GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 6, stk. 1, litra f), i GDPR

Legitim interesse som retsgrundlag

Det er almindeligt, at en virksomhed bruger legitim interesse som retsgrundlag for visse typer behandling af personoplysninger. Retsgrundlaget “legitim interesse” er reguleret i artikel 6, stk. 1, litra f), i GDPR.

Virksomheder skal skabe en balance mellem interesser (LIA)

For at afgøre, om selskabet har en legitim interesse, skal selskabet først foretage en interesseafvejning. Det er vigtigt, at den udførte analyse dokumenteres skriftligt. Selskabet kan derefter behandle personoplysningerne, forudsat at interesseafvejningen viser, at (1) den registreredes grundlæggende rettigheder og frihedsrettigheder og interesserne for beskyttelse af hans eller hendes personoplysninger ikke har forrang; og (2) behandlingen er nødvendig med henblik på den legitime interesse, der forfølges. Derudover er det vigtigt at vide, at den registrerede har ret til at gøre indsigelse mod behandlingen baseret på legitim interesse i overensstemmelse med artikel 21 i GDPR. 

Analysere virksomhedens og den registreredes interesser

Det er kun tilladt at basere en behandling af personoplysninger på legitim interesse som retsgrundlag, hvis virksomhedens interesser for behandlingen vejer tungere end den registreredes interesser for beskyttelse af hans eller hendes personoplysninger. Hvis den registreredes grundlæggende rettigheder og frihedsrettigheder og interesserne for beskyttelse af vedkommendes personoplysninger har forrang, er behandlingen ikke tilladt på grundlag af dette retsgrundlag. 

Jo mere følsomme de personoplysninger, som behandlingen vedrører, er, desto større er den registreredes interesse i at beskytte sine personoplysninger. I henhold til databeskyttelsesforordningen er der fire grupper af personoplysninger, der er følsomme over for privatlivets fred, hvoraf den ene udgør følsomme personoplysninger. I henhold til GDPR betegnes følsomme personoplysninger som “særlige kategorier af personoplysninger”, og dette er reguleret i artikel 9 i GDPR.

What breaches of the GDPR can lead to an administrative fine?

Virksomheder kan bruge legitim interesse som retsgrundlag for visse typer behandling af personoplysninger

Nedenfor kan du læse om nogle eksempler på, hvornår virksomheder kan bruge legitim interesse som retsgrundlag for visse typer behandling af personoplysninger i overensstemmelse med GDPR.

Forretningsrelationer mellem virksomhed og kunder

Når en kunde har en forretningsforbindelse med en virksomhed, er det normalt tilladt for virksomheden at behandle visse personoplysninger om kunden på grundlag af legitim interesse som retsgrundlag. Virksomheden kan f.eks. sende en e-mail til sine tidligere kunder, når virksomheden lancerer et nyt produkt eller en ny tjeneste baseret på legitim interesse som retsgrundlag for behandling af personoplysninger.

Overførsel af personoplysninger til tredjeparter

Det er tilladt for en virksomhed, der er dataansvarlig, at overføre personoplysninger til en tredjepart, hvis tredjeparten har en legitim interesse i at behandle de pågældende personoplysninger. Virksomhederne bør dog finde ud af følgende oplysninger, inden personoplysningerne overføres:

  • Hvorfor overførslen finder sted
  • Hvis det virkelig er nødvendigt
  • Hvordan personoplysningerne vil blive brugt
  • Retfærdiggør overførslen. Bemærk dog, at det er op til tredjeparten at afgøre, på hvilket af de seks retsgrundlag de vil støtte deres egen behandling af personoplysningerne.

Flere eksempler på, hvornår virksomheder kan bruge legitim interesse som retsgrundlag for behandling af personoplysninger

Grupper

Hvis en virksomhed ønsker at overføre personoplysninger inden for sin koncern af administrative årsager.

Direkte markedsføring

Direkte markedsføring, såsom forsendelser, til tidligere kunder.

Forebyggelse af svig

hvis behandlingen er nødvendig for at forhindre svig

Sikkerhed for medarbejderne

En virksomhed, der har medarbejdere, har ret til at behandle visse typer personoplysninger af sikkerhedsmæssige årsager for medarbejderne. Det skal dog være klart og begrundet.

Indsigelser fra registrerede

Bemærk venligst, at registrerede har ret til at gøre indsigelse mod behandlingen af deres personoplysninger baseret på legitim interesse som retsgrundlag. Dette er en udtrykkelig ret, der er fastsat i artikel 21 i GDPR. 

Hvis en virksomhed sender direkte markedsføring via e-mail, og den registrerede ønsker, at virksomheden skal stoppe, skal virksomheden stoppe behandlingen til dette formål med øjeblikkelig virkning. Derudover skal virksomheden informere de registrerede om, at de har denne ret. Det skal gøres på en klar måde. Hvis virksomheden leverer informationssamfundstjenester såsom sociale medier, skal virksomheden også have en teknisk løsning, så de registrerede let kan gøre indsigelse. 

I nogle tilfælde kan virksomheden fortsætte sin behandling, selv efter en indsigelse. Det er dog ikke ofte, at dette kan ske. Når en registreret gør indsigelse mod behandlingen, skal virksomheden foretage en ny analyse og interesseafvejning. Det kan f.eks. være tilladt at fortsætte behandlingen, hvis det er nødvendigt for at forsvare et retskrav. 

Spørgsmål, der skal besvares inden behandling på grundlag af legitim interesse som retsgrundlag

Her er seks spørgsmål, som en virksomhed skal gennemgå og besvare, før den behandler personoplysninger på grundlag af legitim interesse: 

  • Er legitim interesse et passende retsgrundlag i den konkrete sag, eller er et andet retsgrundlag mere hensigtsmæssigt?
  • Er behandlingen i overensstemmelse med GDPR og andre relevante love?
  • Er virksomheden nødt til at behandle disse personoplysninger for at nå målet?
  • Foretage en afvejning af interesser for at se, om virksomhedens interesse er højere end den registreredes interesse.
  • Har virksomheden truffet passende organisatoriske og tekniske foranstaltninger? F.eks. for at beskytte personoplysninger, mindske risiciene for de registrerede, dokumentere analysen osv.
  • Har virksomheden informeret de registrerede om behandlingen og medtaget, hvordan de registrerede kan gøre indsigelse?

Mere info om det juridiske grundlag for GDPR

Samtykke som retsgrundlag for behandling af personoplysninger

Juridisk forpligtelse er et retsgrundlag, der betyder, at en virksomhed har ret til at behandle personoplysninger, hvis den skal gøre det, for at virksomheden kan opfylde kravene i enhver lov eller regel, der dækker virksomheden. Et eksempel er, at virksomheder skal gemme kvitteringer i et vist antal år i henhold til gældende regnskabslovgivning, og så kan virksomheden ikke slette de personoplysninger, der fremgår af dokumentationen tidligere. F.eks. skal virksomheder, der er registreret i Sverige, føre deres regnskaber i syv (7) år i henhold til den svenske regnskabslov. 

Vil du lære mere?

Læs mere
Scroll to Top