Intresseavvägning
För att ni ska få behandla personuppgifter efter en intresseavvägning krävs det att personuppgiftsbehandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Här reder vi ut vad det kan innebära i praktiken.
Ni kan lämna personuppgifter till "tredje man"
Med intresseavvägning som rättslig grund får ni lämna ut personuppgifter till det som kallas "tredje man", alltså till någon annan som har ett berättigat intresse.
Innan uppgifterna lämnas ut ska ni ta reda på
- varför de vill ha personuppgifterna
- om de verkligen behöver dem
- vad de ska användas till.
Ni måste också kunna visa att utlämnandet av uppgifterna är motiverat, men det är "tredje man" som är ansvarig för att i sin tur fastställa vilken rättslig grund de stödjer sin egen behandling på.
Exempel på berättigat intresse
I en koncern med flera personuppgiftsansvariga kan dessa ha ett berättigat intresse av att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter.
Förhindra bedrägerier
ExempelBehandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör ett berättigat intresse för den personuppgiftsansvariga.
Direktmarknadsföring
ExempelBehandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.
Ni måste alltid upphöra med direktmarknadsföring om den registrerade invänder mot behandlingen.
Formulera ändamålen tydligt och klart
Ert intresse i rollen som personuppgiftsansvarig måste vara tillräckligt tydligt formulerat för att kunna vägas mot den registrerades intressen eller grundläggande rättigheter och friheter.
Ni måste kunna avgöra vilket av parternas intressen som väger tyngst. Om det är möjligt att uppnå samma resultat på ett mindre integritetskänsligt sätt, så kan ni inte stödja en personuppgiftsbehandling på en intresseavvägning
Ändamålen sätter ramarna
Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ni måste därför ha klart för er varför ni ska behandla personuppgifterna redan när ni börjar samla in dem. Ändamålen sätter ramarna för vad ni får och inte får göra.
Det innebär att en intresseavvägning alltid ska kunna härledas till den aktuella personuppgiftsbehandlingen. Intressen som är alltför vaga eller spekulativa är inte tillräckligt för att motivera en behandling.
Var tydlig med varför personuppgifterna ursprungligen samlades in och se till att de inte används i något annat syfte.
Gör en helhetsbedömning: Vad kan den registrerade förvänta sig?
Hur vet vi att vårt berättigade intresse väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter? För att få reda på detta måste ni göra en helhetsbedömning i varje enskilt fall. I bedömningen ska ni väga in vad den registrerade rimligen kan förvänta sig av er som personuppgiftsansvarig i den här situationen.
Är det möjligt att den registrerade inte kan förvänta sig att uppgifterna behandlas på det tänkta sättet? I så fall talar det för att den registrerades intressen väger tyngre än ert berättigade intresse, och då kan ni inte använda intresseavvägning som rättslig grund.
Dokumentera alltid er bedömning
Eftersom det inte alltid är självklart att det finns ett berättigat intresse för att behandla personuppgifterna, är det viktigt att dokumentera hur bedömningen har gått till väga, för att ni ska kunna visa att ni följer principen om ansvarsskyldighet.
Garantera säkerheten för anställda
ExempelEn arbetsgivare kan ha ett berättigat intresse av att behandla personuppgifter för att företaget ska kunna garantera säkerheten för sina anställda. Syftet med personuppgiftsbehandlingen måste då tydligt framgå så att ni kan motivera den, till exempel att ni vill säkerställa personalens säkerhet på arbetsplatsen.
Var alltid extra aktsam när ni behandlar barns personuppgifter
Barn är mindre medvetna om risker och rättigheter och har därför ett särskilt skydd. När ni använder intresseavvägning som rättslig grund för att behandla barns uppgifter måste ni skydda dem mot risker som de kanske inte själva kan bedöma eller konsekvenser som de inte själva är medvetna om.
Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter
- i marknadsföringssyfte
- för att skapa personlighets- eller användarprofiler
- i tjänster som riktar sig direkt till barn.
Det är ert ansvar att skydda barnens intressen
Det är upp till er, inte barnet, att fundera över eventuella problem och identifiera lämpliga skyddsåtgärder. Ni ska kunna visa att ni har vidtagit tillräckliga åtgärder för att skydda barnets rättigheter och friheter och att ni har prioriterat deras intressen framför era egna.
Myndigheter kan inte använda intresseavvägning
Myndigheter kan inte stödja sin personuppgiftsbehandling på en intresseavvägning när de behandlar personuppgifter som ett led i arbetet med att fullgöra sina uppgifter.
Anledningen till detta är att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Myndigheter bör därför endast behandla personuppgifter med stöd av lag.