Företag måste ha särskilda ändamål vid personuppgiftsbehandling. Dessutom ska ändamålet vara uttryckligt angivet och berättigat. Med andra ord måste företaget ha klart för sig vad syftet är med behandlingen. Detta framgår bland annat av den grundläggande dataskyddsprincipen om ändamålsbegränsning. Företag ska också skriftligen dokumentera behandlingen.
Enligt den grundläggande dataskyddsprincipen om ansvarsskyldighet är det företaget som måste kunna bevisa att företaget följer GDPR vid en eventuell tillsyn. Till exempel genom att ha upprättat de dokument och avtal som är nödvändiga för verksamheten. Exempelvis integritetsskyddspolicy, personuppgiftsbiträdesavtal, interna rutiner, registerförteckning, konsekvensbedömningar m.m.
Företag måste ha särskilda ändamål vid personuppgiftsbehandling
Det är inte tillåtet att stödja en personuppgiftsbehandling på ändamål som är otydliga eller för breda. Exempel på ett för brett ändamål i många fall är om behandlingen av personuppgifterna sker för att ”förbättra upplevelsen för användarna”. Detta ändamål är för brett beskrivet och inte tydligt definierat. Därmed är det inte ett tillåtet ändamål.
Dessutom ska behandlingen av personuppgifterna stödja sig på en rättslig grund för att vara laglig. Det finns totalt sex (6) stycken rättsliga grunder i GDPR. De rättsliga grunderna enligt GDPR är följande:
- Samtycke (artikel 6.a GPDR)
- Avtal (artikel 6.b GPDR)
- Rättslig förpliktelse (artikel 6.c GPDR)
- Skydda grundläggande intresse (artikel 6.d GPDR)
- Myndighetsutövning eller uppgift av allmänt intresse (artikel 6.e GPDR)
- Intresseavvägning (artikel 6.f GPDR)
Observera att samtycke inte alltid är en lämplig rättslig grund att använda för behandling av personuppgifter, och därför är det bra att analysera om någon annan rättslig grund är mer lämplig.
Fler skyldigheter för företag enligt GDPR
Företag måste också vidta olika lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, vilket det finns mer information om på www.AvtalGDPR.se som är en del av Digitala Juristerna.
Efter att företaget inte längre behöver personuppgifterna för det ändamål/syfte de blev inhämtade för, ska företaget radera dem. Detta är även kallat för att gallra personuppgifter. Om företaget vill behandla personuppgifterna för något annat syfte, är det en ny behandling. Företag som bryter mot GDPR kan få stora ekonomiska konsekvenser.
