bedömning av det berättigade intresset (LIA)

Om ett företag använder ”intresseavvägning” som rättslig grund för en behandling av personuppgifter, ska företaget utföra en bedömning av det berättigade intresset. På engelska är detta kallat för Legitimate Interest Assessment (”LIA”).

bedömning av det berättigade intresset

Intresseavvägning är inte alltid en lämplig grund att använda vid behandling av personuppgifter, även fast den är väldigt flexibel. Vid tillfällen där företaget använder personuppgifter tillhörande registrerade på ett sätt som de rimligen kan förvänta sig, är det vanligt att använda intresseavvägning som den rättsliga grunden. Dessutom ska behandlingen ha en minimal integritetspåverkan eller att företaget har en motivering som är övertygande och välgrundad.

Följande tre villkor måste vara uppfyllda för att intresseavvägning ska få bli använd som rättslig grund vid behandling av personuppgifter:

1. Det ska finnas ett berättigat intresse av att behandla personuppgifterna. Det berättigade intresset ska finnas hos den personuppgiftsansvarige eller tredje part som uppgifterna ifråga ska bli utlämnade till.

2. Behandlingen av personuppgifterna måste vara nödvändig för det berättigade intresse som behandlingen ifråga avser att uppnå.

3. Den registrerades grundläggande fri- och rättigheter väger inte tyngre och har därmed inte företräde framför det i punkt 1 ovan identifierade berättigade intresset.

Företag ska även ha en dokumenterad bedömning av berättigat intresse för varje behandling som sker med stöd i intresseavvägning som rättslig grund. Detta sker för att visa att företaget fäöjer principen om ansvarsskyldighet.

Myndigheter får däremot inte behandla personuppgifter med stöd i den rättsliga grunden intresseavvägning.

Identifiera berättigat intresse

Företag som använder intresseavvägning som rättslig grund ansvarar för att skydda de registrerades rättigheter och intressen. Företaget behöver identifiera att det finns ett berättigat intresse. Dessutom måste företaget kunna visa att behandlingen är nödvändig för att uppnå det berättigat intresset och balansera det gentemot de registrerades intressen, fri- och rättigheter.

Det berättigade intresset behöver inte vara företagets egna, utan det kan även omfatta en tredje parts intressen. Exempelvis kommersiella intressen, bredare samhällsintressen eller enskilda intressen. Observera att företag som kan uppnå samma resultat på ett mindre påträngande sätt, inte ska använda intresseavvägning som rättslig grund.

Det är vanligt att företag använder intresseavvägning som rättslig grund vid behandling av personuppgifter för direktmarknadsföring. Däremot är det viktigt att tänka på att registrerade vid sådana fall har en absolut rätt enligt GDPR att invända mot behandling av dennes personuppgifter för det ändamålet. Om den registrerade invänder, måste företaget upphöra med behandlingen för det ändamålet och radera personuppgifterna ifråga om den registrerade begär det.

Avvägning mellan identifierade intressen

Företag måste ställa de identifierade berättigade intressena gentemot de registrerades intressen. Om behandlingen kan medföra en omotiverad skada, är det troligt att de registrerades intresse väger tyngre än företagets. Detsamma gäller om de registrerade inte rimligen kan förvänta sig att personuppgifterna blir behandlade på ett visst sätt i förhållande till syftet med behandlingen.

Informera om det berättigade intresset

Det är viktigt att inkludera informationen och detaljer om de berättigade intressena i integritetspolicyn, så att de registrerade har tillgång till informationen. Dessutom ska företaget föra ett register över riskbedömningen för att kunna visa att företaget följer GDPR.

Om det sker någon större förändring efter genomförd riskbedömning, ska företaget dessutom uppdatera sin utförda dokumenterade bedömning. Till exempel om syftet, karaktären eller sammanhanget blir förändrat. Ifall företaget är osäker på resultatet av behandlingen efter genomförd riskbedömning, är det bättre att försöka använda en annan rättslig grund för behandlingen.

