Interesseavveining (LIA)
Balansering av interesser med det formål å bestemme legitim interesse
Bedrifter må gjennomføre og dokumentere en interesseavveining for å undersøke berettiget interesse, før behandling kan skje på grunnlag av dette rettslige grunnlaget. Berettiget interesse er et felles rettslig grunnlag for å støtte behandlingen av personopplysninger på.
Gjennomføre en interesseavveining for å avgjøre om selskapet har en berettiget interesse
For å kunne vurdere om et foretak har en berettiget interesse eller ikke, må foretaket foreta en interesseavveining. I henhold til GDPR må selskaper kunne vise at de overholder regelverket i praksis. Det er derfor nyttig å dokumentere alt arbeid, for eksempel å utføre en interesseavveining. Dersom det er mulig å oppnå samme formål på en mindre personvernsensitiv måte, skal behandlingen ikke underbygges av berettiget interesse.
Bedrifter må alltid foreta en samlet vurdering fra sak til sak når de støtter en behandling basert på legitim interesse som rettslig grunnlag. Det er viktig å vurdere om den registrerte med rimelighet kan forvente at behandlingen skal skje etter hensikten.
Det skal være klare hensikter med behandlingen
Interesseavveiningen skal tydelig angi hva formålet med behandlingen er. I tillegg må formålet være legitimt. Behandlingen må med andre ord stå i forhold til formålet. Det er formålene som bestemmer hva selskapet kan gjøre med personopplysningene. Når de innsamlede personopplysningene ikke lenger er nødvendige for formålet, skal de slettes eller anonymiseres.
Er det tillatt å overføre personopplysninger til en tredjepart på grunnlag av en legitim interesse?
Ja, det er tillatt å overføre personopplysninger til en tredjepart på grunnlag av legitim interesse. På den annen side må overgivelsen være berettiget og berettiget. I tillegg må selskapet først finne ut:
Formål
Formålet med overføringen av personopplysningene.
Nødvendig
Om overføring av personopplysninger virkelig er nødvendig.
Eksempler på når selskaper kan ha en berettiget interesse av å behandle personopplysninger
Forebygging av svindel
Svindel er et stort problem i samfunnet, og selskaper kan ha en legitim interesse i å behandle personopplysninger for å forhindre det. Vær oppmerksom på at behandlingen må være strengt nødvendig for å forhindre denne typen kriminalitet.
Direkte markedsføring
Foretak kan ha en legitim interesse i å utføre direkte markedsføring, i henhold til betraktning 47 i GDPR. Dette vil vanligvis være tilfelle hvis det er et tidligere forretningsforhold mellom partene, for eksempel markedsføring til en tidligere kunde. Dersom det oppstår nye «kalde kontakter», er det vanlig å kreve samtykke til direkte markedsføring. Vær oppmerksom på at selskaper må avslutte sine direkte markedsføringsaktiviteter hvis den registrerte ber om det og motsetter seg behandlingen i henhold til artikkel 21 (2) GDPR.
Ansattes sikkerhet
Sikkerhet for ansatte: Det kan være en berettiget interesse i å sikre de ansattes sikkerhet gjennom en viss behandling av personopplysningene deres. Det er viktig at formålet med behandlingen i slike tilfeller er klart og begrunnet. For eksempel:
- Bruk av en sikkerhetsvakt eller annet sikkerhetspersonell av et varslingssystem levert av arbeidsgiveren til bruk i tilfelle en trussel.
- Kameraovervåking i innganger, lagre, garasjer eller serverrom, når formålet med behandlingen er for eksempel forebygging av innbrudd, sabotasje og vold, samt beskyttelse av personell, kunder og bedriftseiendom.
- Innsamling og verifisering av logger over falsk tilgang, IT-systempålogginger og nettverkstrafikk, der formålet med behandlingen er å oppdage uautorisert tilgang, forhindre databrudd og sikre informasjonssikkerhet.
Kan selskaper behandle barns personopplysninger på grunnlag av berettiget interesse?
Ja, det kan være tillatt i noen tilfeller. På den annen side er det viktig å huske på at barn har et høyere beskyttelsesnivå under GDPR, og derfor er det godt å være ekstra forsiktig.
Myndighetene kan ikke bruke legitim interesse som rettslig grunnlag
Det er ikke tillatt for offentlige myndigheter å støtte behandling av personopplysninger på grunnlag av det juridiske grunnlaget for legitim interesse. Dette skyldes at det er lovgiveren som gir det juridiske grunnlaget for behandlingen gjennom lovgivningen. Offentlige myndigheter bør med andre ord støtte deres behandling av personopplysninger i henhold til gjeldende lov. Videre er det et ulikt maktforhold mellom myndigheter og borgere.
Mer informasjon
Be om forhåndskonsultasjon med den nasjonale personvernmyndigheten
I noen tilfeller må selskaper be om forhåndskonsultasjon med den nasjonale databeskyttelsesmyndigheten før de begynner å behandle personopplysninger. Dette er tilfelle der det fortsatt er høy risiko for enkeltpersoners rettigheter og friheter, etter en konsekvensanalyse fra selskapet. Vær oppmerksom på at selskapet må gjennomføre en konsekvensutredning først, før det blir bedt om forhåndskonsultasjon. Den nasjonale databeskyttelsesmyndigheten kan vurdere, gjennom en forhåndskonsultasjon, hvorvidt det er en behandling i samsvar med GDPR.