Guide: Er berettiget interesse et passende rettslig grunnlag?

Er berettiget interesse et passende rettslig grunnlag?

Berettiget interesse kan sies å være det mest fleksible rettslige grunnlaget i GDPR. Dette rettslige grunnlaget, eller behandlingsgrunnlaget, finner du i GDPR artikkel 6 bokstav f. Selv om det er veldig fleksibelt så forutsettes det at den behandlingsansvarlige gjennomfører en interesseavveining som en slags sikkerhetsmekanisme mot misbruk. En slik vurdering kalles på engelsk for en “Legitimate Interest Assessment” og forkortes derfor ofte til LIA.

En LIA kan deles inn i tre deler: formålsvurdering, nødvendighetsvurdering og balansevurdering.

Formålsvurdering

Dere må reflektere over og vurdere om dere har en berettiget, eller legitim,  interesse av å behandle personopplysningene. Noen spørsmål dere bør tenke på er:

• Hvorfor ønsker dere å behandle informasjonen?
• Hvilken nytte får dere av behandlingen?
• Vil behandlingen være til samfunnets beste?
• Hvor viktige er fordelene med behandlingen?
• Hva vil skje om dere ikke implementerer behandlingen?

Nødvendighetsvurdering

Her skal dere vurdere om behandlingen er nødvendig for å oppnå formålet. Dere bør tenke på:

• Vil behandlingen hjelpe dere med å oppnå formålet?
• Er behandlingen proporsjonell med tanke på formålet?
• Kan dere oppnå formålet uten å behandle personopplysningene?
• Kan dere oppnå formålet på en måte som samler inn færre personopplysninger, eller på en mindre inngripende måte?

Balansevurdering

Balansevurderingen er den faktiske interesseavveiningen der den behandlingsansvarlige sine interesser veies opp mot de registrertes. Her skal dere ta hensyn til de registrertes interesser, deres friheter og rettigheter, og vurdere om disse overgår deres interesse som behandlingsansvarlig. Nøkkelmomenter i denne vurderingen er hvilken type personopplysninger det er, de registrertes forventninger, og hva slags innvirkning behandlingen vil ha på de registrerte.

Type personopplysninger:

• Er informasjonen svært privat?
• Behandler dere særlige kategorier av personopplysninger (sensitive personopplysninger)?
• Er informasjonen av privat eller yrkesmessig karakter?

Rimelige forventninger:

• Får dere informasjonen direkte fra de registrerte?
• Er formålet tydelig?
• Har dere en eksisterende relasjon til de registrerte?

Innvirkning på de registrerte:

• Hvilken påvirkning vil behandlingen ha på de registrerte?
• Vil de registrerte miste kontrollen over sine personopplysninger?
• Kan dere tenke dere å forklare og beskrive behandlingen for de registrerte?

Helhetsvurdering

Til slutt gjenstår det å gjøre en helhetsvurdering basert på hva dere har svart i del én, to og tre. Med hensyn til hva dere har svart på de ulike delene, er vurderingen om dere kan bruke berettiget interesse som et rettslig grunnlag for den aktuelle behandlingen. Forklar hvorfor, eller hvorfor ikke.

Disse stegene må dere gå gjennom for å gjennomføre en grundig interesseavveining (LIA).

Vær oppmerksom på at dette ikke er en uttømmende spørsmålsliste, men noe som heller kan brukes som inspirasjon i arbeidet.

Les mer om risikoen ved behandling av personopplysninger i vårt faktablad: Evaluer risiko i forbindelse med behandling av personopplysninger (DPIA).

Få hjelp fra en kompetansehåndbok

Med Privacy Expert, vår kompetansehåndbok innen personvern, kan du både fordype deg i berettigede interesser og rettslig grunnlag samt få støtte i andre spørsmål som omhandler personvern.