När intresseavvägning inte är en lämplig rättslig grund

När behandlingen medför en hög risk för de registrerades intressen, fri- och rättigheter är intresseavvägning ofta en olämplig rättslig grund. Om företaget kommer fram till att behandlingen utgör en hög risk för de registrerades intressen, fri- och rättigheter, ska företaget överväga om det är nödvändigt att göra en konsekvensbedömning av dataskydd (så kallad DPIA).

Hur en bedömning av berättigat intresse ska bli utförd i rätt ordning

Bedömning av det berättigade intresset kan bli uppdelat i ett tredelat test, för att bedöma risker och risknivå. Riskbedömningen ska bli utförd för att analysera det berättigade intresset, fördelarna med det berättigade intresset mot riskerna för privatlivet och registrerades fri- och rättigheter.

Steg 1: Syftestest

Det första testet är ett så kallat syftetest. Företaget ska göra en bedömning av om det finns ett berättigat intresse bakom behandlingen av personuppgifter. Det måste finnas ett intresse (exempelvis kulturellt, ekonomiskt, samhälleligt, säkerhetsmässigt etc.), som dessutom är berättigat. Bedömningen kan bland annat bli utförd genom att analysera och besvara följande frågor:

– Vad är syftet med behandlingen av personuppgifterna?

– Vilken nytta har företaget, den registrerade eller en tredje part av behandlingen?

– Vilka är effekterna av att företaget inte kan utföra behandlingen?

– Vilka eventuella etiska problem med behandlingen har företaget identifierat?

Enligt skäl 49 i GDPR framgår att IT-säkerhet är ett exempel på berättigat intresse. Dessutom framgår även direktmarknadsföring som ett ytterligare exempel på ett berättigat intresse. Däremot behöver en riskbedömning bli utförd i varje enskilt fall, genom utförande ett nödvändighetstest (steg 2) och avvägningstest (steg 3), vilka framgår nedan.

Om det inte framgår av GDPR vad som utgör ett berättigat intresse, är det möjligt att göra den bedömningen själv genom riskbedömningen ifråga. Det viktiga är att se till att motivera varför man anser att intresset är berättigat och att dokumentera motiveringen.

Steg 2: Nödvändighetstest

Det andra testet består av ett nödvändighetstest. Företaget ska göra en analys av om behandlingen är nödvändig och proportionerlig i förhållande till ändamålet med behandlingen. Tanken är att analysera om det finns några alternativa metoder till behandlingen, som är mindre integritetskränkande och som medför lägre risker. De olika potentiella följderna och effekterna av metoderna ska bli analyserade och bedömda. Bedömningen kan bland annat bli utförd genom att analysera och besvara följande frågor:

– Är behandlingen nödvändig för ändamålet?

– Kommer syftet med behandlingen att bli uppfyllt genom denna behandling?

– Är behandlingen proportionerlig i förhållande till syftet med behandlingen?

– Finns det möjlighet att uppnå samma mal utan denna behandling eller på ett annat sätt?

Steg 3: Avvägningstest

Det tredje testet består av ett avvägningstest. I detta tredje test ska företaget bedöma om den registrerades intressen, rättigheter och friheter åsidosätter det berättigade intresset. Detta test ska bli utfört efter att alternativa metoder till behandlingen har blivit analyserade. Tanken med detta test, är att se till att behandlingen är proportionerlig och att rätten till privatliv och mänskliga rättigheter blir respekterade. Bedömningen kan bland annat bl utförd genom att analysera och besvara följande frågor:

– Vilket är förhållandet mellan den registrerade och personuppgiftsansvarige?

– Är syftet och metoden för behandlingen allmänt förståelig?

– Är personuppgifterna insamlade direkt från de registrerade och har de fått tillräcklig information om behandlingen?

– Gäller behandlingen av personuppgifter någon utsatt person, såsom barn eller sjuka m.m.?

– Vilka effekter kan behandlingen innebära för de registrerade?

– Finns det något annat sätt att uppnå samma resultat som är mindre integritetskränkande?

Implementera bedömning av berättigat intresse genom interna rutiner

Företag behöver skapa interna rutiner och processer för att bedöma berättigat intresse på korrekt sätt. Dessutom behöver företaget skapa underlag för dokumentation av riskbedömningar som blir utförda.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.