Rättslig grund för behandling av personuppgifter

Dataskyddsförordningen (GDPR) är en EU-förordning och gäller som svensk lag. Förordningen innehåller 99 artiklar och gäller lika över hela EU.

När ni vill behandla personuppgifter i er verksamhet måste ni följa dataskyddsförordningen (GDPR). Ni måste bland annat stödja er på någon av de rättsliga grunderna. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Den här guiden syftar till att ge vägledning till arbetet med att hitta rätt rättslig grund för personuppgiftsbehandling.

Personuppgifter är allt som kan identifiera en registrerad. IP-nummer, personnummer, adress, foto, tatueringar, frisyr, biometrisk information med mera.

Vi inleder med vilka de rättsliga grunderna är och går sedan in på hur de kan tillämpas. Sedan lyfter vi fram några rättsfall. Avslutningsvis finner ni lagtexten om artikel 30.

Det finns sex rättsliga grunder att grunda personuppgiftsbehandlingen på vilket regleras i artikel 6 - 11. Här följer en kortfattad presentation.

Samtycke
Den registrerade har sagt ja till en specificerad personuppgiftsbehandling.

Avtal
Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvariga.

Intresseavvägning
Personuppgiftsansvarig får behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.

Rättslig förpliktelse
Det finns lagar eller regler som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet.

Myndighetsutövning och uppgift av allmänt intresse
Personuppgiftsansvarig måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Grundläggande intresse
Personuppgiftsansvarig måste behandla personuppgifter för att skydda en registrerad som är oförmögen att sitt lämna samtycke, exempelvis vid medvetslöshet.

Ett samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen. Ofta är det dock inte lämpligt eller ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Samtycke innebär att den registrerade på egen fri vilja godkänner att ni får behandla den registrerades personuppgifter. Ett samtycke kan tas tillbaka när som helst och hur som helst av den registrerade. Om ni inte tar bort personuppgifterna omedelbart, så är det brott mot GDPR och ni kan dömas till sanktionsavgifter. Ett samtycke får inte villkoras så att den som inte lämnar sitt samtycke på något sätt straffas.

Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige (företag/organisation) kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Bevisbördan ligger alltid på den personuppgiftsansvarige.

Ett samtycke ska utformas så att den registrerade förstår att hen när som helst kan ta tillbaka sitt samtycke. Det kan vara digitalt eller i pappersform. Den registrerade ska också meddelas om att personuppgifterna behandlas under den tid som uppgiften är aktuell. Sen måste uppgiften raderas. Om det t ex är en lista med prenumerationer kan man spara så länge samtycket finns och så länge prenumerationen gäller. Då kan företaget meddela den registrerade en gång om året om att personuppgifterna hanteras på företaget.

Får ett företag använda mitt personnummer?

För att det ska vara lagligt att behandla ett personnummer krävs det som huvudregel att du har lämnat ditt samtycke till detta, vilket alltid ska vara frivilligt. Det kan vara lagligt att behandla personnummer även utan samtycke, men då ska det vara klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. En annan rättslig grund måste då finnas.

Ett samtycke kan exempelvis inhämtas för att den registrerades foto ska få användas på företagets hemsida eller att en registrerad godkänt att förekomma på en sändlista.

Det måsta vara tydligt för den registrerade vilken typ av behandling som avses, tydliga och avgränsade ändamål, vilka personuppgifter som kommer att behandlas och hur länge de kommer att lagras. Den registrerade ska alltså vara införstådd med vad som ska göras med personuppgifterna.

Som alltid ska Artikel 5 beaktas vid behandling av personuppgifter:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Avtal som rättslig grund är rätt när något slags avtal ska tecknas eller har tecknats. Det krävs då att personuppgiftsbehandlingen är nödvändig, antingen för att fullgöra avtalet med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. Det här gäller bara avtal som den registrerade har ingått eller planerar att ingå.

Personuppgiftsbehandling som kan vara nödvändig i samband med avtal är kund- och personaladministrativa system för bland annat fakturering respektive löneberäkning.

Arbetsgivare får behandla personuppgifter om en anställd för att kunna uppfylla anställningsavtalet, exempelvis för löneberäkning, registrering av sjukfrånvaro eller i ett flextidsystem.

Företag får behandla personuppgifterna för leverantörer och kunder för att kunna fullgöra ett avtal med dem. Exempelvis kontaktuppgifter och adressuppgifter för att kunna leverera en vara eller skicka en faktura.

Vad händer om sportaffären vill registrera vilka sporter kunden är intresserad av? Och hur ska mataffären göra om de vill kartlägga vilken mat kunden föredrar?

För att få registrera fler uppgifter om kunden än vad som behövs för att uppfylla avtalet måste kunden frågas om lov först, det vill säga inhämta kundens samtycke innan ytterligare personuppgifter registreras.

Behandling av personuppgifter kan behöva göras redan innan avtal ingås. Exempelvis när det behöver kontrolleras om den registrerade har nödvändiga tillstånd, att säljaren av en fastighet har en lagfart eller firmatecknare för ett företag.

Rätten till dataportabilitet kräver avtal eller samtycke

Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll, till exempel en annan social medietjänst. Det kan också handla om att få dem överförda till en annan personuppgiftsansvarig exempelvis mellan försäkringsbolag eller banker, förutsatt att det är tekniskt möjligt. Detta kallas rätten till dataportabilitet. Som personuppgiftsansvariga är ni skyldiga att underlätta en sådan överflyttning av personuppgifter. Rätten till dataportabilitet gäller bara sådana personuppgifter som den registrerade själv har lämnat, via samtycke eller avtal.

Onlinetjänster

Det är viktigt att de som ska tillhandahålla en onlinetjänst tänker igenom och preciserat dokumenterar för vilka ändamål de kommer att samla in, bearbeta, lagra och på andra sätt behandla användarnas personuppgifter. Det behöver göras innan ni påbörjar insamlingen. Inom ramen för ett avtalsförhållande kan det finnas olika ändamål med behandlingen och därmed olika rättsliga grunder för olika delar av behandlingen.

Den registrerade kan begära att personuppgiftsansvarig vidtar åtgärder som ska skydda den registrerade som ska ingå avtal. Det kan vara att det sköts över säker anslutning eller på en säker digital plats.

Den personuppgiftsansvariga får behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Ni ska alltid väga mellan de två olika intressena. Är det så att företagets/organisationens intresse väger tyngre kan ni använda denna lagliga grund. Ett exempel för att förtydliga intresseavvägningen. När en kund köper en bil och det ingår en massa tjänster och digitala tillbehör som företaget måste hantera för att bilen ska fungera som tänkt. Då är företagets intresse att leverera dessa på bästa sätt ett berättigat intresse. Kunden måste då acceptera att företaget hanterar kundens personuppgifter med denna lagliga grund.

Intresseavvägning/berättigat intresse används även vid olika sorters prenumerationer, för att tjänsten ska fungera på det sätt ni har kommit överens om. Då måste företaget hantera personuppgifter på ett säkert sätt.

Det finns lagar och regler som ger den personuppgiftsansvariga rätt att behandla personuppgifter men gör också personuppgiftsansvarig skyldig att samla in och behandla vissa personuppgifter i sin verksamhet.

Det måste vara möjligt för såväl personuppgiftsansvarig som den registrerade att förstå varför behandlingen av personuppgifter behövs. Detta kan exempelvis ske genom en lag som anger att en näringsidkare i en viss situation är skyldig att lämna uppgifter till en myndighet eller en domstol.

Exempel på förpliktelser

Ett företag är skyldigt att redovisa uppgifter till Skatteverket. För att underlätta det installerar företaget speciell gps-utrustning i sina bilar som används för elektroniska körjournaler. Företaget har då en rättslig grund att samla in de uppgifterna. Företaget får dock inte använda uppgifterna som gps:en samlar in för att kontrollera hur långa raster de anställda tar, utan får enbart spara just de uppgifter Skatteverket kräver.

Här följer några fler situationer med olika typer av rättsliga skyldigheter eller förpliktelser. Bankers skyldighet att föra register över sina kunder och att granska var kundernas pengar kommer ifrån enligt penningtvättslagen. Bokföringsskyldigheten som anges i bokföringslagen, ex att spara dokument av ekonomiska transaktioner under 7 år. Arbetsgivares skyldighet att redovisa skatter och sociala avgifter beträffande anställda till Skatteverket.

Arbetsdomstolen fann i ett mål i maj 2021 att en bestämmelse i kollektivavtal om att den lokala fackliga organisationen ska erhålla en kopia av anställningsbevis innebär en skyldighet för arbetsgivaren att lämna ut omaskerade kopior. Arbetsdomstolen fann att arbetsgivaren kunnat följa både kollektivavtalsbestämmelsen och dataskyddslagstiftningen. Kollektivavtalet är alltså en rättslig förpliktelse för behandling av personuppgifter och GDPR förhindrar inte arbetsgivare att lämna ut personuppgifter till fackföreningar om det föreskrivs i kollektivavtal.

Personuppgiftsansvariga som är myndighetsutövare måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Myndighetsutövning innebär att någon har statens uppdrag att bestämma över enskilda medborgare. Det kan innebära att en myndighet beslutar om att en person ska få en viss förmån eller rättighet, eller att personen har en viss skyldighet eller ska få ett straff. Det kan alltså vara beslut som gynnar den enskilda eller beslut som är betungande. All myndighetsutövning ska grundas på lagar, förordningar eller andra författningar, det vill säga EU-rätt eller svensk rätt.

Det är i första hand statliga och kommunala myndigheter som utför myndighetsutövning, men även privata aktörer kan utföra myndighetsutövning, till exempel inom privata skolor och vårdbolag. Exempelvis måste Skatteverket hantera personuppgifter för att beskatta en person rätt. En a-kassa måste behandla personuppgifter för att kunna betala rätt ersättning vid arbetslöshet. En privat skola måste behandla personuppgifter för exempelvis betygssättning.

Den personuppgiftsansvariga måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om hen är medvetslös. Uppgifter av allmänt intresse ska ha stöd i lag eller annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning.

Uppgifter av allmänt intresse kan till exempel vara privat hälso- och sjukvård, privat skolverksamhet, kollektivtrafik, järnvägstrafik och flygtrafik. Vissa myndigheter, till exempel Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening vara motiverad av ett allmänt intresse.

Vem utför uppgifter av allmänt intresse?

Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter är enligt regeringens mening av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Allmänintresset rör också hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster.

Obligatoriska uppgifter som ålagts kommuner och regioner att utföra är av allmänt intresse. Kommuner och regioner har också stora möjligheter att göra frivilliga åtaganden. Som exempel på uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas bostäder och fritids- och idrottsanläggningar. Åtgärder för att främja ortens näringsliv och annan kulturell verksamhet räknas också hit. Bibliotek är en obligatorisk uppgift, inte ett frivilligt åtagande.

Även privata aktörer kan utföra fastställda uppgifter av allmänt intresse. Numera utför kommunala och statliga bolag eller helt privata aktörer många uppgifter som är av allmänt intresse.

Företag, föreningar och organisationer i privat verksamhet kommer främst att använda grunderna

• avtal
• intresseavvägning
• rättslig förpliktelse
• samtycke

Myndigheter och andra inom offentlig verksamhet kommer främst att använda grunderna

• avtal
• rättslig förpliktelse
• uppgift av allmänt intresse eller myndighetsutövning

Ibland kan privata företag vara verksamma inom offentlig verksamhet, till exempel skolor eller hälso- och sjukvård som bedrivs i privat regi. De utför då en uppgift av allmänt intresse och ska stödja sig på samma rättsliga grunder som en myndighet.

Obs! Myndigheter får inte använda sig av en intresseavvägning när de fullgör sina uppgifter.

Eftersom de registrerade har rätt att bli informerade om med vilken rättslig grund deras personuppgifter behandlas så måste den personuppgiftsansvariga ha detta klart för sig redan innan uppgifterna samlas in.

