Behandling av personuppgifter
När personuppgifter behandlas blir GDPR tillämplig. Behandlingen är ett vitt begrepp och det kan avse en rad olika åtgärder. Det omfattas alla typer av användningar av personuppgifter: allt från att man läser dem, ändrar dem eller sprider dem till lagring, radering, förstöring, inhämtning och delning.
Även speciella typer av användning av personuppgifter som profilering och automatiserade beslut är exempel på behandlingar.
De lagliga grunderna
GDPR anger att varje behandling av personuppgifter måste vila på en laglig grund. Behandling av personuppgifter får därför vara ske under de omständigheter som särskilt anges i art. 6.1 GDPR. Någon av följande lagliga grunder eller kombinationer av grunder måste vara för handen för att en organisation ska få behandla varje enskild personuppgift:
- Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller specifika ändamål (läs mer);
- Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingår(läs mer);
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (läs mer);
- Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person;
- Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning ;
- Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (läs mer).
Övergripande principer för all behandling
Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de lagliga grunder som anges i GDPR är uppfylld, omgärdas varje behandling av personuppgifter av mer specifika krav.
Den första principen är att personuppgifter ska behandlas på ett laglig, korrekt och öppet sätt i förhållande till den registrerade. Vidare ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Principen om att ändamålen ska vara berättigade utgör en direkt koppling till de lagliga grunderna som presenteras ovan. Ett ändamål som inte är berättigat i förhållande till den tillämpliga lagliga grunden är således inte förenlig med GDPR.
den organisation som behandlar personuppgifter måste leva upp till regleringarna rörande principer för behandlingar av personuppgifter (art. 5) och laglig behandling av personuppgifter (art. 6) i GDPR. Detta innebär att organisationen som behandlar personuppgifter måste leva upp till följande sju principer i all sin behandling:
- Laglighet, korrekthet och öppenhet;
- Ändamålsbegränsning;
- Uppgiftsminimering;
- Korrekthet;
- Lagringsminimering;
- Integritet och konfidentialitet; och
- ansvarsskyldighet.
Liknande artiklar
- Arkivering och gallring
- Behandling av känsliga personuppgifter
- Behandling på grund av allmänt intresse
- Behandling på grund av avtal
- Behandling på grund av berättigat intresse
- Behandling på grund av en rättslig förpliktelse
- Behandling vid myndighetsutövning
- Dataskyddsombud
- Den personuppgiftsansvarige
- Den registrerades rättigheter
- Inhämtande av samtycke
- Personlig integritet
- Personuppgifter
- Personuppgiftsbiträde
- Personuppgiftsbiträdesavtal
- Sanktionsavgifter enligt GDPR