När får vi behandla personuppgifter?

Svar

Ert företag/er organisation får bara behandla personuppgifter under följande omständigheter:

• när det finns samtycke från de berörda enskilda personerna,
• när det finns en avtalsmässig skyldighet att göra det (ett avtal mellan ert företag/er organisation och en kund).
• för att uppfylla en juridisk skyldighet (enligt EU-lagstiftning eller nationell lagstiftning).
• när det är nödvändigt med behandling för att fullgöra en uppgift som utförs i allmänt intresse (enligt EU-lagstiftning eller nationell lagstiftning).
• för att skydda en enskild persons grundläggande intressen.
• för er organisations berättigade intressen, men först efter att ha kontrollerat att de grundläggande rättigheterna och friheterna för den person vars uppgifter ni behandlar inte påverkas allvarligt. Om personens rättigheter väger tyngre än era intressen, så kan behandling inte ske utifrån ett berättigat intresse. Bedömningen av om ert företag/er organisation har ett berättigat intresse av behandling aom väger tyngre än de berörda personernas intressen beror på omständigheterna i det enskilda fallet.

Exempel

Samtycke
Ert företag/er organisation erbjuder en musikapp och ber om användarnas samtycke till att behandla deras musikaliska önskemål för att kunna föreslå skräddarsydda låtar och möjliga konserter för dem.

Avtalsmässig skyldighet
Ert företag/er organisation säljer varor online. Det/den får behandla uppgifter som är nödvändiga för att vidta åtgärder på den enskilda personens begäran innan ni ingår avtalet och för att fullgöra avtalet. Alltså kan ni behandla namn, leveransadress, kreditkortsnummer (vid betalning med kort) osv.

Rättslig skyldighet
Ni äger ett företag med anställda. För att omfattas av regler om social trygghet måste ni enligt lagen lämna ut personuppgifter (t.ex. era anställdas veckovisa inkomst) till relevant myndighet.

Allmänt intresse
Exempel: en yrkesorganisation som ett advokatsamfund eller en sammanslutning för sjukvårdspersonal kan, om de har officiell befogenhet att göra det, vidta disciplinära åtgärder mot en del av sina medlemmar.

En persons grundläggande intressen
Ett sjukhus behandlar en patient efter en svår trafikolycka. Sjukhuset behöver inte patientens  samtycke för att söka efter hans eller hennes ID för att se om han eller hon finns i sjukhusets databas i syfte att hitta hans eller hennes journal eller kontakta hans eller hennes anhöriga.

Er organisations berättigade intressen
Ert företag/er organisation tryggar nätverkssäkerheten genom att övervaka de anställdas IT-användning. Ert företag/er organisation kan legitimt behandla personuppgifter för detta ändamål endast om den minst inkräktande metoden används vad gäller de anställdas rätt till integritetsskydd  och dataskydd, till exempel genom att begränsa tillgången till vissa webbplatser. (Lägg märke till att detta inte är möjligt i medlemsstater i EU där nationella lag föreskriver strängare regler för behandling i anställningssammanhang.)

Referenser

• Artikel 6; skäl 40– 49
• Artikel 29-arbetsgruppens yttrande 06/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E