GDPR – Bedömningar
Bedömning av berättigat intresse (LIA)
Om ett företag använder ”intresseavvägning” som rättslig grund för en behandling av personuppgifter, ska företaget utföra en bedömning av det berättigade intresset. På engelska är detta kallat för Legitimate Interest Assessment (”LIA”).
Intresseavvägning som rättslig grund
Intresseavvägning är inte alltid en lämplig grund att använda vid behandling av personuppgifter, även fast den är väldigt flexibel. Vid tillfällen där företaget använder personuppgifter tillhörande registrerade på ett sätt som de rimligen kan förvänta sig, är det vanligt att använda intresseavvägning som den rättsliga grunden. Dessutom ska behandlingen ha en minimal integritetspåverkan eller att företaget har en motivering som är övertygande och välgrundad.
Följande tre villkor måste vara uppfyllda för att intresseavvägning ska få bli använd som rättslig grund vid behandling av personuppgifter:
1. Det ska finnas ett berättigat intresse av att behandla personuppgifterna. Det berättigade intresset ska finnas hos den personuppgiftsansvarige eller tredje part som uppgifterna ifråga ska bli utlämnade till.
2. Behandlingen av personuppgifterna måste vara nödvändig för det berättigade intresse som behandlingen ifråga avser att uppnå.
3. Den registrerades grundläggande fri- och rättigheter väger inte tyngre och har därmed inte företräde framför det i punkt 1 ovan identifierade berättigade intresset.
Företag ska även ha en dokumenterad bedömning av berättigat intresse för varje behandling som sker med stöd i intresseavvägning som rättslig grund. Detta sker för att visa att företaget följer principen om ansvarsskyldighet.
Myndigheter får däremot inte behandla personuppgifter med stöd i den rättsliga grunden intresseavvägning.
Vanliga avtal och dokument vi skriver och granskar
- Allmänna villkor
- Aktieägaravtal
- Integritetsmeddelande
Identifiera berättigat intresse
Företag som använder intresseavvägning som rättslig grund ansvarar för att skydda de registrerades rättigheter och intressen. Företaget behöver identifiera att det finns ett berättigat intresse. Dessutom måste företaget kunna visa att behandlingen är nödvändig för att uppnå det berättigat intresset och balansera det gentemot de registrerades intressen, fri- och rättigheter.
Det berättigade intresset behöver inte vara företagets egna, utan det kan även omfatta en tredje parts intressen. Exempelvis kommersiella intressen, bredare samhällsintressen eller enskilda intressen. Observera att företag som kan uppnå samma resultat på ett mindre påträngande sätt, inte ska använda intresseavvägning som rättslig grund.
Registrerade har rätt till att lämna en invändning
Det är vanligt att företag använder intresseavvägning som rättslig grund vid behandling av personuppgifter för direktmarknadsföring. Däremot är det viktigt att tänka på att registrerade vid sådana fall har en absolut rätt enligt GDPR att invända mot behandling av dennes personuppgifter för det ändamålet. Om den registrerade invänder, måste företaget upphöra med behandlingen för det ändamålet och radera personuppgifterna ifråga om den registrerade begär det.
Avvägning mellan identifierade intressen
Företaget (den personuppgiftsansvarige) ska ge information och instruktioner till de anställda om hur de ska behandla personuppgifter i enlighet med GDPR, för att behandlingen ska ske på korrekt sätt. De anställda får bara behandla personuppgifterna i enlighet med de givna instruktionerna. Det är även bra att se till att ingå sekretessavtal med medarbetarna avseende personuppgifter som de behandlar inom ramen för verksamheten.
Informera om det berättigade intresset
Det är viktigt att inkludera informationen och detaljer om de berättigade intressena i integritetspolicyn, så att de registrerade har tillgång till informationen. Dessutom ska företaget föra ett register över riskbedömningen för att kunna visa att företaget följer GDPR.
Om det sker någon större förändring efter genomförd riskbedömning, ska företaget dessutom uppdatera sin utförda dokumenterade bedömning. Till exempel om syftet, karaktären eller sammanhanget blir förändrat. Ifall företaget är osäker på resultatet av behandlingen efter genomförd riskbedömning, är det bättre att försöka använda en annan rättslig grund för behandlingen.
När intresseavvägning inte är en lämplig rättslig grund
När behandlingen medför en hög risk för de registrerades intressen, fri- och rättigheter är intresseavvägning ofta en olämplig rättslig grund. Om företaget kommer fram till att behandlingen utgör en hög risk för de registrerades intressen, fri- och rättigheter, ska företaget överväga om det är nödvändigt att göra en konsekvensbedömning av dataskydd (så kallad DPIA).
Hur en bedömning av berättigat intresse ska bli utförd i rätt ordning
Bedömning av det berättigade intresset kan bli uppdelat i ett tredelat test, för att bedöma risker och risknivå. Riskbedömningen ska bli utförd för att analysera det berättigade intresset, fördelarna med det berättigade intresset mot riskerna för privatlivet och registrerades fri- och rättigheter.
