Många kanske tror att samtycke är den enda rättsliga grunden för att få behandla personuppgifter, men så är det inte. En rättslig grund kan också vara legitima intressen eller ett kontrakt. Men hur mycket kännedom om olika rättsliga grunder kan du förvänta att dina kollegor ska kunna? Detta blogginlägg guider dig igenom den rättsliga grund för behandling av personuppgifter och ger dig exempel på vad dina anställda borde veta, och vad de ska göra i sitt dagliga arbete när de möter utmaningar under behandling av personuppgifter.
Nästan alla organisationer, oavsett storlek och typ, behandlar personuppgifter på ett eller annat sätt. För personuppgifter finns överallt, det kan vara allt från ett namn, adress, hårfärg, sökhistorik på internet eller politiska åsikter. Personuppgifter är all typ av information som kan leda till en specifik person.
Det innebär att det finns många beröringspunkter där din organisation kan behöva behandla personuppgifter. Därför är det viktigt att komma ihåg att det är din organisation som kontrollerar uppgifterna, och därför behöver du försäkra dig om att ni har en rättslig grund för att få behandla personuppgifter, i varje unik situation.
Ni kanske redan har implementerat en god praxis i din organisation för att uppfylla olika regelverk för integritet och dataskydd, som GDPR. Era advokater kanske har kunskap om databehandlingslagar, och ni kanske till och med har utbildat era anställda i hantering av personuppgifter.
Men, även om ditt team känner till hur man efterlever GDPR i det dagliga arbetet, så händer det ofta att anställda känner osäkerhet införhur de ska hantera personuppgifter i obekanta situationer.
Nästan alla behandlar personuppgifter
De flesta anställda kommer i kontant med personuppgifter via en dator, och din organisation har förmodligen skaffat en juridisk grund för att få behandla dem. Så är vanligtvis fallet för rutinuppgifter, som att få samtycke från kunder för att kunna sända ut nyhetsbrev till dem, eller se till att du har en juridisk grund gör behandling av nödvändiga personuppgifter om dina anställda genom deras anställningskontrakt.
Och det är utmärkt, men…
Det här avser ofta bara de personer i teamet som behandlar personuppgifter som en del i sina dagliga uppgifter. De är vana vid det, och de vet vad de ska göra. Men i och med att personuppgifter finns överallt, uppstår hela tiden nya situationer där någon behöver behandla personuppgifter, och de vet kanske inte hur de ska skaffa en juridisk grund, eller ens att de ska göra det.
Okända situationer uppstår hela tiden
Problemen uppstår, oftast, när dina teammedlemmar hamnar i nya och obekanta situationer. Det kan till exempel vara när de har en ny idé om ett projekt eller när en anställd arbetar med en uppgift som är en engångsföreteelse.
Ett exempel kan vara att din organisation vill bjuda in till en julfest för de anställda, och deras familjer. En av de anställda får i uppgift att organisera eventet. Den här personen måste då samla in information angående vilka som kommer till eventet med sina familjer, deras namn, och om de är något de inte kan äta på grund av allergi eller kost val. Det är mycket behandling av personuppgifter involverat i det här, och din organisation är den som kontrollerar uppgifterna, och som måste garantera att ni har en juridisk grund för att göra detta.
Andra exempel på obekanta situationer kan vara:
Talangpool online: Er HR-avdelning vill skapa en ny talangpool, där kandidater som är intresserade av att arbeta på ert företag kan registrera sina CV:n, och HR-avdelningen kan sedan skicka relevanta jobbmöjligheter till dem i framtiden. Er HR-avdelning tycker att det är en utmärkt idé att få veta vem som är intresserad av ert företag, och att ha en pool av tänkbara kandidater när det finns nya anställningsmöjligheter.
Instagram tävling: Er marknadsföringsavdelning kommer med en utmärkt idé för att öka er närvaro på nätet. För att få så mycket interaktion som möjligt, vill de göra en utlottning på Instagram. Det enda kunderna behöver göra är att gilla ert inlägg och skriva en kommentar om vad de tycker bäst om med era produkter, och i slutet av månaden kommer ni att dra en vinnare som kommer att få en kupong från ert företag.
Leverantörskontakter: Er organisation växer, och ni har nu mer än en person som är ansvarig för kontakten med era leverantörer. För att göra det enklare att se vem som är er kontaktperson för var och en av era leverantörer, bestämmer ni er för att skapa en gemensam Excel fil med en lista över era leverantörer, och kontaktpersonen hos varje leverantör med deras titel, e-postadress och telefonnummer.
Som de olika exemplen visar, så är det inte bara den juridiska avdelningen i er organisation som måste tänka över den juridiska grunden för behandling av personuppgifter. De flesta i ert team kommer att behöva behandla personuppgifter, och det är avgörande att det finns en rättslig grund för det.
De olika typer av rättslig grund som finns för behandling av personuppgifter
En typ av juridisk grund för behandling av personuppgifter som alla förmodligen känner till är samtycke. När du vill prenumerera på ett nyhetsbrev från en hemsida, blir du tillfrågad om du godkänner att företaget får behandla och spara dina personuppgifter, som din e-postadress och ditt namn. Du ger vanligtvis ditt samtycke genom att bocka av en ruta där det uttryckligen står att du accepterar att hemsidan får behandla din information.
Vi är alla väldigt bekanta med att ge samtycke för behandling av personuppgifter. Men samtycke är bara en av många typer av rättslig grund för behandling av personuppgifter. Här nedan presenterar vi några typer av dem för behandling av personuppgifter, tillsammans med några exempel.
Det här är bara några av de många olika typerna av rättslig grund för behandling av personuppgifter. Vilken typ som ska användas när, beror på den specifika situationen, och det finns inte en typ som är den bästa eller ett sätt att tänka som passar i alla lägen. Därför är det upp till din organisation att ta reda på vilken som är den juridiska grunden beroende på den specifika kontexten.
Ditt team behöver inte vara juridiska experter
Även om de flesta teammedlemmar behandlar uppgifter, så räcker det att de är medvetna om den juridiska grunden och att de är trygga med att de förlitar sig på reglerna. Det här betyder inte att alla måste vara experter på GDPR och annan lagstiftning. Poängen är att du behöver skapa medvetenhet bland dina anställda om att en juridisk grund för behandling av personuppgifter är någonting som de kan behöva tänka över, i synnerhet i nya och obekanta situationer.
Exempel: Organisera julfest
Till exempel, om vi ser tillbaka på exemplet om att organisera en julfest, så kan den anställda som har fått i uppgift att organisera eventet konsultera dataskyddsombudet i din organisation angående hur man ska gå tillväga. Dataskyddsombudet ansvarar för att personuppgifter behandlas enligt lagen.
Att samla in information om de anställda för en julfest kan eventuellt betraktas som ett berättigat intresse, i och med att de anställda är medvetna om vem som samlar in informationen och hur den kommer att användas. Dataskyddsombudet kan dock också ge användbara råd till personen som är ansvarig för eventet, till exempel om hur uppgifterna ska sparas och hur de ska raderas efteråt.
Om du organiserar en julfest eller liknande tillställning kan det även vara bra att känna till vad lagen säger om att fotografera och publicera bilder på anställda.
En god ledning är ett viktigt stöd för de anställda
Sammanfattningsvis så är det era jurister, er juridiska avdelning, eller dataskyddsombud som ska vara ansvariga för att ta reda på vilken som är den juridiska grunden för behandling av personuppgifter. Det är de som ska göra de juridiska förberedelserna för att etablera den juridiska grunden, de ska inte den ‘vanliga’ anställda göra.
Ditt team ska vara medvetna om att de kan komma att behöva en juridisk grund och att de måste kunna kontakta det juridiska teamet om de har funderingar. Din uppgift i det här sammanhanget är att skapa medvetenhet bland dina anställda och försäkra dig om att de har någon de kan rådfråga angående rättsliga grunder.
Allt handlar om medvetenhet
Sammanfattningsvis finns det många beröringspunkter där dina anställda kan behöva behandla personuppgifter, och du måste garantera att det finns en juridisk grund för att göra det. Personuppgifter finns överallt, och så även behovet av att behandla dem. Oavsett om det handlar om ditt team, dina kunder, leverantörer eller vem som helst som interagerar med din organisation, så måste det finnas en juridisk grund för att behandla personuppgifter.
Du kan inte förvänta dig att ditt team kommer att bli experter på GDPR, men du kan försäkra dig om att den juridiska grunden tas omhand genom att skapa medvetenhet bland dina anställda om att de ska konsultera den ansvariga personen eller avdelningen i organisationen när de har funderingar. Det här betyder att din prioritet nummer ett här, är att skapa medvetenhet bland dina anställda, och att se till att det finns en person eller en avdelning som dina anställda kan konsultera.