Ett företag som skickar ett e-postmeddelanden med marknadsföring till en tidigare kund, är ett exempel på när det kan vara lämpligt att använda berättigat intresse som rättslig grund för behandlingen av personuppgifterna.
Berättigat intresse är en av totalt sex rättsliga grunder som företag kan använda för personuppgiftsbehandlingar enligt artikel 6 i GDPR. Dessutom är detta en vanlig rättslig grund för företag att använda. Två andra exempel på rättsliga grunder är avtal med registrerade och samtycke.
När det kan vara Lämpligt att använda berättigat intresse som rättslig grund: Vad innebär berättigat intresse?
För att det ska vara lämpligt att använda berättigat intresse som rättslig grund, ska företaget ha ett berättigat intresse för behandlingen som väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter. Därför är det viktigt att göra en noggrann intresseavvägning och bedömning för att analysera detta. Vid bedömningen är det viktigt att beakta bland annat vilka rimliga förväntningar de registrerade har och deras relation till den personuppgiftsansvarige. Dessutom ska företaget analysera om den registrerade vid tidpunkten för insamlingen av dennes personuppgifter rimligen kunnat förvänta sig att behandlingen för det angivna berättigade intresset och ändamålet skulle inträffa.
Det finns flera centrala moment att genomföra vid intresseavvägnnigen. Bland annat finns det sex faser som företag bör gå igenom för att komma fram till om ett berättigat intresse föreligger.
Observera att ett företag inte per automatik får behandla personuppgifter bara för att det utför en intresseavvägning. Behandlingen i fråga får endast ske om resultatet av intresseavvägningen visar att den registrerades intresse av skydd för sina personuppgifter samt fri och rättigheter inte väger tyngre än det berättigade intresset för behandlingen. Inte tvärt om. En bra utgångspunkt är att ju känsligare personuppgifter, desto tyngre väger den registrerades intressen.
Tredje parts berättigade intresse
Något som är bra att känna till är att det berättigade intresset kan vara företagets egna eller en tredje parts. Detta innebär att det i vissa fall är tillåtet att exempelvis lämna ut personuppgifter till en tredje part som har ett berättigat intresse att behandla uppgifterna. Men innan personuppgifterna blir utlämnade, måste företaget kunna visa att utlämnandet är motiverat samt ta reda på följande:
- Varför: Varför den tredje parten vill ha personuppgifterna
- Vad: Vad den tredje parten ska göra med personuppgifterna
- Nödvändighet: Om det verkligen är nödvändigt för den tredje parten att behandla personuppgifterna.
Några exempel på när det kan vara lämpligt att använda berättigat intresse som rättslig grund
- Direktmarknadsföring (Skäl 47 GDPR): Många företag använder sig av direktmarknadsföring och skickar exempelvis e-postmeddelanden till sina befintliga eller tidigare kunder. Det är tillåtet att använda berättigat intresse som den rättsliga grunden för behandlingen av personuppgifterna vid sådana fall. Däremot är det viktigt att tänka på att individerna som mottar dessa e-postmeddelanden har en absolut rätt att kräva att företaget upphör med att skicka dem. Vid sådana fall ska företaget med omedelbar verkan upphöra med behandlingen av personuppgifterna för ändamålet direktmarknadsföring.
- Överföra personuppgifter mellan bolag inom en företagskoncern (Skäl 48 GDPR): Ett annat exempel på när det är vanligt att använda berättigat intresse som rättslig grund för behandling av personuppgifter, är när bolag inom en koncern överför personuppgifter mellan sig för ett internt administrativt syfte. Exempelvis kan detta ske för att internt behandla de anställdas eller kundernas personuppgifter.
- Förebygga bedrägeri (Skäl 47 GDPR): Ett företag får även behandla personuppgifter med stöd i berättigat intresse för att förebygga bedrägerier eller av andra säkerhetsskäl.
- Säkerställa informationssäkerhet i IT-system (Skäl 49 GDPR): Berättigat intresse som laglig grund kan bli använt av ett företag som utför proportionell och absolut nödvändig behandling av personuppgifter för att säkerställa nät- och informationssäkerhet. Exempelvis behandling som krävs för att minimera riskerna och förhindra inkorrekt kodfördelning, obehörigt tillträde till elektroniska kommunikationsnät, stoppa skador på datorsystem och pågående attacker som överbelastar det elektroniska kommunikationssystem.
Exempel på när företag inte bör använda berättigat intresse som rättslig grund för behandling av personuppgifter
- Om personuppgifterna tillhör barn: Det kan föreligga ett berättigat intresse att behandla personuppgifter som tillhör barn. Däremot är reglerna striktare eftersom barn är en extra skyddsvärd grupp. Därför bör företag överväga om någon annan rättslig grund är mer lämplig att använda för behandling av barns personuppgifter. Företag måste bland annat vidta säkerhetsåtgärder för skydda de rättigheter och friheter som barn har enligt GDPR och andra lagar.
- Om den som utför behandlingen är en myndighet: Myndigheter har inte rätt att behandla personuppgifter som ett led i myndighetsarbetet med stöd i berättigat intresse, oavsett om de utför en intresseavvägning i förväg. Detta beror på att det är upp till lagstiftaren att genom lagstiftning bestämma den rättsliga grunden för behandling av personuppgifter som ska utföras av offentliga myndigheter. Den behandling av personuppgifter som utförs av myndigheter bör därmed endast ske med lagstöd.