I realiteten innebär detta t ex att varje e-post ni skickar från företaget eller organisationen, måste ha en giltig rättslig grund, så fort ni använder en e-postadress kopplad till en enskild person. Däremot om det går till en infoadress, t ex info@företaget.se, så hanteras ingen enskild personuppgift.

Men tänk på att e-postadresser kan vara personuppgifter som kräver en rättslig grund. När anställda skickar e-post från företagets e-postadresser med sina namn så är det personuppgifter som utlämnas. Även när kopia till kollega skickas med.

Lägg en automatisk hänvisning i era e-postutskick till er policy om hantering av personuppgifter. Och ange vilken rättslig grund ni använder för utskick. Är det att ni har ett avtal med den registrerade, då är avtal den rättsliga grunden.

Varje ändamål måste vara kopplat till en rättslig grund

Som regel ska varje personuppgiftsbehandling stödjas på endast en rättslig grund. Var alltså tydlig med varför ni tänker behandla personuppgifter och välj endast en rättslig grund för ett visst ändamål. Det går inte att byta rättslig grund under en pågående personuppgiftsbehandling.

Dokumentera era val och informera de registrerade

Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni ska alltid informera de registrerade om vilken rättslig grund ni utgår ifrån när ni behandlar deras personuppgifter.

Exempel på hur man kan eller inte kan använda lagen

1. Använd info-adress för mottagande av e-post, för att inte ha enskildas personuppgifter i ärenden.

2. Får en förening skicka ut medlemsregister per e-post?
För att det ska vara tillåtet att skicka ut medlemsregistret måste man ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund kan vara samtycke från medlemmen. Man bör ta hänsyn till att en medlem kanske inte vill att hens uppgifter sprids till övriga medlemmar via e-post. Det kan exempelvis finnas medlemmar som har skyddad adress eller hemligt telefonnummer. Det krävs även att medlemmarna fått information om att medlemsregistret kan komma att skickas ut.

Dessutom är det viktigt att tänka på säkerhetsaspekterna. Enligt dataskyddsförordningen ska den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Man bör överväga om det är nödvändigt att genom exempelvis kryptering förhindra att uppgifter kan läsas eller förvanskas av någon annan än den avsedda mottagaren när man ska skicka något med e-post.

1. Kan vi skicka lönebesked per e-post?
De anställda kan inte samtycka till otillräcklig säkerhet. Den personuppgiftsansvariga måste därför se till att vidta tillräckliga åtgärder för att uppfylla kraven på en lämplig säkerhetsnivå vid hantering av personuppgifter i e-post.

I lönespecifikationer kan det finnas känslig information som till exempel sjukfrånvaro (uppgifter om hälsa) eller facktillhörighet, men även integritetskänsliga uppgifter som personnummer och löneuppgifter.

Integritetsskyddsmyndigheten (IMY) rekommenderar därför att överföring av anställdas känsliga och integritetskänsliga personuppgifter sker på säkrare sätt än via oskyddad e-post, till exempel via en portal eller liknande där anställda kan logga in för att se sin lönespecifikation eller att informationen krypteras. Om det saknas en tillräckligt säker digital kommunikationskanal, bör lönespecifikationer inte skickas digitalt då det alltid finns en risk för att andra än den avsedda mottagaren kan ta del av meddelandet.

Spanien: Försäkringsgivare bötfälls med 30 000 euro för felskickad faktura

Publicerad: 2021-05-19
Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Allianz Compañia de Seguros y Reaseguros, S.A. med 30 000 euro för brott mot artikel 6.1 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Allianz Compañia de Seguros y Reaseguros skickat en faktura till den registrerade även om det inte fanns något avtalsförhållande mellan parterna. Den registrerade hade tecknat en motorcykelförsäkring med försäkringsbolaget 2016, men avslutade försäkringen 2017.

Italien: Kommunen San Marco in Lamis bötfälls med 3 000 euro för olaglig webbpublicering

Publicerad: 2021-05-10
Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt kommunen San Marco in Lamis med 3 000 euro för brott mot artiklarna 5.1 (a), 5.1 (c), 6.1 (c), 6.1 (e), 6.2 och 6.3 (b) dataskyddsförordningen (“GDPR”).

Av beslutet framgår att kommunen laddat upp dokument som innehöll personuppgifter om den registrerade och hans familj fritt tillgängligt på kommunens webbplats. Dokumenten utgjorde två beslut mot den registrerade avseende byggverksamhet utan bygglov och innehöll födelsedatum, födelseort, skattenummer och adress för den registrerade och hans familj. Den registrerade begärde att kommunen skulle ta bort dokumenten från webbplatsen, men kommunen följde inte den registrerades begäran. Enligt Garante har kommunen behandlat den registrerades personuppgifter utan rättslig grund varför de bötfällde kommunen med 3 000 euro för brott mot GDPR.

Nederländerna: Enschede kommun bötfälls med 600 000 euro för behandling utan rättslig grund

Publicerad: 2021-05-07
Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (“AP”) har bötfällt Enschede kommun med 600 000 euro för brott mot artiklarna 5.1 (a) och 6.1 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Enschede kommun år 2017 beslutat att installera speciella mätlådor för att mäta mängden människor i Enschede centrum. Sensorerna i mätutrustningen plockade upp wifi-signalerna från förbipasserande mobiltelefoner och registrerade dem med en kod. Baserat på registrerade koder var det möjligt att beräkna hur mycket folk som rörde sig i stadskärnan. Detta gjorde det också möjligt för kommunen att spåra vilken mätbox som en viss mobiltelefon passerade, vilket gjorde det möjligt att spåra förbipasserande. Kommunen säger att det aldrig var meningen att spåra förbipasserande.

Enligt AP utgör wifi-spårningen (även om den var oavsiktlig) ett allvarligt brott mot GDPR då kommunen spårat förbipasserande utan en rättslig grund och därmed brutit mot artiklarna 5.1 (a) och 6.1 GDPR.

Spanien: HazteOir.Org bötfälls med 5 000 euro för behandling av personuppgifter utan samtycke

Publicerad: 2021-04-28
Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt HazteOir.Org med 5 000 euro för brott mot artikel 6.1 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att HazteOir.Org publicerat en broschyr om sexundervisning i skolor som olagligt innehöll bilder och namn på tre registrerade som inte hade gett sitt samtycke. HazteOir.Org har därigenom överträtt artikel 6.1 GDPR genom att behandla de registrerades personuppgifter utan rättslig grund.

Det utdömda bötesbeloppet på 5 000 euro sänktes till 4 000 euro då HazteOir.Org erkänt sitt misstag och omgående betalat avgiften.

Belgien: 10 000 euro i böter för brott mot samtyckeskraven i GDPR

Publicerad: 2021-04-27
Den belgiska dataskyddsmyndigheten, Gegevensbeschermingsautoriteit (“GBA”), har bötfällt en icke namngiven svarande med 10 000 euro för brott mot artiklarna 6.1, 21.1 (j) och 12.3 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att en registrerad inkommit med ett klagomål om att den icke namngivne svarande publicerat den registrerades för- och efternamn på svarandes Facebook Fan Page utan ett samtycke. Efter att GBA utrett ärendet fann myndigheten att svaranden brutit mot artikel 6.1 GDPR då man behandlat den registrerades personuppgifter utan rättslig grund. Vidare ansåg GBA att svaranden, genom att inte agera på den registrerades rätt att invända eller vidta tillräckliga åtgärder för att säkerställa kommunikationen med den registrerade efter utövandet av dennes rättigheter, även brutit mot artiklarna 21.1 (j) och 12.3 GDPR. Mot bakgrund av detta beslutade GBA att svarande skulle betala 10 000 euro i sanktionsavgifter.

Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.

d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7 Villkor för samtycke

1. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8 Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.
Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

2. Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3. Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Artikel 9 Behandling av särskilda kategorier av personuppgifter

1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2. Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4. Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Artikel 10 Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 11 Behandling som inte kräver identifiering

1. Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.

2. Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

Register över behandling
1. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.

b) Ändamålen med behandlingen.

c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

2. Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.

b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

3. De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4. På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

5. De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10.