Steg 1: Syftestest
Det första testet är ett så kallat syftetest. Företaget ska göra en bedömning av om det finns ett berättigat intresse bakom behandlingen av personuppgifter. Det måste finnas ett intresse (exempelvis kulturellt, ekonomiskt, samhälleligt, säkerhetsmässigt etc.), som dessutom är berättigat. Bedömningen kan bland annat bli utförd genom att analysera och besvara följande frågor:
– Vad är syftet med behandlingen av personuppgifterna?
– Vilken nytta har företaget, den registrerade eller en tredje part av behandlingen?
– Vilka är effekterna av att företaget inte kan utföra behandlingen?
– Vilka eventuella etiska problem med behandlingen har företaget identifierat?
Enligt skäl 49 i GDPR framgår att IT-säkerhet är ett exempel på berättigat intresse. Dessutom framgår även direktmarknadsföring som ett ytterligare exempel på ett berättigat intresse. Däremot behöver en riskbedömning bli utförd i varje enskilt fall, genom utförande ett nödvändighetstest (steg 2) och avvägningstest (steg 3), vilka framgår nedan.
Om det inte framgår av GDPR vad som utgör ett berättigat intresse, är det möjligt att göra den bedömningen själv genom riskbedömningen ifråga. Det viktiga är att se till att motivera varför man anser att intresset är berättigat och att dokumentera motiveringen.
Steg 2: Nödvändighetstest
Det andra testet består av ett nödvändighetstest. Företaget ska göra en analys av om behandlingen är nödvändig och proportionerlig i förhållande till ändamålet med behandlingen. Tanken är att analysera om det finns några alternativa metoder till behandlingen, som är mindre integritetskränkande och som medför lägre risker. De olika potentiella följderna och effekterna av metoderna ska bli analyserade och bedömda. Bedömningen kan bland annat bli utförd genom att analysera och besvara följande frågor:
– Är behandlingen nödvändig för ändamålet?
– Kommer syftet med behandlingen att bli uppfyllt genom denna behandling?
– Är behandlingen proportionerlig i förhållande till syftet med behandlingen?
– Finns det möjlighet att uppnå samma mal utan denna behandling eller på ett annat sätt?
Steg 3: Avvägningstest
Det tredje testet består av ett avvägningstest. I detta tredje test ska företaget bedöma om den registrerades intressen, rättigheter och friheter åsidosätter det berättigade intresset. Detta test ska bli utfört efter att alternativa metoder till behandlingen har blivit analyserade. Tanken med detta test, är att se till att behandlingen är proportionerlig och att rätten till privatliv och mänskliga rättigheter blir respekterade. Bedömningen kan bland annat bl utförd genom att analysera och besvara följande frågor:
– Vilket är förhållandet mellan den registrerade och personuppgiftsansvarige?
– Är syftet och metoden för behandlingen allmänt förståelig?
– Är personuppgifterna insamlade direkt från de registrerade och har de fått tillräcklig information om behandlingen?
– Gäller behandlingen av personuppgifter någon utsatt person, såsom barn eller sjuka m.m.?
– Vilka effekter kan behandlingen innebära för de registrerade?
– Finns det något annat sätt att uppnå samma resultat som är mindre integritetskränkande?
Implementera bedömning av berättigat intresse genom interna rutiner
Företag behöver skapa interna rutiner och processer för att bedöma berättigat intresse på korrekt sätt. Dessutom behöver företaget skapa underlag för dokumentation av riskbedömningar som blir utförda.
Behöver ni hjälp med att upprätta en bedömning av berättigat intresse (LIA)?
Vi kan hjälpa er att upprätta en bedömning av berättigat intresse i enlighet med GDPR. Dessutom har vi skapat olika GDPR-paket som innehåller flera viktiga GDPR-relatera avtal och dokument som företag kan behöva.
Mer information
Konsekvensbedömning av dataöverföringar (TIA)
Om företaget avser att överföra personuppgifter till en mottagare i ett land utanför EU/EES-området, behöver företaget göra en konsekvensbedömning avseende dataöverföringen. Denna bedömning ska vara skriftligen dokumenterad, och ska bland annat innehålla en analys av mottagarlandets dataskyddslagar. Det är viktigt att komma ihåg att överföringar till tredjeland enbart är tillåtna i vissa fall och om särskilda förutsättningar är uppfyllda.
Vill du veta mer?
Lär dig mer
Om Juridik genom våra juridikskolor
På både LinkedIn och Instagram driver vi juridikskolor som är riktad till företagare. Där sammanfattar vi bland annat nyheter inom juridik som kan vara bra att känna till såsom nya lagar. Dessutom publicerar vi olika juridiska quiz på vår hemsida där du kan testa dina juridiska kunskaper.