Artikel 6(1)(f) i GDPR
Berättigat intresse som rättslig grund
Det är vanligt för ett företag att använda berättigat intresse som rättslig grund vid vissa typer av behandlingar av personuppgifter. Den rättsliga grunden “berättigat intresse” är reglerad i Artikel 6(1)(f) i GDPR.
Företag behöver göra en Intresseavvägning (LIA)
För att kunna avgöra huruvida företaget har ett berättigat intresse eller inte, ska företaget först göra en intresseavvägning. Det är viktigt att den utförda analysen blir dokumenterad skriftligen. Företaget kan därefter behandla personuppgifterna, under förutsättning att intresseavvägningen visar att 1) den registrerades grundläggande friheter och rättigheter samt intressen för skydd av sina personuppgifter inte väger tyngre; och 2) behandlingen är nödvändig för det aktuella ändamålet som rör ett berättigat intresse. Det är dessutom viktigt att känna till att den registrerade rätt att invända mot behandlingen som är baserad på berättigat intresse, enligt Artikel 21 GDPR.
Analysera intresset hos företaget och den registrerade
Det är enbart tillåtet att grunda en personuppgiftsbehandling på berättigat intresse som rättslig grund om företagets intressen för behandlingen väger tyngre, än den registrerades intressen för skydd av sina personuppgifter. Om den registrerades grundläggande friheter och rättigheter samt intressen för skydd av sina personuppgifter väger tyngre, är behandlingen inte tillåten med stöd i denna rättsliga grund.
Ju känsligare personuppgifter som behandlingen avser, desto högre är den registrerades intressen för skydd av sina personuppgifter. Inom GDPR finns det fyra grupper av integritetskänsliga personuppgifter, varav en av grupperna utgör känsliga personuppgifter. Enligt GDPR är känsliga personuppgifter kallade för “särskilda kategorier av personuppgifter” och detta är reglerat i Artikel 9 i GDPR.
Företag kan använda berättigat intresse som rättslig grund vid vissa typer av behandlingar av personuppgifter
Nedan kan du läsa om några exempel på när företag kan använda berättigat intresse som rättslig grund vid vissa typer av behandlingar av personuppgifter i enlighet med GDPR.
Affärsrelation mellan företaget och kunderna
När en kund har en affärsrelation med ett företag, brukar det vara tillåtet för företaget att behandla vissa personuppgifter tillhörande kunden med stöd i berättigat intresse som den rättsliga grunden. Exempelvis kan företaget skicka ett mejl till sina tidigare kunder när företaget lanserar en ny produkt eller tjänst med stöd i berättigat intresse som den rättsliga grunden för personuppgiftsbehandlingen.
Överföra personuppgifter till tredje man
Det är tillåtet för ett företag som är personuppgiftsansvarig att överföra personuppgifter till tredje man, om den tredje mannen har ett berättigat intresse att behandla personuppgifterna i fråga. Företag bör dock ta reda på följande information innan personuppgifterna blir överförda:
- Varför överföringen sker
- Om det verkligen är nödvändigt
- Hur personuppgifterna ska bli använda
- Motivera överföringen. Observera däremot att det är den tredje mannen som ska fastställa vilken av de sex rättsliga grunderna som de kommer att stödja sin egen behandling av personuppgifterna på.
Fler exempel på när företag kan använda berättigat intresse som rättslig grund vid behandling av personuppgifter
Om ett företag vill överföra personuppgifter inom sin koncern för administrativa orsaker.
Direktmarknadsföring, såsom mejlutskick, till tidigare kunder.
När behandlingen är nödvändig för att kunna förhindra bedrägeri.
Ett företag som har anställda har rätt att behandla vissa typer av personuppgifter av säkerhetsskäl för de anställda. Däremot måste det framgå tydligt och vara motiverat.
Invändningar från registrerade
Observera att de registrerade har rätt att invända mot behandling av deras personuppgifter som sker baserat på berättigat intresse som rättslig grund. Detta är en uttrycklig rättighet som framgår i Artikel 21 i GDPR.
Om ett företag skickar direktmarknadsföring via mejl och den registrerade vill att företaget upphör, ska företaget sluta med behandlingen för detta ändamålet med omedelbar verkan. Dessutom måste företaget informera de registrerade om att de har denna rättighet. Det ska ske på ett tydligt sätt. Om företaget bedriver informationssamhällets tjänster, såsom sociala medier, ska företaget även ha en teknisk lösning för de registrerade att enkelt kunna göra en invändning.
I vissa fall kan företaget få fortsätta med sin behandling även efter en invändning. Däremot är det inte ofta detta kan ske. När en registrerad gör en invändning mot behandlingen, måste företaget göra en ny analys och intresseavvägning av behovet. Det kan till exempel vara tillåtet att fortsätta behandlingen om den är nödvändig för att försvara ett rättsligt anspråk.
Frågor att besvara innan behandling sker med stöd i berättigat intresse som rättslig grund
Här är sex frågor som ett företag bör gå igenom och besvara innan de behandlar personuppgifter med stöd av berättigat intresse:
- Är berättigat intresse en lämplig rättslig grund i det specifika faller eller är någon annan rättslig grund mer lämplig?
- Är behandlingen i enlighet med GDPR och andra relevanta lagar?
- Måste företaget behandla dessa personuppgifter för att uppnå målet?
- Gör en intresseavvägning för att se om intresset för företaget är högre än för den registrerade.
- Har företaget vidtagit lämpliga organisatoriska och tekniska åtgärder? Till exempel för att skydda personuppgifterna, minska riskerna för de registrerade, dokumentera analysen m.m.
- Har företaget informerat de registrerade om behandlingen samt inkluderat hur de registrerade kan göra invändningar?
Mer info om rättsliga grunder i GDPR
Rättslig förpliktelse är en annan rättslig grund som är vanlig för företag att använda för vissa typer av behandlingar av personuppgifter
Rättslig förpliktelse är en rättslig grund som innebär att ett företag har rätt att behandla personuppgifter, om det måste ske för att företaget ska uppfylla krav i någon lag eller regel som omfattar företaget. Ett exempel är att företag behöver spara kvitton i ett visst antal år enligt tillämplig bokföringslag, och då kan företaget inte radera personuppgifterna som förekommer i underlaget tidigare än så. Exempelvis måste företag registrerade i Sverige spara sitt bokföringsunderlag i sju (7) år enligt den svenska bokföringslagen.