Det finns sex faser att gå igenom för att analysera om ett berättigat intresse föreligger för företaget (eller en tredje part som är personuppgiftsansvarig). Om analysen resulterar i att det föreligger ett berättigat intresse till behandlingen, får behandlingen av personuppgifterna bli utförd.
Berättigat intresse utgör en av de sex rättsliga grunderna enligt artikel 6 i GDPR och företag måste alltid ha en rättslig grund för att få behandla personuppgifter. Detta gäller vid varje enskild behandling av personuppgifter. Däremot är det inte alltid tillåtet att använda just “berättigat intresse (artikel 6(1)(f) GDPR” som rättslig grund för behandling av personuppgifter. För att veta om det är en lämplig laglig grund att använda,, bör företaget gå igenom nedan angivna sex faser för att analysera om ett berättigat intresse föreligger.
Här är sex faser att gå igenom för att analysera om ett berättigat intresse föreligger
- Analysera om berättigat intresse enligt artikel 6(1)(f) GDPR är den lämpligaste rättsliga grunden att använda vid det specifika fallet
Berättigat intresse är inte alltid en lämplig rättslig grund att använda. Till exempel bör den undvikas om det råder ett ojämlikt maktförhållande mellan den personuppgiftsansvarige och den registrerade, där den registrerade är den svagare parten. Såsom mellan arbetsgivare och arbetstagare, eller mellan myndigheter och medborgare. Det är inte heller alltid tillåtet att använda denna rättsliga grund om personuppgifterna tillhör barn. Därför bör företag göra en analys för att se om någon annan rättslig grund är mer lämplig. Exempelvis avtal med den registrerade enligt artikel 6(1)(b) eller samtycke artikel 6(1)(a) i GDPR.
Se till att företaget uppfyller de grundläggande kraven i GDPR
– Lagligt: Behandlingen måste uppfylla de grundläggande principerna i GDPR och övriga regler. Dessutom måste behandlingen uppfylla andra lagar och regler i landet.
– Informera uttryckligt: Enligt GDPR måste företag informera de registrerade om behandlingen. Detta gäller även när den rättsliga grunden är berättigat intresse. Genom informationen ska det gå att utläsa varför intresset hos företaget för behandlingen väger tyngre än den registrerades.
– Verkligt behov: Företaget ska dessutom ha ett verkligt behov av att behandla personuppgifterna. Med andra ord kan det inte ske för ett spekulativt intresse.
- Analysera om det går att uppnå samma mål utan att behandla dessa personuppgifter med stöd av berättigat intresse
I vissa fall kan ett företag tillämpa andra metoder för att uppnå samma mål och resultat. Detta är ett viktigt steg att analysera, det så kallade nödvändighetstestet. Det är en form av proportionalitetstest. Företaget behöver analysera och beskriva varför behandlingen är nödvändig och avgörande för företaget. Om det visar sig att företaget kan nå samma mål genom andra metoder, bör företaget inte behandla personuppgifterna med stöd av berättigat intresse.
- Utför en intresseavvägning
Det är inte tillåtet att behandla personuppgifter med stöd i berättigat intresse som rättslig grund, om den registrerades intresse av skydd för sina personuppgifter samt fri- och rättigheter väger tyngre än företagets berättigade intresse för behandlingen. Observera att intresset för registrerade oftast är högre, ju känsligare personuppgifterna är. Bara för att ett företag utför en intresseavvägning innebär det inte per automatik att företaget har rätt att utföra behandlingen. Om företaget kommer fram till att intresset är högre hos den registrerade, är behandlingen inte tillåtet.
Det är viktigt att behandlingen, i förhållande till de registrerade, är proportionerlig. Detta innebär att behandlingen ska stå i rimlig proportion till den nytta den innebär. Företaget måste därmed väga sina intressen mot den registrerades intressen, innan behandlingen blir påbörjad.
Tekniska och organisatoriska säkerhetsåtgärder
Företag måste skydda de personuppgifter de behandlar. Ju känsligare personuppgifter, desto större säkerhet behöver företaget ha. För att minska konsekvenserna för de registrerade vid eventuella personuppgiftsincidenter bör företaget implementera en kombination av olika tekniska och organisatoriska säkerhetsåtgärder.
Exempel på några tekniska och organisatoriska åtgärder:
- Kryptera personuppgifter
- Anonymisera personuppgifter
- Använd starka och unika lösenord till IT-system
- Utför riskbedömningar och konsekvensbedömningar
- Implementera olika behörighetsnivåer för anställdas användarkonton
- Upprätta rutiner för att kunna hantera eventuella personuppgiftsincidenter
- Använda flerstegsautentisering (MFA) om möjligt vid inloggning till olika system
- Öppenhet
Företaget ska vara öppen med de registrerade avseende vilka personuppgifter de behandlar och informera om syftet med behandlingen. Dessutom ska företaget informera de registrerade om deras rättigheter, såsom rätten till radering och hur de gör en invändning mot behandlingen.