Rättslig grund för behandlingen

Stöd för bedömningen av rättslig grund för en personuppgiftsbehandling enligt dataskyddsförordningen. Att det finns en rättslig grund för behandlingen av personuppgifter är en förutsättning för att behandlingen ska vara laglig.

En tumregel är att ju större integritetsintrång som en behandling kan utgöra, desto tydligare och mer precist specificerad bör den rättsliga grunden [1] för behandlingen vara. Kom ihåg att det krävs särskilda rättsliga grunder för att få behandla, känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer samt samordningsnummer.

För offentlig förvaltning aktualiseras oftast de rättsliga grunderna

  • rättslig förpliktelse [2]
  • uppgift av allmänt intresse [3]
  • myndighetsutövning. [4]

För dessa tre rättsliga grunder gäller att behandlingsgrunden ska fastställas i unionsrätt eller nationell rätt [5]. Det innebär att det utöver ett stöd i dataskyddsförordningen även krävs ytterligare rättsligt stöd. Det är den rättsliga grunden, inte själva personuppgiftsbehandlingen, som ska fastställas. I svensk rätt kan den rättsliga grunden fastställas i

  • lag eller annan författning
  • kollektivavtal
  • beslut som har meddelats med stöd av lag eller annan författning.

Offentlig förvaltnings uppgifter framgår av exempelvis kommunallagen, speciallagstiftning, myndighets instruktion, regleringsbrev eller liknande. Om personuppgiftsbehandlingen är nödvändig för en sådan uppgift talar det för att de ändamål för vilka personuppgifter behandlas kan anses berättigade. Det talar också för att det bland de tre ovanstående rättsliga grunderna finns en tillämplig rättslig grund för behandlingen.

Personuppgiftsbehandlingen ska också vara nödvändig [6] i förhållande till den rättsliga grunden. Nödvändighetskriteriet kan anses uppfyllt om det bidrar till effektivisering [7]. Kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering.

Stödfrågor för att bedöma rättslig grund för behandlingen

  1. Vilken rättslig grund i dataskyddsförordningen stödjer sig behandlingen på?
  2. Finns det kompletterande nationella eller unionsrättsliga bestämmelser med stöd av vilken behandlingen kan ske?
  3. Är behandlingen nödvändig för att utföra uppgiften av allmänt intresse, myndighetsutövning eller den rättsliga förpliktelsen?
  4. Har ni gjort en bedömning av integritetsintrånget i relation till hur pass tydligt och precist specificerad den rättsliga grunden för behandlingen är?

Källhänvisningar

[1] Artikel 6.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[2] Artikel 6.1 c i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[3] Artikel 6.1 e i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[4] Artikel 6.1 e i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[5] Artikel 6.3 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt jfr Ny dataskyddslag, prop. 2017/18:105 s. 49 (riksdagen.se) Länk till annan webbplats.

[6] Ny dataskyddslag, prop. 2017/18:105 s. 50 (riksdagen.se) Länk till annan webbplats.

[7] Ny dataskyddslag, prop. 2017/18:105 s. 46-47 (riksdagen.se) Länk till annan webbplats.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: