GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 6 (1) (F) GDPR

Berettiget interesse som rettslig grunnlag

Det er vanlig at et selskap bruker legitim interesse som rettslig grunnlag for visse typer behandling av personopplysninger. Rettsgrunnlaget «legitim interesse» er regulert i GDPR artikkel 6 nr. 1 bokstav f.

Bedrifter må finne en balanse av interesser (LIA)

For å avgjøre om foretaket har en berettiget interesse eller ikke, må foretaket først foreta en interesseavveining. Det er viktig at den gjennomførte analysen dokumenteres skriftlig. Selskapet kan senere behandle personopplysningene, forutsatt at interesseavveiningen viser at (1) den registrertes grunnleggende friheter og rettigheter samt interessene for beskyttelse av deres personopplysninger ikke har forrang; (2) Behandlingen er nødvendig for det aktuelle legitime interesseformålet. I tillegg er det viktig å vite at den registrerte har rett til å protestere mot behandling basert på legitim interesse, som fastsatt i artikkel 21 i GDPR. 

Analysere interessene til selskapet og den registrerte

Det er tillatt å basere behandlingen av personopplysninger på en legitim interesse som rettslig grunnlag bare dersom selskapets interesser for behandlingen tilsidesetter den registrertes interesser for beskyttelse av hans eller hennes personopplysninger. Der de grunnleggende frihetene og rettighetene til den registrerte samt interessene for beskyttelse av hans eller hennes personopplysninger råder, er behandlingen ikke autorisert i henhold til dette juridiske grunnlaget. 

Jo mer sensitive personopplysningene som behandles, desto større er den registrertes interesse for å beskytte sine personopplysninger. Under GDPR er det fire grupper av personvernsensitive personopplysninger, hvorav den ene er sensitive personopplysninger. I henhold til GDPR omtales sensitive personopplysninger som «særlige kategorier av personopplysninger», og dette er regulert i artikkel 9 i GDPR.

What breaches of the GDPR can lead to an administrative fine?

Bedrifter kan bruke legitim interesse som rettslig grunnlag for visse typer behandling av personopplysninger

Nedenfor finner du noen eksempler på når selskaper kan bruke legitim interesse som rettslig grunnlag for visse typer behandling av personopplysninger under GDPR.

Forretningsforholdet mellom selskapet og kundene

Når en kunde har et forretningsforhold med et selskap, har selskapet vanligvis lov til å behandle visse personopplysninger fra kunden på grunnlag av legitim interesse som det juridiske grunnlaget. For eksempel kan selskapet sende en e-post til sine tidligere kunder når selskapet lanserer et nytt produkt eller en tjeneste basert på legitim interesse som det juridiske grunnlaget for behandling av personopplysninger.

Overføring av personopplysninger til tredjeparter

Det er tillatt for et foretak som er behandlingsansvarlig å overføre personopplysninger til en tredjepart dersom denne tredjeparten har en berettiget interesse i å behandle de aktuelle personopplysningene. Bedrifter bør imidlertid finne ut følgende informasjon før personopplysningene overføres:

  • Hvorfor overføringen skjer.
  • Om det virkelig er nødvendig.
  • Slik bruker du personopplysningene dine.
  • Rettferdiggjør overføringen. Vær imidlertid oppmerksom på at det er opp til tredjeparten å avgjøre på hvilket av de seks juridiske grunnlagene de vil støtte sin egen behandling av personopplysningene.

Flere eksempler på når selskaper kan bruke berettiget interesse som rettslig grunnlag for behandling av personopplysninger

Grupper

Hvis et selskap ønsker å overføre personopplysninger innenfor gruppen av administrative årsaker.

Direkte markedsføring

Direkte markedsføring, for eksempel e-post, til tidligere kunder.

Forebygging av svindel

Behandling er nødvendig for å forhindre svindel.

Sikkerhet for ansatte

Et selskap som sysselsetter ansatte har rett til å behandle visse typer personopplysninger for sikkerheten til sine ansatte. På den annen side må det være klart og begrunnet.

Innvendinger fra registrerte

Vær oppmerksom på at registrerte har rett til å protestere mot behandling av sine personopplysninger basert på legitim interesse som juridisk grunnlag. Dette er en eksplisitt rettighet som er nedfelt i artikkel 21 i GDPR. 

Hvis et selskap sender direkte markedsføring via e-post og den registrerte ønsker at selskapet skal slutte å behandle, skal selskapet stoppe behandlingen for dette formålet med umiddelbar virkning. I tillegg må selskapet informere de registrerte om at de har denne rettigheten. Dette må gjøres på en tydelig måte. Dersom foretaket driver informasjonssamfunnstjenester, for eksempel sosiale medier, skal foretaket også ha en teknisk løsning som gjør det enkelt for de registrerte å komme med innvendinger. 

I noen tilfeller kan selskapet få lov til å fortsette behandlingen selv etter en innvending. Dette er imidlertid ikke ofte tilfelle. Når en registrert motsetter seg behandlingen, må selskapet utføre en ny analyse og interesseavveining. Det kan for eksempel være tillatt å fortsette behandlingen hvis det er nødvendig for å forsvare et rettslig krav. 

Spørsmål som skal besvares før behandling basert på berettiget interesse som rettslig grunnlag

Her er seks spørsmål som et selskap bør gå gjennom og svare på før behandling av personopplysninger på grunnlag av legitim interesse: 

  • Er berettiget interesse et passende rettslig grunnlag i det konkrete tilfellet, eller er noe annet rettslig grunnlag mer hensiktsmessig?
  • Er behandlingen i samsvar med GDPR og andre relevante lover?
  • Trenger selskapet å behandle disse personopplysningene for å oppnå målet?
  • Utføre en interesseavveining for å se om interessen til selskapet er høyere enn interessen til den registrerte.
  • Har selskapet tatt hensiktsmessige organisatoriske og tekniske tiltak? For eksempel, for å beskytte personopplysninger, redusere risiko for registrerte, dokumentere analysen, etc.
  • Har selskapet informert de registrerte om behandlingen og inkludert hvordan de registrerte kan protestere?

Mer informasjon om GDPR juridiske grunnlag

Samtykke som rettslig grunnlag for behandling av personopplysninger

Samtykke er et relativt vanlig rettslig grunnlag for å støtte behandlingen av personopplysninger. Men det er ikke alltid hensiktsmessig og i noen tilfeller til og med ulovlig. Kort sagt betyr det juridiske grunnlaget samtykke at en person aksepterer at et selskap behandler sine personopplysninger for et bestemt formål. Det må være aktivt samtykke for å være gyldig. I tillegg må samtykket gis frivillig. Et eksempel på når det ikke er tillatt å bruke samtykke som rettslig grunnlag, er når det er et ulikt maktforhold mellom den behandlingsansvarlige og den registrerte. For eksempel mellom en arbeidsgiver og en ansatt. 

Lyst til å lære mer?

Les mer
Skroll til toppen