Begreppet rättslig grund brukar dyka upp i samband den nya dataskyddsförordningen (GDPR), ofta i kombination med ordet samtycke. Men vad betyder det egentligen för dig och din organisation?
Pling! Där landade ännu ett trist nyhetsbrev i inkorgen. Innan du raderar det sneglar du snabbt på vem som skickat det: ”70 % rabatt på Tapetkungen – 2 dagar kvar!”.
Just ja, du köpte nya tapeter för ett par veckor sedan. Men bad du verkligen också om att bli kontaktad av säljaren en gång i veckan för all framtid?
Du kan också vända på frågan: Har avsändaren verkligen rättsligt stöd till att lagra dina uppgifter? Och på vilken rättslig grund har de tillåtelse att kontakta dig på det här sättet?
Vad menas med rättslig grund och rättsligt stöd?
Enligt den nya dataskyddsförordningen måste ett företag tydligt kunna peka ut med vilket rättsligt stöd de behandlar personuppgifter.
Företaget kan peka på flera rättsliga grunder, exempelvis:
- Personuppgifterna är nödvändiga för att fullfölja ett avtal med den registrerade eller fullgöra en rättslig förpliktelse
- Uppgifterna behövs för att skydda den registrerades intressen
- Organisationen behöver uppgifterna för att utföra en uppgift av allmänt intresse eller för myndighetsutövning
Rättslig grund kan också stödja sig på något som kallas intresseavvägning. Då behöver skälen till att företaget behandlar personuppgifter väga tyngre än den registrerades integritet.
Personnummer eller känsliga personuppgifter (ex. medlemskap i fackföreningar, etniskt ursprung eller sexuell läggning) får dock aldrig lagras enbart utifrån en intresseavvägning, utan behöver alltid luta sig mot något annat rättsligt stöd.
Samtycke är alltid säkrast
Intresseavvägning kan dock vara en lös rättslig grund att stå på. Och i och med den nya dataskyddsförordningen kommer konsekvenserna att bli hårda för den som inte har torrt på fötterna.
Därför är den säkraste varianten av rättslig grund att se till att den registrerade har lämnat samtycke till att lämna ifrån sig sina personuppgifter.
Om vi går tillbaks till reklammejlet i din inkorg skulle avsändaren från och med 25 maj 2018 – då GDPR införs – vara tvungen att kunna bevisa att du har godkänt att dina uppgifter lagras hos dem. De måste också kunna bevisa att du godkänt att de får använda dina personuppgifter (t.ex. din e-post) i marknadsföringssyfte.
Dessutom behöver de låta dig få tillgång till uppgifterna som lagrats om dig, rätta dem om nödvändigt och dra tillbaks ditt samtycke lika enkelt som du gav det.
Det smidigaste sättet att undvika missar (och dryga böter) kring hantering av samtycke är att använda Konsento, vårt molnbaserade verktyg för samtyckeshantering.
Med Konsento efterlever du både kraven i dataskyddsförordningen och gör det lätt för dina kunder att hålla kolla på sina medgivanden och lagrade uppgifter. Datainspektionen blir glad, dina kunder likaså – och du kan sova gott på natten, utan att oroa dig för prickar eller böter.