Intresseavvägning (LIA)
Intresseavvägning för att utreda berättigat intresse
Företag behöver genomföra och dokumentera en intresseavvägning för att utreda berättigat intresse, innan en behandling kan ske baserat på denna rättsliga grund. Berättigat intresse är en vanlig rättslig grund att stödja behandlingar av personuppgifter på.
Utföra en intresseavvägning för att utreda huruvida företaget har ett berättigat intresse
För att bedöma huruvida ett företag har ett berättigat intresse eller inte, måste företaget göra en intresseavvägning. Enligt GDPR måste företag kunna visa att de följer regelverket i praktiken. Därför är det bra att dokumentera allt arbete, såsom genomförandet av en intresseavvägning. Om det är möjligt att uppnå samma syfte på ett mindre integritetskänsligt sätt, ska man inte stödja behandlingen på berättigat intresse.
Företag måste alltid göra en helhetsbedömning i varje enskilt fall när de stödjer en behandling på berättigat intresse som rättslig grund. Det är viktigt att väga in huruvida den registrerade rimligen kan förvänta sig att behandlingen sker på det tilltänkta sättet.
Måste finnas tydliga ändamål med behandlingen
I intresseavvägningen ska det tydligt framgå vad syftet med behandlingen är. Dessutom måste ändamålet vara berättigat. Med andra ord, behandlingen ifråga måste stå i proportion till ändamålet. Det är ändamålen som bestämmer vad företaget får göra med personuppgifterna. När de insamlade personuppgifterna inte längre behövs för ändamålet, ska de bli raderade eller anonymiserade.
Är det tillåtet att överlämna personuppgifter till en tredje man med stöd i berättigat intresse?
Ja, det är tillåtet att överlämna personuppgifter till en tredje man med stöd i berättigat intresse. Däremot måste överlämningen vara motiverad och berättigad. Dessutom måste företaget först ta reda på:
Syftet
Vad syftet med att överlämna personuppgifterna är.
Nödvändigt
Om det verkligen är nödvändigt att överlämna personuppgifterna.
Exempel på när företag kan ha ett berättigat intresse för att behandla personuppgifter
Förhindra bedrägeri
Bedrägeri är ett stort problem i samhället och företag kan ha ett berättigat intresse av att behandla personuppgifter för att förhindra det. Observera att behandlingen måste vara absolut nödvändig för att kunna förhindra denna typ av brott.
Direktmarknadsföring
Företag kan ha ett berättigat intresse av att utföra direktmarknadsföring, enligt skäl 47 i GDPR. Detta brukar vara aktuellt om det finns ett tidigare affärsförhållande mellan parterna, såsom marknadsföring till en tidigare kund. Om det är nya ”kalla kontakter” brukar det vara vanligt att behöva ett samtycke för att genomföra direktmarknadsföringen. Observera att företag måste upphöra med sin direktmarknadsföring om den registrerade begär det och invänder mot behandlingen enligt artikel 21(2) i GDPR.
Employee safety
Säkerhet för anställda: Det kan finnas ett berättigat intresse att garantera säkerheten för anställda genom viss behandling av deras personuppgifter. Det är viktigt att syftet med behandlingen vid sådana fall är tydligt och motiverat. Till exempel:
- Om en väktare eller annan säkerhetspersonal använder ett överfallslarm som dennes arbetsgivare tillhandahåller för användning vid eventuell hotfylld situation.
- Kameraövervakning i entréer, lager, garage eller serverrum, när syftet med behandlingen är att exempelvis förebygga inbrott, sabotage och våld samt skydda personal, kunder och företagets egendom.
- Insamling och kontroll av loggar över filåtkomst, inloggningar till IT-system och nätverkstrafik, när syftet med behandlingen är att upptäcka obehörig åtkomst, förebygga dataintrång och säkerställa informationssäkerheten.
Får företag behandla barns personuppgifter med stöd av berättigat intresse?
Ja, det kan vara tillåtet i vissa fall. Däremot är det viktigt att tänka på att barn har ett starkare skydd enligt GDPR och därför är det bra att vara extra aktsam.
Myndigheter får inte använda berättigat intresse som rättslig grund
Det är inte tillåtet för myndigheter att stödja en behandling av personuppgifter med stöd av den rättsliga grunden berättigat intresse. Orsaken är att det är lagstiftaren som ska tillhandahålla den rättsliga grunden för behandlingen genom lagstiftning. Med andra ord bör myndigheter stödja sin behandling av personuppgifter på tillämplig lag. Dessutom föreligger ett ojämlikt maktförhållande mellan myndigheter och medborgare.
Mer info
Begära förhandssamråd med den nationella dataskyddsmyndigheten
I vissa fall behöver företag begära ett förhandssamråd med den nationella dataskyddsmyndigheten innan de påbörjar en behandling av personuppgifter. Detta gäller om det fortfarande föreligger en hög risk för de enskildas fri- och rättigheter, efter att företaget har gjort en konsekvensbedömning. Observera att företaget måste göra en konsekvensbedömning först, innan förhandssamråd begärs. Den nationella dataskyddsmyndigheten kan genom ett förhandssamråd bedöma huruvida det är en behandling som är i förenlig med GDPR eller inte.