Berettiget interesse som behandlingsgrunnlag

All behandling av personopplysninger krever at det foreligger et lovlig behandlingsgrunnlag. Gyldig samtykke er et mye omtalt eksempel på et slikt behandlingsgrunnlag. Et mye mindre omtalt behandlingsgrunnlag er berettiget interesse. Hva er egentlig berettiget interesse og når kan virksomheten bruke dette som grunnlag for behandling av personopplysninger?

Hva er berettiget interesse?

Berettiget interesse er ett av seks vilkår som kan benyttes som grunnlag for behandling av personopplysninger. Det er aktuelt å vurdere om man kan bruke berettiget interesse som behandlingsgrunnlag dersom man f.eks ikke har mulighet til å innhente gyldig samtykke, har hjemmel i lov eller behandler persondata på bakgrunn av avtalevilkår.

De ulike behandlingsgrunnlagene beskrives i den nye personvernforordningen GDPR under artikkel 6 punkt 1. I følge lovteksten kan berettiget interesse brukes som behandlingsgrunnlag dersom «behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.»

Dette betyr at man kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Behandlingen skal være minst mulig inngripende, være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten.

Kan din virksomhet bruke berettiget interesse som behandlingsgrunnlag?

Usikker på om du kan bruke berettiget interesse som behandlingsgrunnlag?

Bruk av berettiget interesse som behandlingsgrunnlag krever i alle tilfeller en nøye vurdering. Når virksomheten gjør en vurdering av om berettiget interesse kan brukes som grunnlag for behandling av personopplysninger, må denne vurderingen dokumenteres.

Den vanskeligste vurderingen er vanligvis spørsmålet om hva som veier tyngst – virksomhetens interesse eller personvernet. Vurderingen vil alltid være skjønnsmessig, og vil derfor kunne slå ulikt ut i forskjellige tilfeller.

Datatilsynet anbefaler at man går gjennom fire trinn når man foretar vurderingen om bruk av berettiget interesse.

1. Virksomhetens interesse

Det skal ikke mye til før en bedrift har «interesse» i det å behandle personinformasjon. Det finnes mange ulike interesser en bedrift kan ha. Gode eksempler er personaladministrasjon og utsendelse av målrettet markedsføring.

I vurderingen av om bedriften har interesse i innsamlingen og behandlingen av personopplysninger, bør du stille spørsmål til hvilke fordeler virksomheten oppnår med behandlingen og hvor viktig disse fordelene er for bedriften.

2. Hensynet til personvernet

Hvor godt tar virksomheten hensyn til personvernet i forbindelse med behandling av personopplysningene? Hvordan ivaretas den registrertes interesser, grunnleggende rettigheter og friheter?

3. Tiltak for å minimere personvernkonsekvensene

Ett viktig kriterium for å kunne bruke berettiget interesse som behandlingsgrunnlag, er at personopplysningene vernes tilstrekkelig. Har systemene i virksomheten innebygd personvern? Er det iverksatt andre tiltak for å minimere personvernkonsekvensene?

4. Balansetesten

Til slutt må bedriften avgjøre om personvernet veier tyngre enn virksomhetens interesse. Er ikke virksomhetens interesser særlig vektige, kan behandling av personopplysninger iverksettes uten samtykke – forutsatt at personvernkonsekvensene er små.

Dersom personvernkonsekvensene er større, er bedriften nødt til å ha en mer tungtveiende interesse i databehandlingen. Virksomhetens iverksatte personvernminimerende tiltak vil ha mye å si i denne vurderingen.

Viser det seg at inngrepet i personvernet ikke står i forhold til interessen virksomheten har i å samle inn opplysningene, er virksomheten nødt til å finne et annet lovlig behandlingsgrunnlag for å kunne samle inn personopplysningene.

Dersom du stiller deg selv spørsmålet: «Vil den registrerte bli negativt overrasket når du informerer dem om behandlingen av opplysninger om dem?» og svaret er ja, vil samtykke kunne være et mer nærliggende behandlingsgrunnlag enn berettiget interesse.

Hjelpespørsmål til interesseavveiningen

NHO har utarbeidet en rekke hjelpespørsmål som du kan bruke i interesseavveiningen. Spørsmålene finner du nedenfor. Husk at vurderingen om bruk av berettiget interesse som behandlingsgrunnlag ikke bør gjøres på antall ja og nei, men ved å vurdere alle faktorene og veie dem mot hverandre.

Svarer du ja på spørsmålene nedenfor, er det i bedriftens favør i balanseavveiningen.

• Finner behandlingen sted fordi den registrerte har bedt om det?
• Regner den registrerte med at behandlingen finner sted?
• Vil den registrerte har fordeler av behandlingen? Forbedrer behandlingen varer eller tjenester som leveres til den registrerte?
• Er behandlingen i den registrertes interesse?
• Er interessen til bedriften og interessen til den registrerte den samme?
• Finnes det noen tilknytning mellom den registrerte og bedriften? Eks: Nåværende, tidligere eller potensiell kunde, leverandør eller ansatt.
• Behandles persondata fordi personen er ansatt hos en kunde eller leverandør?
• Er det få opplysninger som behandles om den registrerte?
• Er opplysningene oppgitt av den registrerte selv?
• Er virksomheten komfortabel med å gi god informasjon til den registrerte om hvordan virksomheten behandler dataene?
• Gir bedriften tilstrekkelig med informasjon om databehandlingen av den registrertes opplysninger?
• Er det enkelt for den registrerte å ta kontakt med bedriften for å kontrollere behandlingen?

Dersom du svarer ja på spørsmålene nedenfor, taler det imot at bedriften bør behandle opplysninger med berettiget samtykke som grunnlag:

• Vil behandlingen overraske den registrerte?
• Vil behandlingen oppfattes som negativ av den registrerte?
• Vil den registrerte oppfatte at opplysningene er av typisk privat eller følsom karakter?
• Inneholder opplysningene vurderinger av den registrerte?
• Behandles det mange opplysninger om den registrerte?
• Kan behandlingen kategoriseres som uvanlig?
• Er det mulig for bedriften å foreta en mindre inngripende behandling av personopplysningene?

Alternativer til berettiget interesse

Dersom det viser seg at vurderingene rundt bruk av berettiget interesse som behandlingsgrunnlag er for vanskelige eller konkluderer med at berettiget interesse ikke er riktig behandlingsgrunnlag, finnes det fem andre vilkår du kan benytte deg av for å kunne behandle persondata:

• Aktivt samtykke
• Inngått avtale
• Fastsatt i lov
• Offentlig interesse
• Beskyttelse av vitale interesser

Du kan lese mer om disse vilkårene i den uoffisielle norske oversettelsen av personvernforordningen.

Dette blogginnlegget kan brukes som veiledning i din virksomhets GDPR-arbeid, men er ikke å betrakte som juridisk rådgivning.

Likte du denne artikkelen? Ikke glem å dele den: