Berettiget interesse som behandlingsgrunnlag
All behandling av personopplysninger krever at det foreligger et lovlig behandlingsgrunnlag. Gyldig samtykke er et mye omtalt eksempel på et slikt behandlingsgrunnlag. Et mye mindre omtalt behandlingsgrunnlag er berettiget interesse. Hva er egentlig berettiget interesse og når kan virksomheten bruke dette som grunnlag for behandling av personopplysninger?
Hva er berettiget interesse?
Berettiget interesse er ett av seks vilkår som kan benyttes som grunnlag for behandling av personopplysninger. Det er aktuelt å vurdere om man kan bruke berettiget interesse som behandlingsgrunnlag dersom man f.eks ikke har mulighet til å innhente gyldig samtykke, har hjemmel i lov eller behandler persondata på bakgrunn av avtalevilkår.
De ulike behandlingsgrunnlagene beskrives i den nye personvernforordningen GDPR under artikkel 6 punkt 1. I følge lovteksten kan berettiget interesse brukes som behandlingsgrunnlag dersom «behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.»
Dette betyr at man kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Behandlingen skal være minst mulig inngripende, være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten.
Kan din virksomhet bruke berettiget interesse som behandlingsgrunnlag?
Usikker på om du kan bruke berettiget interesse som behandlingsgrunnlag?
Bruk av berettiget interesse som behandlingsgrunnlag krever i alle tilfeller en nøye vurdering. Når virksomheten gjør en vurdering av om berettiget interesse kan brukes som grunnlag for behandling av personopplysninger, må denne vurderingen dokumenteres.
Den vanskeligste vurderingen er vanligvis spørsmålet om hva som veier tyngst – virksomhetens interesse eller personvernet. Vurderingen vil alltid være skjønnsmessig, og vil derfor kunne slå ulikt ut i forskjellige tilfeller.
Datatilsynet anbefaler at man går gjennom fire trinn når man foretar vurderingen om bruk av berettiget interesse.
1. Virksomhetens interesse
Det skal ikke mye til før en bedrift har «interesse» i det å behandle personinformasjon. Det finnes mange ulike interesser en bedrift kan ha. Gode eksempler er personaladministrasjon og utsendelse av målrettet markedsføring.
I vurderingen av om bedriften har interesse i innsamlingen og behandlingen av personopplysninger, bør du stille spørsmål til hvilke fordeler virksomheten oppnår med behandlingen og hvor viktig disse fordelene er for bedriften.
117 eksempelspørsmål
& best practice
- 117 eksempelspørsmål i ulike kategorier
- Hvordan oppnå høy responsrate
- Hvordan få tilbakemeldinger av høy kvalitet
- Hvordan effektivt samle inn evalueringer
2. Hensynet til personvernet
Hvor godt tar virksomheten hensyn til personvernet i forbindelse med behandling av personopplysningene? Hvordan ivaretas den registrertes interesser, grunnleggende rettigheter og friheter?
3. Tiltak for å minimere personvernkonsekvensene
Ett viktig kriterium for å kunne bruke berettiget interesse som behandlingsgrunnlag, er at personopplysningene vernes tilstrekkelig. Har systemene i virksomheten innebygd personvern? Er det iverksatt andre tiltak for å minimere personvernkonsekvensene?
4. Balansetesten
Til slutt må bedriften avgjøre om personvernet veier tyngre enn virksomhetens interesse. Er ikke virksomhetens interesser særlig vektige, kan behandling av personopplysninger iverksettes uten samtykke – forutsatt at personvernkonsekvensene er små.
Dersom personvernkonsekvensene er større, er bedriften nødt til å ha en mer tungtveiende interesse i databehandlingen. Virksomhetens iverksatte personvernminimerende tiltak vil ha mye å si i denne vurderingen.
Viser det seg at inngrepet i personvernet ikke står i forhold til interessen virksomheten har i å samle inn opplysningene, er virksomheten nødt til å finne et annet lovlig behandlingsgrunnlag for å kunne samle inn personopplysningene.
Dersom du stiller deg selv spørsmålet: «Vil den registrerte bli negativt overrasket når du informerer dem om behandlingen av opplysninger om dem?» og svaret er ja, vil samtykke kunne være et mer nærliggende behandlingsgrunnlag enn berettiget interesse.
Hjelpespørsmål til interesseavveiningen
NHO har utarbeidet en rekke hjelpespørsmål som du kan bruke i interesseavveiningen. Spørsmålene finner du nedenfor. Husk at vurderingen om bruk av berettiget interesse som behandlingsgrunnlag ikke bør gjøres på antall ja og nei, men ved å vurdere alle faktorene og veie dem mot hverandre.
Svarer du ja på spørsmålene nedenfor, er det i bedriftens favør i balanseavveiningen.
- Finner behandlingen sted fordi den registrerte har bedt om det?
- Regner den registrerte med at behandlingen finner sted?
- Vil den registrerte har fordeler av behandlingen? Forbedrer behandlingen varer eller tjenester som leveres til den registrerte?
- Er behandlingen i den registrertes interesse?
- Er interessen til bedriften og interessen til den registrerte den samme?
- Finnes det noen tilknytning mellom den registrerte og bedriften? Eks: Nåværende, tidligere eller potensiell kunde, leverandør eller ansatt.
- Behandles persondata fordi personen er ansatt hos en kunde eller leverandør?
- Er det få opplysninger som behandles om den registrerte?
- Er opplysningene oppgitt av den registrerte selv?
- Er virksomheten komfortabel med å gi god informasjon til den registrerte om hvordan virksomheten behandler dataene?
- Gir bedriften tilstrekkelig med informasjon om databehandlingen av den registrertes opplysninger?
- Er det enkelt for den registrerte å ta kontakt med bedriften for å kontrollere behandlingen?
Dersom du svarer ja på spørsmålene nedenfor, taler det imot at bedriften bør behandle opplysninger med berettiget samtykke som grunnlag:
- Vil behandlingen overraske den registrerte?
- Vil behandlingen oppfattes som negativ av den registrerte?
- Vil den registrerte oppfatte at opplysningene er av typisk privat eller følsom karakter?
- Inneholder opplysningene vurderinger av den registrerte?
- Behandles det mange opplysninger om den registrerte?
- Kan behandlingen kategoriseres som uvanlig?
- Er det mulig for bedriften å foreta en mindre inngripende behandling av personopplysningene?
Alternativer til berettiget interesse
Dersom det viser seg at vurderingene rundt bruk av berettiget interesse som behandlingsgrunnlag er for vanskelige eller konkluderer med at berettiget interesse ikke er riktig behandlingsgrunnlag, finnes det fem andre vilkår du kan benytte deg av for å kunne behandle persondata:
- Aktivt samtykke
- Inngått avtale
- Fastsatt i lov
- Offentlig interesse
- Beskyttelse av vitale interesser
Du kan lese mer om disse vilkårene i den uoffisielle norske oversettelsen av personvernforordningen.
Dette blogginnlegget kan brukes som veiledning i din virksomhets GDPR-arbeid, men er ikke å betrakte som juridisk rådgivning.
117 eksempelspørsmål
& best practice
- 117 eksempelspørsmål i ulike kategorier
- Hvordan oppnå høy responsrate
- Hvordan få tilbakemeldinger av høy kvalitet
- Hvordan effektivt samle inn evalueringer
Likte du denne artikkelen? Ikke glem å dele den:
Om FrontCore
Over 3700 kurstilbydere benytter seg av løsninger fra FrontCore – og det er ikke uten grunn. FrontCore er nemlig et av Norges ledende kompetansemiljøer innen webmarkedsføring av kurs og skysystemer for kursadministrasjon. Med over 19 års erfaring fra kursbransjen og fingeren kontinuerlig på pulsen i markedet, hjelper vi kurstilbydere med å oppnå mer effektiv drift og høyere inntekter.
Få inn flere og bedre kursevalueringer
Tjenester
Relaterte artikler
GDPR: Trenger kursvirksomheten din et personvernombud?
Hva er et personvernombud, og trenger du egentlig et personvernombud for å drive med kursvirksomhet? I dette blogginnlegget får du en gjennomgang av personvernombudets rolle og svar på om du bør opprette et personvernombud for kursdriften din. Bruk vår enkle ombudsveileder i vurderingsprosessen.
Hva blir konsekvensene av databrudd etter inntredelsen av GDPR?
De fleste har allerede fått med seg hvilke gigantbøter man potensielt står ovenfor dersom man opplever et databrudd etter innføringen av GDPR. Men det finnes også andre former for tap som virksomheten kan møte – Vi tar en nærmere titt på disse!
Hva er GDPR og hva betyr GDPR for din bedrift?
Det er nå under seks måneder til den nye generelle databeskyttelsesforskriften GDPR trer i kraft. Likevel er hele 1 av 4 virksomheter helt uforberedt eller uvitende om hva dette vil bety for dem. Få oversikt over GDPR og kom i gang med forberedelsene.
GDPR direktivet gjelder for virksomheter. Det vil si en organisasjon som produserer varer eller tjenester. Medlemslister i f.eks. et idrettslag, musikkorps, forening osv som ikke har kommersielle interesser vil ikke være underlagt dette direktivet. Synes dette bør gjøresmklart for de utallige foreninger som i dag opererer med medlemslister som inneholder persondata av ikke sensitiv karakter.