Interessevægt (LIA)
Afvejning af interesser for at undersøge legitim interesse
Virksomhederne skal foretage og dokumentere en interesseafvejning for at undersøge legitime interesser, før en behandling kan finde sted på grundlag af dette retsgrundlag. Legitim interesse er et fælles retsgrundlag for at støtte behandlingen af personoplysninger.
Foretage en interesseafvejning for at afgøre, om virksomheden har en legitim interesse
For at vurdere, om en virksomhed har en legitim interesse, skal virksomheden foretage en afvejning af sine interesser. Ifølge GDPR skal virksomheder kunne dokumentere, at de overholder reglerne i praksis. Derfor er det godt at dokumentere alt arbejdet, såsom gennemførelsen af en interesseafvejning. Hvis det er muligt at opnå det samme formål på en mindre privatlivsfølsom måde, må behandlingen ikke være baseret på legitime interesser.
Virksomhederne skal altid foretage en samlet vurdering i hvert enkelt tilfælde, når de støtter en behandling baseret på legitim interesse som retsgrundlag. Det er vigtigt at overveje, om den registrerede med rimelighed kan forvente, at behandlingen finder sted på den påtænkte måde.
Der skal være et klart formål med behandlingen
Ved interesseafvejningen skal det være klart, hvad formålet med behandlingen er. Desuden skal formålet begrundes. Med andre ord skal den pågældende behandling stå i et rimeligt forhold til formålet. Det er formålene, der afgør, hvad virksomheden kan gøre med personoplysningerne. Når de indsamlede personoplysninger ikke længere er nødvendige til formålet, skal de slettes eller anonymiseres.
Er det tilladt at overføre personoplysninger til en tredjepart på grundlag af en legitim interesse?
Ja, det er tilladt at overføre personoplysninger til en tredjepart på grundlag af legitim interesse. På den anden side skal overgivelsen være begrundet og berettiget. Derudover skal virksomheden først finde ud af:
Formål
Hvad er formålet med at give personoplysningerne?
Nødvendigt
Om det virkelig er nødvendigt at udlevere personoplysningerne.
Eksempler på, hvornår virksomheder kan have en legitim interesse i at behandle personoplysninger
Forebyggelse af svig
Svig er et stort problem i samfundet, og virksomheder kan have en legitim interesse i at behandle personoplysninger for at forhindre det. Bemærk venligst, at behandlingen skal være strengt nødvendig for at forhindre denne type kriminalitet.
Direkte markedsføring
Virksomheder kan have en legitim interesse i at foretage direkte markedsføring i henhold til betragtning 47 i GDPR. Dette er normalt tilfældet, hvis der er en tidligere forretningsforbindelse mellem parterne, såsom markedsføring til en tidligere kunde. Hvis der er nye "kolde kontakter", er det normalt almindeligt, at der kræves samtykke for at foretage direkte markedsføring. Bemærk venligst, at virksomheder skal ophøre med direkte markedsføring, hvis den registrerede anmoder herom og gør indsigelse mod behandlingen i henhold til artikel 21, stk. 2, i GDPR.
Medarbejdersikkerhed
Medarbejdersikkerhed: Der kan være en legitim interesse i at sikre medarbejdernes sikkerhed gennem visse former for behandling af deres personoplysninger. Det er vigtigt, at formålet med behandlingen i sådanne tilfælde er klart og begrundet. F.eks.:
- Når en sikkerhedsvagt eller andet sikkerhedspersonale anvender en overfaldsalarm fra deres arbejdsgiver til brug i tilfælde af en trussel.
- Kameraovervågning i indgange, pakhuse, garager eller serverrum, når formålet med behandlingen f.eks. er at forhindre indbrud, sabotage og vold samt at beskytte personale, kunder og virksomhedens ejendom.
- Indsamling og kontrol af logfiler over filadgang, logins til IT-systemer og netværkstrafik, når formålet med behandlingen er at opdage uautoriseret adgang, forhindre brud på datasikkerheden og sikre informationssikkerheden.
Kan virksomheder behandle børns personoplysninger på grundlag af legitim interesse?
Ja, det kan være tilladt i nogle tilfælde. Det er dog vigtigt at huske på, at børn har en stærkere beskyttelse under GDPR, og derfor er det godt at være ekstra forsigtig.
Myndighederne må ikke bruge legitime interesser som retsgrundlag
Det er ikke tilladt for myndighederne at støtte behandlingen af personoplysninger på grundlag af retsgrundlagets legitime interesse. Dette skyldes, at det er op til lovgiveren at tilvejebringe retsgrundlaget for behandlingen gennem lovgivning. Med andre ord bør offentlige myndigheder støtte deres behandling af personoplysninger i henhold til gældende ret. Desuden er der et ulige magtforhold mellem myndigheder og borgere.
Flere oplysninger
Anmod om forudgående høring af den nationale databeskyttelsesmyndighed
I nogle tilfælde skal virksomhederne anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, inden de påbegynder behandlingen af personoplysninger. Dette gælder, hvis der, efter at virksomheden har foretaget en konsekvensanalyse, stadig er en høj risiko for enkeltpersoners rettigheder og frihedsrettigheder. Bemærk, at virksomheden først skal foretage en konsekvensanalyse, inden der anmodes om forudgående høring. Den nationale databeskyttelsesmyndighed kan gennem en forudgående høring vurdere, om der er tale om en behandlingsaktivitet, der er i overensstemmelse med GDPR eller ej.