Intresseavvägning är en av sex rättsliga grunder i GDPR

Företag kan behandla personuppgifter med stöd i intresseavvägning, som är en av sex rättsliga grunder i GDPR. Intresseavvägning innebär att man ställer de registrerades och företagets intressen gentemot varandra. Om företagets intresse väger tyngre, får företaget behandla den rättsliga grunden, utan föregående inhämtat samtycke. Detta gäller under förutsättning att behandlingen är nödvändig för ändamålet med behandlingen.

Intresseavvägning är en av sex rättsliga grunder i GDPR

Intresseavvägning som rättslig grund

Denna rättsliga grund bör användas sparsamt, med försiktighet och ska vara motiverad i varje enskilt fall. Företag måste först analysera om företaget verkligen behöver personuppgifterna och syftet med behandlingen samt vad uppgifterna ska bli använda till. Företag ska dock aldrig behandla känsliga personuppgifter med stöd i intresseavvägning.

Nödvändigt för ändamålet

Det måste vara nödvändigt för ändamålet för att ett företag ska få använda intresseavvägning som den rättsliga grunden vid behandling av personuppgifter. 

Intresseavvägning är en rättslig grund enligt GDPR

Praktiska exempel

– Överföra personuppgifter i en företagskoncern 

I en internationell koncern med flera företag (personuppgiftsansvariga) kan de ha ett berättigat intresse av att föra över personuppgifter mellan företagen. Exempelvis för interna administrativa ändamål genom att behandla personuppgifter som tillhör de anställda. Vid sådana fall lämnar de över personuppgifterna till en tredje man och det kan vara tillåtet om företaget som utför behandlingen har ett berättigat intresse. 

– Intresseavvägning för att skicka nyhetsbrev 

Det är vanligt att företag skickar reklam, nyhetsbrev eller annan typ av direktmarknadsföring till olika personer. Företag behöver inte ha ett samtycke från personen, utan kan göra det med stöd av intresseavvägning. Vid sådana fall kan företagets ekonomiska intresse väga över den personliga integriteten hos den registrerade och då är det tillåtet med sådan behandling för marknadsföringsändamål. Däremot har registrerade rätt enligt GDPR att be företaget upphöra med utskicken. Företaget måste därefter respektera detta och upphöra med utskicken till den personen som invänt mot behandlingen. 

Fortsatte skicka e-postmeddelanden

Ett företag fick en reprimand från tillsynsmyndigheten för att de fortsatt skicka e-postmeddelanden till en person, även efter att personen ifråga begärt att företaget skulle sluta göra det. Företaget vidtog åtgärder efteråt och tillsynsmyndigheten ansåg att det var en fråga om en mindre överträdelse. Dessutom hade företaget sagt att de hade raderat personuppgifterna vid begäran, trots att de inte hade gjort det.

Myndigheter får inte använda intresseavvägning

Det är inte tillåtet för myndigheter att använda intresseavvägning som rättslig grund vid behandling av personuppgifter. 

Samtycke som rättslig grund

När en person accepterar och säger ja till en behandling av dennes personuppgifter, har personen givit sitt samtycke. Observera att samtycket måste vara frivilligt och aktivt lämnat. Därför är det inte tillåtet att ha till exempel en förkryssad samtyckesruta, eftersom det inte anses vara ett aktivt lämnat samtycke. Dessutom har personer rätt att återkalla ett samtycke och det ska vara lika enkelt som när de lämnade samtycket. Om det är för svårt att återkalla sitt lämnade samtycke, är samtycket inte giltigt. 

Samtycke är inte heller den mest lämpliga rättsliga grunden att använda i många fall. Det var vanligare att använda samtycke innan GDPR började gälla. Ett företag bör analysera om någon annan rättslig grund är mer lämplig att använda. Det är viktigt att respektera när en registrerad säger nej och vid sådana fall får behandlingen som samtycket avser, inte bli utförd.