndighetsutövning. Tänk ”forskning, folkhälsa mm” och ”registrering som är nödvändig för att en myndighet ska kunna sköta sina uppgifter”.
- Om den som bedriver verksamhet (eller en tredje part) har ”ett berättigat intresse” av att hantera personuppgifterna. Under vissa omständigheter är det då möjligt att göra en intresseavvägning som ger rätt att hantera personuppgifter utan samtycke.
Som synes finns det många skäl som kan göra din hantering av personuppgifter laglig. Den exakta ordalydelsen finner du i Dataskyddsförordningens sjätte artikel.
Berättigade intressen
Undantaget för intresseavvägning (punkten 6 ovan) är tänkt för att göra det möjligt att hantera viss information utan samtycke, vilket är OK så länge det finns ett ”berättigat intresse” och den registrerades intresse att bli tillfrågad först ”inte är alltför starkt i förhållande till det berättigade intresset”. Det finns flera exempel på ”berättigade intressen”, bland annat marknadsföring och arbetsledningsrätt kan ge rätt att lagra och behandla personuppgifter utan samtycke. Känns det luddigt? Det är det, men det vore heller inget bra alternativ om lagstiftningen skulle räkna upp alla tillåtna fall. Enligt Datainspektionen så har reglerna kring intresseavvägningar inte ändrats i någon högre grad jämfört med PUL. Har man frågor kring intresseavvägningar i GDPR så hänvisar Datainspektionen i skrivande stund faktiskt till en broschyr om intresseavvägningar under Personuppgiftslagen. Den skulle jag gärna se i en ny utgåva som anpassats för GDPR.
Jag ska inte påstå att jag förstått GDPR fullt ut, men en sak är jag rimligt säker på: Syftet med GDPR är inte att skjuta din verksamhet i sank. Har du en god anledning att hantera personuppgifter, så finns det också en väg fram till en laglig hantering. Leta upp den lagliga grunden och strunta i skrämselpropagandan, så är du en god bit på väg!
Vill du läsa mer om GDPR och compliance kan du kika vidare på vår GDPR FAQ