GDPR Artikel 6 beskriver de grundläggande rättsliga principerna som förbjuder all behandling av personuppgifter såvida den inte är baserad på särskilda rättsliga bestämmelser.
Laglighet vid bearbetning
- Behandling ska vara laglig endast om och i den mån minst ett av följande gäller:
- (a) den registrerade har gett sitt samtycke till behandlingen av hans eller hennes personuppgifter för ett eller flera specifika ändamål;
- (b) Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan ett avtal ingås.
- (c) Behandlingen är nödvändig för att uppfylla en rättslig skyldighet som den registeransvarige är föremål för;
- d) Behandlingen är nödvändig för att skydda den registrerades eller en annan fysisk persons vitala intressen.
- e) Behandlingen är nödvändig för att utföra en uppgift som utförs i allmänhetens intresse eller för utövandet av officiell myndighet som ligger hos den registeransvarige.
- f) Behandlingen är nödvändig för ändamålen för de berättigade intressen som eftersträvas av den registeransvarige eller av en tredje part, utom när sådana intressen åsidosätts av den registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter, i synnerhet där den registrerade är ett barn.
Första stycket led f ska inte tillämpas på behandling som utförs av offentliga myndigheter i samband med utförandet av sina uppgifter.- Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av reglerna i denna förordning när det gäller behandling för att uppfylla punkt 1 c och e genom att fastställa mer exakta specifika krav för behandlingen och andra åtgärder för att säkerställa laglig och rättvis behandling, inklusive för andra specifika behandlingssituationer enligt kapitel IX.
- Grunden för den behandling som avses i punkt 1 c och e ska fastställas av:
- (a) Unionslagstiftning. eller
- b) Medlemsstatslag som den registeransvarige lyder under.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, när det gäller den behandling som avses i punkt 1 e, vara nödvändig för att utföra en uppgift som utförs av allmänt intresse eller för att utöva tjänstemän. befogenhet som tillkommer den registeransvarige. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av reglerna i denna förordning, bland annat: de allmänna villkoren för lagligheten av den registeransvariges behandling; de typer av uppgifter som är föremål för behandlingen; berörda registrerade; enheterna till och de syften för vilka personuppgifterna kan lämnas ut; syftesbegränsningen; lagringsperioder; och behandlingsoperationer och behandlingsförfaranden, inklusive åtgärder för att säkerställa laglig och rättvis behandling, såsom de för andra specifika behandlingssituationer som föreskrivs i kapitel IX. Unionens eller medlemsstatens lagstiftning ska uppfylla ett mål av allmänt intresse och stå i proportion till det legitima syfte som eftersträvas.
- Om behandlingen för ett annat ändamål än det för vilket personuppgifterna har samlats in inte grundar sig på den registrerades samtycke eller på en unions- eller medlemsstatslagstiftning som utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle för att säkerställa de mål som avses. i artikel 23 ska den personuppgiftsansvarige, för att utröna om behandling för annat ändamål är förenlig med det ändamål för vilket personuppgifterna initialt samlas in, ta hänsyn till bl.a.
- (a) varje koppling mellan ändamålen för vilka personuppgifterna har samlats in och syftena med den avsedda vidare behandlingen;
- (b) det sammanhang i vilket personuppgifterna har samlats in, särskilt när det gäller förhållandet mellan registrerade och den registeransvarige.
- c) Personuppgifternas art, särskilt om särskilda kategorier av personuppgifter behandlas, i enlighet med artikel 9, eller om personuppgifter relaterade till brottmålsdomar och brott behandlas, i enlighet med artikel 10.
- (d) De möjliga konsekvenserna av den avsedda ytterligare behandlingen för registrerade.
- e) Förekomsten av lämpliga skyddsåtgärder, som kan innefatta kryptering eller pseudonymisering.
Laglighet vid bearbetning
- Behandling ska vara laglig endast om och i den mån minst ett av följande gäller:
- (a) den registrerade har gett sitt samtycke till behandlingen av hans eller hennes personuppgifter för ett eller flera specifika ändamål;
- (b) Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan ett avtal ingås.
- (c) Behandlingen är nödvändig för att uppfylla en rättslig skyldighet som den registeransvarige är föremål för;
- d) Behandlingen är nödvändig för att skydda den registrerades eller en annan fysisk persons vitala intressen.
- e) Behandlingen är nödvändig för att utföra en uppgift som utförs i allmänhetens intresse eller för utövandet av officiell myndighet som ligger hos den registeransvarige.
- f) Behandlingen är nödvändig för ändamålen för de berättigade intressen som eftersträvas av den registeransvarige eller av en tredje part, utom när sådana intressen åsidosätts av den registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter, i synnerhet där den registrerade är ett barn.
Första stycket led f ska inte tillämpas på behandling som utförs av offentliga myndigheter i samband med utförandet av sina uppgifter.
Grunden för den behandling som avses i punkt 1 c och e ska fastställas i nationell lagstiftning.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, när det gäller den behandling som avses i punkt 1 e, vara nödvändig för att utföra en uppgift som utförs av allmänt intresse eller för att utöva tjänstemän. befogenhet som tillkommer den registeransvarige. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av reglerna i denna förordning, bland annat: de allmänna villkoren för lagligheten av den registeransvariges behandling; de typer av uppgifter som är föremål för behandlingen; berörda registrerade; enheterna till och de syften för vilka personuppgifterna kan lämnas ut; syftesbegränsningen; lagringsperioder; och behandlingsoperationer och behandlingsförfaranden, inklusive åtgärder för att säkerställa laglig och rättvis behandling, såsom de för andra specifika behandlingssituationer som föreskrivs i kapitel IX. Den nationella lagstiftningen ska uppfylla ett mål av allmänt intresse och stå i proportion till det legitima syfte som eftersträvas.- Om behandlingen för ett annat ändamål än det för vilket personuppgifterna har samlats in inte är baserad på den registrerades samtycke eller inhemsk lag som utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle för att skydda [nationell säkerhet, försvar eller någon av] de syften som avses i artikel 23, ska den personuppgiftsansvarige, för att utröna om behandling för annat ändamål är förenlig med det ändamål för vilket personuppgifterna initialt samlas in, ta hänsyn till bl.a.
- (a) varje koppling mellan ändamålen för vilka personuppgifterna har samlats in och syftena med den avsedda vidare behandlingen;
- (b) det sammanhang i vilket personuppgifterna har samlats in, särskilt när det gäller förhållandet mellan registrerade och den registeransvarige.
- c) Personuppgifternas art, särskilt om särskilda kategorier av personuppgifter behandlas, i enlighet med artikel 9, eller om personuppgifter relaterade till brottmålsdomar och brott behandlas, i enlighet med artikel 10.
- (d) De möjliga konsekvenserna av den avsedda ytterligare behandlingen för registrerade.
- e) Förekomsten av lämpliga skyddsåtgärder, som kan innefatta kryptering eller pseudonymisering.
GDPR Artikel 6 beskriver sju faktorer som bidrar till vad den definierar som en "laglig grund för behandling":
I det här avsnittet talar vi om GDPR artiklarna 6 (1)(a), 6 (1)(b), 6 (1)(c), 6 (1)(d), 6 (1)(e), 6 ( 1) (f), 6 (2), 6 (3), 6 (4) (a), 6 (4) (b), 6 (4) (c), 6 (4) (d) och 6 ( 4)(e)
Beroende på jurisdiktion kan organisationer behöva bevisa att deras PII-behandling är laglig innan de börjar.
För att bilda en rättslig grund för att behandla PII bör organisationer:
För varje punkt som nämns ovan bör organisationer kunna erbjuda dokumenterad bekräftelse.
Organisationer måste också ta hänsyn till alla "särskilda kategorier" av PII som hänför sig till deras organisation i deras dataklassificeringssystem (se ISO 27701 klausul 7.2.8) (klassificeringar kan variera från region till region).
Om organisationer upplever några förändringar av deras underliggande orsaker till att behandla PII, bör detta omedelbart återspeglas i deras dokumenterade rättsliga grund.
I det här avsnittet talar vi om GDPR artikel 6 (4)(e)
Organisationer måste antingen fullständigt förstöra alla PII som inte längre uppfyller ett syfte, eller modifiera dem på ett sätt som förhindrar någon form av principiell identifiering.
Så snart organisationen konstaterat att PII inte behöver behandlas någon gång i framtiden, bör informationen raderade or de identifierade, som omständigheterna föreskriver.
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 6 (1)(a) till 6 (4)(e) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU GDPR artikel 6 (4)(e) | ISO 27701 7.4.5 | Ingen |
ISMS.online-plattformen inkluderar inbyggd vägledning vid varje steg, kombinerat med vår implementeringsmetod 'Adoptera, anpassa, lägg till', så det är betydligt enklare att visa din GDPR-efterlevnad. Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.
Genom att kartlägga ditt arbete över flera standarder och ramverk gör vår intuitiva plattform det enkelt att uppnå flera mål för informationssäkerhet och datasekretess.
Om du av någon anledning upplever brist på självförtroende, förmåga eller drivkraft att vidta åtgärder under din resa till GDPR, kan vi göra vårt team av interna experter tillgängliga eller rekommendera en av våra pålitliga partners för att ge dina ansträngningar ett lyft.
Ta reda på mer av boka en kort demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
