Der er seks faser at gå igennem for at analysere, om der er en legitim interesse for virksomheden (eller en tredjepartsdataansvarlig). Hvis analysen resulterer i en legitim interesse i behandlingen, kan behandlingen af personoplysningerne foretages.
Legitim interesse er et af de seks retsgrundlag i henhold til artikel 6 i GDPR, og virksomhederne skal altid have et retsgrundlag for at behandle personoplysninger. Dette gælder for enhver individuel behandling af personoplysninger. På den anden side er det ikke altid tilladt at anvende netop “legitim interesse [databeskyttelsesforordningens artikel 6, stk. 1, litra f)]” som retsgrundlag for behandling af personoplysninger. For at vide, om det er et passende retsgrundlag at anvende, bør virksomheden gennemgå de følgende seks faser for at analysere, om der foreligger en legitim interesse.
Her er seks faser der skal gennemføres for at analysere om der foreligger en legitim interesse.
- Analysere, om legitim interesse i henhold til artikel 6, stk. 1, litra f), i GDPR er det mest hensigtsmæssige retsgrundlag at anvende i det specifikke tilfælde
Legitim interesse er ikke altid et passende retsgrundlag at anvende. Det bør f.eks. undgås, hvis der er et ulige magtforhold mellem den dataansvarlige og den registrerede, hvor den registrerede er den svage part. F.eks. mellem arbejdsgivere og arbejdstagere eller mellem offentlige myndigheder og borgere. Anvendelsen af dette retsgrundlag er heller ikke altid tilladt, hvis personoplysningerne tilhører børn. Virksomhederne bør derfor foretage en analyse for at se, om et andet retsgrundlag er mere hensigtsmæssigt. F.eks. kontrakter med den registrerede i henhold til artikel 6, stk. 1, litra b), eller samtykke i henhold til artikel 6, stk. 1, litra a), i GDPR.
2. Sørg for, at din virksomhed overholder de grundlæggende krav i GDPR
— Lovlig: Behandlingen skal være i overensstemmelse med de grundlæggende principper i GDPR og andre regler. Desuden skal behandlingen være i overensstemmelse med andre love og regler i landet.
— Udtrykkeligt oplyse: I henhold til GDPR skal virksomheder underrette registrerede om behandlingen. Dette gælder også, når retsgrundlaget er en legitim interesse. Oplysningerne skal gøre det muligt at forstå, hvorfor virksomhedens interesse i behandlingen vejer tungere end den registreredes interesse.
— Reelt behov: Desuden skal virksomheden have et reelt behov for at behandle personoplysningerne. Der kan med andre ord ikke være tale om en spekulativ interesse.
- 3. Analysere, om det er muligt at nå det samme mål uden at behandle disse personoplysninger på grundlag af en legitim interesse
I nogle tilfælde kan en virksomhed anvende andre metoder til at opnå de samme mål og resultater. Dette er et vigtigt skridt i analysen, den såkaldte nødvendighedstest. Det er en form for proportionalitetstest. Virksomheden skal analysere og beskrive, hvorfor behandlingen er nødvendig og afgørende for virksomheden. Hvis det viser sig, at virksomheden kan nå det samme mål på anden vis, bør virksomheden ikke behandle personoplysningerne på grundlag af en legitim interesse.
- 4. Foretage en interesseafvejning
Behandling af personoplysninger på grundlag af en legitim interesse er ikke tilladt, hvis den registreredes interesse i beskyttelsen af sine personoplysninger og den registreredes rettigheder og frihedsrettigheder går forud for virksomhedens legitime interesse i behandlingen. Bemærk, at de registreredes interesse normalt er større, jo mere følsomme personoplysningerne er. Den blotte omstændighed, at en enhed foretager en interesseafvejning, betyder ikke automatisk, at enheden har ret til at foretage behandlingen. Hvis virksomheden konkluderer, at den registreredes interesser er højere, er behandlingen ikke tilladt.
Det er vigtigt, at behandlingen i forhold til de registrerede er forholdsmæssig. Det betyder, at behandlingen skal stå i et rimeligt forhold til den ydelse, den giver. Virksomheden skal derfor afveje sine interesser over for den registreredes interesser, inden behandlingen påbegyndes.
5. Tekniske og organisatoriske sikkerhedsforanstaltninger
Virksomhederne skal beskytte de personoplysninger, de behandler. Jo mere følsomme personoplysninger, jo større sikkerhed har virksomheden brug for. For at mindske indvirkningen af ethvert brud på persondatasikkerheden på de registrerede bør virksomheden gennemføre en kombination af forskellige tekniske og organisatoriske sikkerhedsforanstaltninger.
Eksempler på visse tekniske og organisatoriske foranstaltninger omfatter:
- Kryptering af personoplysninger
- Anonymisere personoplysninger
- Brug stærke og unikke adgangskoder i IT-systemet
- Foretage risikovurderinger og konsekvensanalyser
- Implementere forskellige myndighedsniveauer for medarbejderbrugerkonti
- Fastlægge procedurer for håndtering af brud på persondatasikkerheden
- Brug flertrinsautentifikation (MFA), hvis det er muligt, når du logger på forskellige systemer
6. Åbenhed
Virksomheden skal være gennemsigtig over for de registrerede med hensyn til, hvilke personoplysninger de behandler, og skal oplyse om formålet med behandlingen. Desuden skal virksomheden underrette de registrerede om deres rettigheder såsom retten til sletning og om, hvordan de kan gøre indsigelse mod behandlingen.
