Information eller samtycke vid behandling av personuppgifter?

Idag står många organisationer inför liknande frågeställningar kring GDPR och en hel del av diskussionerna är hur GDPR skall tolkas. En punkt som det ofta är diskussion kring är när man skall begära samtycke och när det räcker med att enbart informera kunden/användaren om att man lagrar deras personuppgifter. Hur ser då denna information till användaren ut?

Många system innehåller enbart personuppgifter som är okänslig som tex namn, adress, telefonnummer. Hur skall man tänka i dessa situationer? I GDPR så beskrivs detta i artikel 6, laglig grund för varför man behandlar uppgifter. Artikeln har följande paragrafer som är grund till laglig behandling:

  • Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
  • Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Berättigat intresse innebär att det görs en intresseavvägning mellan nyttan av behandlingen och risken för enskildas personliga integritet. Kan man inte ta stöd i sin behandling av någon av dessa punkter ovan så är behandlingen olaglig.

Undantaget för intresseavvägning (punkten 6 ovan) är tänkt för att göra det möjligt att hantera viss information utan samtycke, vilket är OK så länge det finns ett ”berättigat intresse” och den registrerades intresse att bli tillfrågad först ”inte är alltför starkt i förhållande till det berättigade intresset”.

Om risken för att registrerades personliga integritet blir kränkt är större än den nytta personen och organisationen kommer att ha med behandlingen kan denna grund inte hävdas. Här kan man hitta olika skäl till vad som är berättigat. Tex så finns det angivet i skäl 47 att direktmarknadsföring är ok. Tänk på att ju känsligare behandlingen är desto svårare kommer det bli att hävda denna grund.

Enligt Datainspektionen så har reglerna kring intresseavvägningar inte ändrats i någon högre grad jämfört med PUL. Har man frågor kring intresseavvägningar i GDPR så hänvisar Datainspektionen till en broschyr om intresseavvägningar under Personuppgiftslagen.

Vår uppfattning är att när man behandlar ej känsliga uppgifter behöver man inte begära samtycke för detta. Det räcker i merparten av fallen med att den registrerade delges information att man har tillgång till uppgifterna. I informationen skall personens rättigheter finnas med, såsom:

  • Varför man har uppgifterna
  • Vilken typ av uppgifter man registrerar
  • Vilka som har rätt att använda dem (speciellt om man lämnar ut till tredje land)
  • Hur länge man har uppgifterna innan man gallras bort
  • Att man har rätt att raderas ur systemen (med vissa begränsningar)
  • Rätt att klaga till tillsynsmyndighet
  • Rätt att få reda på vart informationen har kommit, om man inte registrerat dem själv
  • Om någon typ av automatiskt beslutsfattande görs på min data.
  • Rätt att få ett utdrag av all information som man har.

Här gäller det att vara uppmärksam på att man lagrar uppgifter på för många olika syften inom en organisation. tex att en tjänst kan ha en viss lagringstid pga. t.ex. bokföringslagen medan en annan tjänst kan man bara lagra uppgifterna kortare perioder. Grundregeln är ju att bara lagra data så länge som man har behov av det.

Hur ger man information till användaren på ett korrekt sätt?

GDPR och PuL kräver att informationen når den registrerade. Man måste informera på en plats som man vet den registrerade besöker. Så om personen lägger in sina uppgifter i t.ex. ett anmälningsformulär på en hemsida där man vet den registrerade är inne kan man lägga in informationen på hemsidan. Men om man inte har anledning att tro, eller inte vet, om den registrerade är inne och läser på hemsidan, t.ex. man har bara telefonkontakt med den registrerade, då måste man muntligt eller på annat sätt informera den registrerade om vart den kan läsa informationen. Informationen måste lämnas individuellt och kan inte informeras generellt på hemsidan såvida man inte har undantag från informationsskyldigheten.

Nedan finns några länkar på i samma ämne samt information från Datainspektionen

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/samtycke/

https://www.24solutions.com/sv/blogg/gdpr-laglig-grund-och-samtycke/

http://www.multisoft.se/blogg/sex-anledningar-till-att-din-hantering-av-personuppgifter-ar-laglig-aven-gdpr/

Fotnot, vilken data är känslig enligt GDPR

Enligt artikel 9 finns ett antal uppgifter som är skyddade, dessa är:

  • ras eller etniskt ursprung
  • politiska åsikter,
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person,
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning
By | 2017-09-29T19:01:46+00:00 september 27th, 2017|Categories: Uncategorized|1 Comment

About the Author:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR.

One Comment

  1. Anders Nordlander november 15, 2017 at 1:11 e m

    Upphovsrättslagstiftning kontra GDPR , vad gäller juridiskt kopplat till dessa lagstiftningar kopplat till personuppgifter se exempel på länk:

    https://helpx.adobe.com/se/stock/contributor/legal/terms.html

    Denna frågeställningen har uppkommit i såväl marknadsföringsperspektiv som arbetsgivarperspektiv kopplat till såväl utbildningsmaterial som foton och webbsidor för ett antal av våra kunder och tolkning om dessa foton kan vara personuppgifter. Vad avgör om foton är personuppgifter ?

    Exempel:
    Om jag som anställd ger samtycke till att använda ett foto på mig i marknadsföring, kan jag ta tillbaka det senare och då tvinga min arbetsgivare att ta bort bild och helt bygga om hemsidor osv. om jag skall följa dataskyddsförordningen rent juridiskt.

    Det finns en massa olika scenarion som behöver hanteras men ovanstående är ett aktuellt exempel idag.

Leave A Comment