Personuppgifter får endast behandlas om det finns rättslig grund för behandlingen.
Den rättsliga grunden ska fastställas innan behandling påbörjas enligt någon av nedan punkter. De rättsliga grunder som oftast är aktuella för Helsingborg stad att använda sig av är avtal, rättslig förpliktelse samt myndighetsutövning och allmänt intresse.
Personuppgifter får behandlas om den enskilde samtycker till att sådan behandling sker.
För att det ska vara lämpligt att stödja en behandling på samtycke så måste samtycket vara frivilligt. Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Den registrerade får exempelvis inte drabbas av negativa konsekvenser om den inte lämnar sitt samtycke.
För att samtycke ska kunna användas som rättslig grund måste maktförhållandet mellan den personuppgiftsansvarige och den registrerade också vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, och mellan arbetsgivare och arbetstagare. Om det råder ett ojämlikt maktförhållande kan vi inte stödja oss på samtycke.
Integritetsskyddsmyndigheten ger följande exempel på situationer då en myndighet respektive arbetsgivare ändå kan använda sig av samtycke som rättslig grund:
Exempel 1: En kommunal nämnd planerar vägarbeten. Nämnden erbjuder invånarna möjlighet att anmäla sig för att få uppdateringar via e-post. Nämnden är tydlig med att det är frivilligt att anmäla sig och inhämtar samtycke för att använda e-postadresserna för endast detta ändamål. Invånare som inte vill delta har inte gått miste om någon grundläggande service från myndigheten. Informationen finns även publikt på kommunens hemsida.
Exempel 2: En arbetsgivare vill filma på delar av kontoret. Arbetsgivaren frågar alla medarbetare som sitter på den berörda delen av kontoret efter deras samtycke, eftersom de kan synas i bakgrunden på filmen. De som inte vill bli filmade ska inte drabbas av några negativa konsekvenser, utan får istället likvärdiga arbetsplatser någon annanstans i byggnaden under den tid som filminspelningen pågår.
Att tänka på när samtycke används som rättslig grund är att den registrerade alltid har rätt att när som helst återkalla sitt samtycke. All behandling av den registrerades personuppgifter för det syfte som samtycket omfattat måste därmed upphöra. Återkallandet av samtycket påverkar dock inte lagligheten av den behandling av personuppgifterna som skett innan återkallelsen skedde.
På grund av ovanstående är det i många fall inte lämpligt eller kanske inte ens möjligt för oss att stödja oss på den registrerades samtycke som rättslig grund för en behandling. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.
Väljer man ändå att utföra en personuppgiftsbehandling som stödjer sig på samtycke som rättslig grund så ska man komma ihåg att det är personuppgiftsansvarig som ansvarar för att ett giltigt samtycke har inhämtas. Personuppgiftsansvarig behöver också kunna visa både att den registrerade har fått relevant information och att samtycket uppfyller uppställda krav. Följande måste därför alltid dokumenteras:
Personuppgifter får behandlas om en person, om denne har ett avtal med eller ska ingå ett avtal med den personuppgiftsansvarige och behandlingen är nödvändig för att fullgöra avtalet.
Exempel 1: Stadens nämnder får i egenskap av arbetsgivare behandla personuppgifter om sina anställda för att kunna uppfylla anställningsavtal, till exempel för löneberäkning, registrering av sjukfrånvaro eller i ett flextidssystem.
Exempel 2: Kulturskolan får för att kunna fullgöra ett avtal med sina elever behandla, till exempel namn och adressuppgifter, för att kunna tillhandahålla musikundervisning eller skicka fakturor.
Personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som framgår av lag eller annan författning, av kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning.
Den rättsliga förpliktelsen kan exempelvis vara utformad så att det i lag anges att kommunen är skyldig att lämna vissa uppgifter till en annan myndighet eller till en domstol. Det är då tillåtet för kommunen att behandla sådana personuppgifter om registrerade som är nödvändiga för att kunna uppfylla denna uppgiftsskyldighet.
Exempel på sådana förpliktelser:
Det är också tillåtet för en personuppgiftsansvarig att behandla personuppgifter om det är nödvändigt för att rädda den registrerades eller någon annan persons liv. Det kallas att skydda intressen som är av grundläggande betydelse. I huvudsak handlar det om tillfällen när den registrerade inte kan fatta beslut eller lämna samtycke, till exempel om en person är medvetslös.
Exempel: En person har plötsligt blivit sjuk och förlorat medvetandet. Vård och räddningstjänst får då behandla personuppgifter för att kontrollera blodgrupp och sjukdomshistoria och för att kontakta anhöriga.
Observera att den här rättsliga grunden endast kan användas i mycket begränsad omfattning, den gäller exempelvis inte om den aktuella vårdinsatsen är planerad (då är en annan rättslig grund tillämplig).
Personuppgifter får behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
För att en uppgift ska anses vara av allmänt intresse ska uppgiften ha stöd i lag eller annan författning, i kollektivavtal eller i beslut som har meddelats med stöd av lag eller annan författning.
Uppgifter som kommunen ålagts att utföra genom lag (obligatoriska uppgifter) är av allmänt intresse. Kommuner har också en vidsträckt möjlighet att göra frivilliga åtaganden. Sådana frivilliga åtaganden kan också utgöra uppgifter av allmänt intresse. Som exempel på uppgifter som kommuner utför på frivillig grund men som är av allmänt intresse anges på Integritetsskyddsmyndighetens hemsida, bland annat tillhandahållande av bostäder och fritids- och idrottsanläggningar samt åtgärder för att främja ortens näringsliv och annan kulturell verksamhet.
Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
Observera att denna rättsliga grund enligt dataskyddsförordningen inte kan användas av myndigheter när de utför sina uppgifter.