Till startsidan

Rättslig grund för behandling av personuppgifter

Den som vill behandla personuppgifter ska ha en god anledning att göra det. Det är en grundprincip i den nya dataskyddsförordningen, GDPR. Lagen kräver därför att det ska finnas en ”rättslig grund” för varje hantering.

När vi i HRF – föreningar, distrikt och förbund – behandlar medlemsuppgifter, deltagarlistor eller liknande måste vi kunna stödja oss på minst en av de rättsliga grunder som anges i GDPR (artikel 6). Fyra av dessa är relevanta för föreningar och distrikt:

Intresseavvägning. Detta handlar om att väga föreningens/distriktets intresse av att behandla personuppgifter för ett aktuellt ändamål mot den enskildes behov av personlig integritet. Vad väger tyngst? Väger till exempel ert behov av att sammanställa en deltagarlista tyngre än de anmälda deltagarnas behov av att inte bli listade?
Exempel: Deltagarlista inför ett seminarium

Avtalsförhållande. Ibland är det nödvändigt att samla in och behandla personuppgifter för att kunna uppfylla ett avtal med den person som registreras.  Det gäller till exempel när en person registreras som medlem. Det kan också handla om att kunna vidta åtgärder på begäran av den som registreras, innan ett avtal ingås.
Exempel: Medlemsregister, tryckeriavtal

Rättslig förpliktelse. I vissa fall kräver lagen att vi registrerar personuppgifter.
Exempel: Personuppgiftsbehandling som faller under bokföringslagen och sådant som är kopplat till anställningar. 

Samtycke. Om ingen av de andra rättsliga grunderna passar in behöver ni i föreningen/distriktet inhämta samtycke från den registrerade personen. Hen behöver i så fall lämna samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål.
Exempel: Nyhetsbrev till personer som inte är medlemmar, men har anmält intresse

I GDPR anges ytterligare två rättsliga grunder: ”Intressen av grundläggande betydelse” samt ”Allmänt intresse/Myndighetsutövning”. Dessa rättsliga grunder är under normala omständigheter inte relevanta för föreningar eller distrikt.

Välj rättslig grund med omsorg

De olika rättsliga grunderna kan vara mer eller mindre lämpliga för olika sammanhang. Det gäller att hitta den rättsliga grund som passar med den egna verksamheten och de personuppgiftsbehandlingar som utförs/planeras.

Tänk på att personuppgifter som samlas in för ett visst syfte, inte får användas för helt andra syften vid ett senare tillfälle. Det gäller alltså att tänka igenom framtida användning redan från början. Det går inte heller att byta rättslig grund för en personuppgiftsbehandling i efterhand, utan att informera de registrerade om detta.

Läs mer om de rättsliga grunderna i GDPR på Dataskyddsinspektionens webb.

Känsliga uppgifter

Artikel 9 i dataskyddsförordningen, GDPR, anger ett antal uppgifter som är extra skyddade – så kallade känsliga uppgifter.
Dessa är:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • behandling av genetiska uppgifter
  • biometriska uppgifter för att entydigt identifiera en fysisk person
  • uppgifter om hälsa (till exempel information om hörselskada)
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning