Rättslig grund för personuppgiftsbehandling
För att en behandling av personuppgifter ska vara tillåten enligt dataskyddsförordningen (GDPR) krävs det att det finns en rättslig grund för behandlingen. Vilken grund vi använder vid KI varierar beroende på i vilken verksamhet personuppgifterna kommer att behandlas och för vilket ändamål.
Samtycke från den registrerade
Den registrerade har samtyckt till personuppgiftsbehandlingen. I många fall är det inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke för en statlig myndighet. Utöver det ska ett samtycke även kunna återkallas, vilket innebär att personuppgifterna inte längre får behandlas av KI. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.
Avtal med den registrerade
Om personuppgiftsbehandlingen är nödvändig för att fullgöra, eller för att upprätta, ett avtal där den registrerade är part. Ett exempel på detta är personuppgiftsbehandling som krävs för att uppfylla ett anställningsavtal med den registrerade.
Rättslig förpliktelse
Rättslig förpliktelse föreligger då KI måste behandla personuppgifter enligt lagar eller andra regler. Ett exempel på detta är behandling som förekommer i och med KI:s bokföring, då KI måste följa bokföringslagen.
Skydda grundläggande intressen
Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om denne är medvetslös.
Myndighetsutövning och uppgift av allmänt intresse
Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse. Av allmänt intresse är till exempel utbildning och forskning.
Intresseavvägning
Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet. (Intresseavvägning är inte en rättslig grund för den personuppgiftsbehandling som utförs av KI.)
KI är en statlig myndighet och grundar oftast personuppgiftsbehandlingar på:
- uppgift av allmänt intresse eller myndighetsutövning
- rättslig förpliktelse, eller
- avtal