För att behandla personuppgifter behöver du minst en laglig grund. De vanligaste lagliga grunderna är avtal, samtycke och berättigat intresse. Ibland används det berättigade intresset som en catch-all, men det är absolut inte ett enklare alternativ än övriga lagliga grunder. Här ger vi dig allt du behöver tänka på när du ska bedöma om du har ett berättigat intresse. Lästid: 4 minuter.
Vad är ett berättigat intresse?
Berättigat intresse är en av sex lagliga grunder i GDPR som organisationer kan basera dess personuppgiftsanvändning på. Som sådan är det berättigade intresset den mest flexibla lagliga grunden, men det inkluderar också ett extra ansvar för att skydda individen. Detta skydd för individens intressen och fri- och rättigheter upprätthålls genom en s.k. intresseavvägning. Det berättigade intresset kan vara ett intresse som finns internt i din organisation (t.ex. intresset att driva ett effektivt företag). Det kan också vara ett intresse som finns hos en av dina partners (t.ex. intresset av att tillhandahålla effektiv support). Med andra ord kan berättigade intressen inkludera såväl kommersiella som individuella intressen och bredare samhällsintressen.
När kan du använda dig av berättigat intresse
Som utgångspunkt är det lämpligast att använda berättigat intresse som laglig grund när personuppgifter behandlas på ett sätt som individer rimligen kan förvänta sig och med begränsad integritetspåverkan.
För att kunna basera behandlingen av personuppgifter på berättigat intresse måste tre villkor vara uppfyllda. EU-domstolen nämner dessa tre kriterier för första gången i det så kallade Rigas-fallet (mål C-13/16).
I domen den 4 maj 2017 beslutade EU-domstolen att det berättigade intresset kunde användas för behandling av personuppgifter som görs i syfte att väcka talan i ett civilrättsligt mål. I Rigas-fallet hade en privatperson orsakat skador på ett företags egendom. Följaktligen ville det skadade företaget kräva skadestånd av denne. I Rigas-fallet var de tre villkoren var utan tvekan uppfyllda.
Behöver du affärsjuridiskt stöd?
Läs mer om den affärsjuridiska byrån Sharp Cookie Advisors
- För det första måste den ansvarige ha ett berättigat intresse av att behandla uppgifterna. I detta fall behövde det skadade företaget tillgång till personuppgifterna för den person som orsakat skadan för att väcka talan om ersättning.
- För det andra måste behandlingen vara nödvändig för att fullgöra det berättigade intresset. I detta fall var uppgifterna (Id-nummer och adress) avgörande för att inleda skadeståndsmålet.
- För det tredje måste de berörda personernas grundläggande rättigheter och friheter inte ha företräde framför det berättigade intresset. EU-domstolen beslutade inte specifikt om så var fallet i Rigas. Istället uppgav domstolen att det tredje kriteriet måste bedömas från fall till fall.
Numera finns det en metod för att avgöra om det finns möjlighet att grunda behandlingen på ett berättigat intresse. I dessa fall behöver du inte lita på t.ex. samtycke eller avtal som laglig grund. Men kom alltid ihåg att berättigat intresse inte alls är ett enklare alternativ för de situationer då du inte kan använda dig av avtal, samtycke eller andra alternativ.
Så utför du en intresseavvägning
En intresseavvägning (eng: Legitimate Interest Assessment “LIA”) är en enklare riskbedömning som består i tre delar. Du väger det berättigade intresset, dess fördelar med dess nackdelar i form av integritetsskador och risker.
Steg 1: Identifiera det berättigade intresset
För att använda berättigat intresse som laglig grund måste du initialt uppfylla två krav. För det första måste du identifiera ett intresse. För det andra måste detta intresse vara berättigat.
Det finns en koppling mellan intresset och ändamålet. De är dock skilda företeelser. Eftersom ändamålet är relaterat till den specifika personuppgiftsbehandlingen medan intresset är “större”. Intresset kan t.ex. vara samhälleligt, kulturellt eller ekonomiskt.
Du kan identifiera ett intresse som berättigat i skälen till GDPR eller annan lagstiftningsakt. T.ex. i skäl 49 nämns IT-säkerhet som ett exempel på ett berättigat intresse. Om ingen reglering identifierar ditt intresse som berättigat kan du själv bedöma intresset. Ett brett spektrum av intressen kan ses som berättigat inklusive tredje parts berättigat intressen. Det viktigaste är att du som ansvarig för behandlingen kan motivera varför intresset är berättigat.
Exempel: fråga dig själv, vad strävar vår organisation efter att få från behandlingen? Identifieras det i GDPR som ett legitimt intresse? Delar vi data med någon tredje part?
Steg 2: Nödvändighetstestet
Nödvändigheten är grundläggande för dataskyddet och fungerar som ett proportionalitetstest.
I din bedömning av berättigat intresse måste du undersöka alternativa metoder. Om så är fallet måste du bedöma metodens potentiella inverkan på den registrerade.
Nödvändighetstestet är något som är lätt för den ansvarige att glömma. Men, om den ansvarige inte har undersökt alternativa metoder kan den valda metoden inte vara proportionell. Som följd är det omöjligt att fortsätta till att genomföra balanstestet i steg 3.
Exempel: Varför är behandlingen avgörande för oss? Finns det alternativa sätt att nå målet?
Steg 3: Balanstestet
Nästa steg i bedömningen av det berättigade intresset, efter att ha undersökt alternativ, är att göra en balanseringsövning. Detta test försöker väga två viktlösa enheter: den registrerades intresse och den ansvariges intresse. Ambitionen är att ge innehåll till en abstrakt tanke på proportionalitet. Naturligtvis är testet hypotetiskt. Eftersom ingen vet det exakta intresset för varje registrerad inkluderar bedömningen vad en registrerad normalt vill ha. I detta fall integritet och respekt för dess grundläggande mänskliga rättigheter.
Balanstestet är både komplex och abstrakt. Nedan presenterar vi två aspekter att tänka på när du utför testet. Kom dock ihåg att det finns fler aspekter.
Exempel: ligger behandlingen i den registrerades intresse? Får den registrerade något ut av behandlingen? Samlas uppgifter in från den registrerade eller någon annanstans?
Den registrerades rimliga förväntningar
För oväntad bearbetning åsidosätter individens intresse en kontrollers intresse. Detta, eftersom den oväntade behandlingen tar bort kontrollen från den registrerade. Därför bör du utföra bedömningen mot all tillgänglig information om behandlingen. T.ex. informationen inkluderar sekretesspolicyer och meddelanden.
Effekten på den registrerade
Detta är förmodligen den mest uppenbara aspekten att beakta i din legitima intresse bedömning. Om du utför behandlingen delvis i den registrerades intresse som talar för ett resultat. Om behandlingen sannolikt kan leda till skada på den registrerade som talar för det motsatta.
Bedöma berättigat intresse för direktmarknadsföring
Den vanligaste användningen av berättigat intresse som laglig grund är för direktmarknadsföring. Till skillnad från traditionell marknadsföring, dvs. annonser, syftar direktmarknadsföring till att göra relevanta annonser för varje kundtyp. Direktmarknadsföring identifieras som ett berättigat intresse i skäl 47 i GDPR. Men du måste bedöma varje ärende på meriter och balans mot e-integritetsdirektivet – genom nödvändighetstestet och balanseringsövningen.
Nödvändighetstestet kommer troligen att falla till den ansvariges fördel, förutsatt att användningen av data inte är överdriven. Här måste du överväga vilka data kontrollenheten använder. Om den ansvarige använder onödiga data eller avancerad profilering skulle behandlingen misslyckas nödvändighetstestet. Samma om marknadsföringen är mer aggressiv än vad som behövs. Finns det ett mindre invasivt alternativ som fortfarande uppnår det underliggande intresset för personanpassade annonser? Om så är fallet och du fortfarande håller fast vid din ursprungliga plan måste du motivera den grundligt.
Balanseringsövningen måste ta hänsyn till olika aspekter. Bedömningen bör inkludera förhållandet mellan den registeransvarige och den registrerade. Om förhållandet är relevant och lämpligt talar det för ett legitimt intresse. Relevans stöder det faktum att det direkta marknadsföringssyftet var rimligt för den registrerade att förvänta sig. Ändå finns det fler aspekter att tänka på. Till exempel vilken typ av personuppgifter du behandlar, hur ofta du utför marknadsföringen och för vilken typ av produkt.
Hur du genomför den berättigade intressebedömningen i din organisation
Din organisation måste skapa en process för att bedöma legitima intressen. Processen måste innehålla åtminstone de ovannämnda stegen. Om din organisation använder legitimt intresse som en rättslig grund, se till att du gör bedömningen. Se också till att du har resultatet av balanseringstestet dokumenterat.
Den mest detaljerade och hjälpsamma vägledningen om begreppet legitimt intresse får du i experthandledningen i WP29 Yttrande 06/2014 (9 april 2014). Även om det numera arkiveras är det fortfarande det bästa som finns. Detta, åtminstone tills EDPB släpper sin egen riktlinje för att uppdatera den.