Rättslig grund för personuppgiftsbehandling

För att en behandling av personuppgifter ska vara tillåten enligt dataskyddsförordningen (GDPR) krävs det att det finns en rättslig grund för behandlingen. Vilken grund vi använder vid KI varierar beroende på i vilken verksamhet personuppgifterna kommer att behandlas och för vilket ändamål.

KI är en statlig myndighet och grundar oftast personuppgiftsbehandlingar på:

  • uppgift av allmänt intresse eller myndighetsutövning
  • rättslig förpliktelse
  • avtal
  • samtycke

Övriga rättsliga grunder kan du läsa mer om hos Intergritetsskyddsmyndigheten 

Myndighetsutövning och uppgift av allmänt intresse

Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse. Av allmänt intresse är till exempel utbildning och forskning.

Rättslig förpliktelse

Rättslig förpliktelse föreligger då KI måste behandla personuppgifter enligt lagar eller andra regler. Ett exempel på detta är behandling som förekommer i och med KI:s bokföring, då KI måste följa bokföringslagen.

Avtal med den registrerade

Om personuppgiftsbehandlingen är nödvändig för att fullgöra, eller för att upprätta, ett avtal där den registrerade är part. Ett exempel på detta är personuppgiftsbehandling som krävs för att uppfylla ett anställningsavtal med den registrerade.

Samtycke från den registrerade

Den registrerade har samtyckt till personuppgiftsbehandlingen. I många fall är det inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke för en statlig myndighet. Utöver det ska ett samtycke även kunna återkallas, vilket innebär att personuppgifterna inte längre får behandlas av KI. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Checklista för de grundläggande principerna för dataskydd

  • Bestäm ändamålet: Varför ska ni behandla personuppgifter? Vad är syftet med behandlingen?
  • Hitta en rättslig grund: Vilken rättslig grund i dataskyddsförordningen stödjer ni er på när ni behandlar personuppgifter?
  • Informera de registrerade: Är informationen lätt att hitta och är den lätt att förstå för de registrerade?
  • Ha rätt uppgifter: Behandlar ni bara de personuppgifter som ni behöver för ändamålet? Har ni för mycket personuppgifter?
  • Skydda personuppgifterna: Har ni vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder? Har ni gjort en risk- och sårbarhetsanalys?
  • Radera eller gallra uppgifter: Har ni rutiner för att radera eller gallra personuppgifter när de inte längre behövs för ändamålet?
  • Visa att ni gör rätt: Har ni dokumenterat er personuppgiftsbehandling, inklusive beslut och överväganden? Har ni skapat interna riktlinjer för dataskydd och hantering av personuppgifter?