En virksomhed, der sender en markedsførings-e-mail til en tidligere kunde, er et eksempel på, hvornår det kan være hensigtsmæssigt at anvende legitim interesse som retsgrundlag for behandlingen af personoplysningerne.
Legitim interesse er et af i alt seks retsgrundlag, som virksomheder kan anvende til behandling af personoplysninger i henhold til artikel 6 i GDPR. Desuden er dette et fælles retsgrundlag, som virksomhederne kan anvende. To andre eksempler på retsgrundlag er kontrakter med registrerede og samtykke.
Hvis det kan være hensigtsmæssigt at anvende en legitim interesse som retsgrundlag: Hvad betyder legitim interesse?
For at det er hensigtsmæssigt at anvende legitim interesse som retsgrundlag, skal virksomheden have en legitim interesse i behandlingen, der går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. Det er derfor vigtigt at foretage en omhyggelig afvejning af interesser og vurdering for at analysere dette. I vurderingen er det bl.a. vigtigt at tage hensyn til de registreredes rimelige forventninger og deres forhold til den dataansvarlige. Desuden skal virksomheden analysere, om den registrerede på tidspunktet for indsamlingen af vedkommendes personoplysninger med rimelighed kunne forvente, at behandlingen til den angivne legitime interesse og det angivne legitime formål ville finde sted.
Der er flere vigtige skridt, der skal tages i forbindelse med interesseafvejningen. Der er bl.a. seks faser, som virksomhederne bør gennemgå for at afgøre, om der foreligger en legitim interesse.
Bemærk, at en virksomhed ikke automatisk må behandle personoplysninger, blot fordi den foretager en interesseafvejning. Den pågældende behandling må kun finde sted, hvis resultatet af interesseafvejningen viser, at den registreredes interesse i beskyttelsen af sine personoplysninger samt sin frihed og sine rettigheder ikke vejer tungere end den legitime interesse i behandlingen. Ikke omvendt. Et godt udgangspunkt er, at jo mere følsomme personoplysninger, desto vigtigere er den registreredes interesser.
Tredjeparters legitime interesser
En god ting at vide er, at den legitime interesse kan være selskabets egen eller tredjemands. Det betyder, at det i visse tilfælde f.eks. er tilladt at videregive personoplysninger til en tredjepart, der har en legitim interesse i at behandle oplysningerne. Inden personoplysningerne videregives, skal virksomheden imidlertid kunne påvise, at videregivelsen er berettiget, og finde ud af:
- Hvorfor: Hvorfor tredjeparten ønsker personoplysningerne?
- Hvad: Hvad tredjeparten bør gøre med personoplysningerne
- Nødvendighed: Om det reelt er nødvendigt for tredjeparten at behandle personoplysningerne
Eksempler på, hvornår det kan være hensigtsmæssigt at anvende legitim interesse som retsgrundlag
- Direkte markedsføring (betragtning 47 i GDPR): Mange virksomheder anvender direkte markedsføring og sender f.eks. e-mails til deres eksisterende eller tidligere kunder. Det er tilladt at anvende en legitim interesse som retsgrundlag for behandlingen af personoplysninger i sådanne tilfælde. På den anden side er det vigtigt at huske på, at de personer, der modtager disse e-mails, har en absolut ret til at kræve, at virksomheden ophører med at sende dem. I sådanne tilfælde indstiller virksomheden behandlingen af personoplysningerne med henblik på direkte markedsføring med øjeblikkelig virkning.
- Overførsel af personoplysninger mellem virksomheder inden for en koncern (betragtning 48 i GDPR): Et andet eksempel på, hvornår det er almindeligt at anvende legitim interesse som retsgrundlag for behandling af personoplysninger, er, når virksomheder i en koncern overfører personoplysninger mellem sig til et internt administrativt formål. Dette kan f.eks. ske i forbindelse med intern behandling af ansattes eller kunders personoplysninger.
- Forebyggelse af svig (betragtning 47 i GDPR): En virksomhed kan også behandle personoplysninger på grundlag af en legitim interesse for at forebygge svig eller af andre sikkerhedsmæssige årsager.
- Sikring af informationssikkerhed i IT-systemer (betragtning 49 i GDPR): Legitim interesse som retsgrundlag kan anvendes af en virksomhed, der foretager forholdsmæssig og strengt nødvendig behandling af personoplysninger for at sikre net- og informationssikkerhed. F.eks. behandling, der er nødvendig for at minimere risici og forhindre ukorrekt kodetildeling, uautoriseret adgang til elektroniske kommunikationsnet, standsning af skader på computersystemer og igangværende angreb, der overbelaster det elektroniske kommunikationssystem.
Eksempler på, hvornår virksomheder ikke bør anvende legitime interesser som retsgrundlag for behandling af personoplysninger
- Hvis personoplysningerne tilhører børn: Der kan være en legitim interesse i behandlingen af børns personoplysninger. På den anden side er reglerne strengere, da børn er en yderligere beskyttelsesværdig gruppe. Virksomhederne bør derfor overveje, om et andet retsgrundlag er mere hensigtsmæssigt at anvende til behandling af børns personoplysninger. Virksomhederne skal bl.a. træffe sikkerhedsforanstaltninger for at beskytte børns rettigheder og frihedsrettigheder i henhold til GDPR og andre love.
- Hvis den person, der foretager behandlingen, er en myndighed: Offentlige myndigheder har ikke ret til at behandle personoplysninger som led i deres arbejde på grundlag af en legitim interesse, uanset om de foretager en forudgående afvejning af interesser. Dette skyldes, at det er op til lovgiveren ved lov at fastsætte retsgrundlaget for de offentlige myndigheders behandling af personoplysninger. Offentlige myndigheders behandling af personoplysninger bør derfor kun foretages på grundlag af lovgivningen.
