Vad är en intresseavvägning och när ska vi använda en sådan?

Rättsliga grunden berättigat intresse, ibland kallad intresseavvägning, tillåter er att behandla personuppgifter för ett avvägt och dokumenterat ändamål där era legitima intressen balanseras mot den enskildes rätt till integritet. För att använda detta lagstöd måste ni genomföra en skriftlig balans- och nödvändighetsbedömning som visar att behandlingen är absolut nödvändig, att inget mindre integritetsinskränkande alternativ finns samt att den registrerades intressen inte överväger era intressen. I det här inlägget beskriver vi vad en intresseavvägning är för något, när berättigat intresse är tillämpligt och vilka dokumentationskrav ni behöver uppfylla.

All behandling av personuppgifter måste stödjas av en rättslig grund enligt GDPR. Det finns sex olika rättsliga grunder:

• samtycke,
• avtal,
• berättigat intresse/intresseavvägning,
• rättslig förpliktelse,
• myndighetsutövning/allmänt intresse, samt
• skydd för den registrerades grundläggande intressen.

Vad är en intresseavvägning?

För att få använda sig av lagstödet berättigat intresse krävs det ni genomför en intresseavvägning som kan visa på att ert intresse är berättigat, väl avvägt och motiverat. Kort sagt är intresseavvägningen en dokumenterad balans- och nödvändighetsbedömning som visar på om ni har ett berättigat intresse eller inte.

En intresseavvägning ska visa på att:

• Ert intresse är giltigt och väsentligt (t.ex. affärs- eller säkerhetsbehov)

• