För behandlingen av personuppgifter krävs åtminstone en rättslig grund. De vanligaste formerna är avtal, samtycke, och berättigat intresse. Berättigat intresse är dock inte ett “mjukt alternativ”. I den här artikeln ger vi dig allt du behöver överväga när du bedömer huruvida du har ett berättigat intresse. Lästid: 4 min
Vad är ett berättigat intresse?
Berättigat intresse är en av sex rättsliga grunder i GDPR som organisationer kan använda för deras behandling av personuppgifter. Berättigat intresse är den mest flexibla rättsliga grunden, men inkluderar ett extra ansvar att skydda individers rättigheter och intressen i en bedömning av det berättigade intresse. Det berättigade intresset kan vara ett intresse i din organisation (att driva ett företag effektivt) eller en av dina partners intressen (att tillhandahålla en effektiv tjänst). Som framgår av exemplet kan intresset inkludera kommersiella intressen, individuella intressen eller bredare samhällsintressen.
När kan du använda dig av berättigat intresse?
Typiskt sett är berättigat intresse mest lämpligt när personuppgifter används på ett sätt som den registrerade kan förvänta sig, och med begränsad påverkan av privatlivet.
Det finns tre villkor som alla måste föreligga för att behandling av personuppgifter ska kunna baseras på berättigat intresse. EU-domstolen nämner dessa tre villkor för första gången i det så kalladeRigas-målet (mål C-13/16) som introducerar bedömningen av berättigat intresse.
I domen, utfärdad den 4 maj 2017, menade domstolen att berättigat intresse kan användas för behandling av personuppgifter för att väcka en skadeståndstalan vid en domstol. I detta fall var det en person som orsakade en skada av egendom som tillhörde ett företag, och detta företag ville erhålla skadestånd. De tre kriterierna var, utan tvekan, uppfyllda.
Sharp Cookie Advisors
Företagsstöd och juridiska tjänster för hantering av personuppgifter
- För det första måste personuppgiftsansvarig ha ett berättigat intresse av att behandla personuppgifterna. I det här fallet behövde företaget tillgång till personuppgifter tillhörande den person som orsakat dem skada för att kunna föra en talan om skadestånd.
- För det andra måste behandlingen vara nödvändig för att kunna åstadkomma berättigade intressen. I det här fallet vara personuppgifterna (personnummer och adress) vitala för att kunna föra en skadeståndstalan.
- För det tredje krävs att den registrerades grundläggande rättigheter och friheter inte får företräde. EU-domstolen gjorde ingen bedömning av Riga-målet. Istället menade domstolen att man måste bedöma detta tredje kriterium från fall till fall. Istället menade domstolen att man måste bedöma detta tredje kriterium från fall till fall.
Nuförtiden finns det en metod för att avgöra huruvida det rör sig om berättigade intressen. Därmed behöver man inte förlita sig på till exempel samtycke eller avtal som rättslig grund. Men kom alltid ihåg att berättigat intresse inte är ett “mjukt” alternativ för de tillfällen du inte kan använda dig av avtal, samtycke, eller något annat alternativ.
Den korrekta ordningen att utföra en bedömning av berättigat intresse
En bedömning av berättigat intresse är en riskbedömning uppdelad i tre delar. Man väger det berättigat intresset, dess fördelar och riskerna för privatlivet.
Steg 1: Identifiera det berättigade intresset
För att använda sig av berättigat intresse som rättslig grund finns det inledningsvis två krav. Först måste man identifiera intresset. Därefter måste intresset vara berättigat.
Det finns en koppling mellan intresset och dess syfte. Dock är dessa alltjämt olika. Detta då syftet relaterar till den behandlingen, och målet med intresset är större. Intresset kan vara samhälleligt, kulturellt, eller ekonomiskt.
Du kan identifiera ett berättigat intresse i skälen till GDPR eller i annan lagstiftning. Exempelvis nämner skäl 49 IT-säkerhet som ett exempel på ett berättigat intresse. Om ingen reglering nämner ditt intresse som berättigat kan du bedöma intressen själv. Ett stort antal intressen kan ses som berättigade, inklusive berättigade intressen hos en tredje part. Det viktigaste är att du som personuppgiftsansvarig kan motivera varför intresset är berättigat.
Exempelfrågor: Fråga dig själv, vad syftar din organisation att få ut av behandlingen? Är målet identifierat i GDPR som ett berättigat intresse? Delar vi uppgifterna med någon tredje part?
Steg 2: Nödvändighetstestet
Nödvändighet är grundläggande för dataskydd och fungerar som ett proportionalitetstest.
I din bedömning av berättigat intresse måste du undersöka alternativa metoder. Du måste bedöma de potentiella följderna av metoderna på den registrerade.
Nödvändighetstestet är något som en personuppgiftsansvarig kan missa. Om personuppgiftsbiträdet inte har undersökt alternativ kan inte den valda metoden vara proportionerlig. Som ett resultat av det kan du inte utföra balanstestet.
Exempelfrågor: Varför är behandling avgörande för oss? Finns det alternativa sätt att uppnå det målet?
Steg 3: Balanstestet
Nästa steg i bedömningen av berättigat intresse, efter att ha undersökt alternativa metoder, är att utföra ett balanstest. Detta test försöker väga två viktlösa enheter: den registrerades intresse och personuppgiftsansvariges intresse. Ambitionen är att ge substans till en abstrakt tanke om proportionalitet. Detta test är, förstås, hypotetiskt. Eftersom ingen kan känna till den registrerades exakta intressen inkluderar bedömningen det som en registrerad typiskt sett vill. Rätten till privatliv och respekt för mänskliga rättigheter är i det här fallet viktiga.
Balanstestet är både komplext och abstrakt. Nedan introducerar vi två aspekter som måste beaktas när man genomför testet. Kom dock ihåg att det finns fler aspekter.
Exempelfrågor: Ligger behandlingen i den registrerades intresse? Får den registrerade någonting från behandlingen? Sparas uppgifterna som har samlats in från subjektet, eller från någon annanstans?
Den registrerades rimliga förväntningar
För oväntad behandling åsidosätter den registrerades behov personuppgiftsansvariges behov. Detta då oväntad behandling tar ifrån den registrerade dennes kontroll. Därför bör du genomföra bedömningen gentemot alla tillgängliga uppgifter om behandlingen. Exempelvis om uppgifterna inkluderar integritetspolicier och sekretessmeddelanden.
Påverkan på för den registrerade
Detta är förmodligen den mest uppenbara aspekten som bör beaktas i din bedömning av berättigat intresse. Om behandlingen utförs delvis i den registrerades intresse talar det för en utgång. Om behandlingen troligen resulterar i skada för den registrerade talar det för motsatsen.
Berättigat intresse för direktmarknadsföring
Det vanligaste användningsområdet för en berättigat intresse är att använda det som rättslig grund för direktmarknadsföring. Till skillnad från vanlig marknadsföring, exempelvis annonser, är målet med direktmarknadsföring att skapa relevanta annonser för varje typ av kund. Direktmarknadsföring är ett berättigat intresse enligt skäl 47 i GDPR. En bedömning av omständigheterna måste utföras i varje fall, och balanseras mot ePrivacy-direktivet – genom nödvändighetstestet och balanstestet.
Nödvändighetstestet skulle förmodligen gynna personuppgiftsansvarig förutsatt att användandet av uppgifterna inte är alltför omfattande. Här måste uppgifterna som personuppgiftsansvarig behandlar beaktas. Om personuppgiftsansvarig använder onödiga uppgifter eller avancerad profilering skulle behandlingen inte klara av nödvändighetstestet. Detsamma gäller om marknadsföringen är mer aggressiv än vad som krävs. Finns det ett mindre påträngande alternativ som fortfarande uppfyller samma underliggande intresse av personligt anpassade annonser? Om svaret är ja, och du fortsätter med din ursprungsplan, måste du motivera det utförligt.
Balanstestet måste överväga flera aspekter. Bedömningen bör inkludera förhållandet mellan personuppgiftsansvarig och den registrerade. Om förhållandet är relevant och lämpligt talar det för existensen av ett berättigat intresse. Relevansen stödjer det faktum att syftet med direktmarknadsföringen var rimligt för den registrerade att förvänta sig. Det finns dock fler aspekter att beakta. Exempelvis vilken typ av personuppgifter du behandlar, hur ofta marknadsföringen genomförs, och för vilken typ av produkt.
Hur man implementerar en bedömning av berättigat intresse i din organisation
Din organisation måste skapa en process för att bedöma berättigat intresse. Processen måste inkludera åtminstone de steg som har nämnts ovan. Om din organisation använder sig av berättigat intresse som rättslig grund bör du försäkra dig om att du genomför bedömningen. Se även till att resultatet av balanstestet är väldokumenterat.
Den mest detaljerade och hjälpsamma vägledningen kring konceptet berättigat intresse finner du i expertvägledningen WP29 Opinion 06/2014 (9 April 2014)(på engelska). Trots att det numera är arkiverat är det fortfarande det bästa alternativet. Detta gäller åtminstone tills EDPB släpper sina egna riktlinjer för att uppdatera det.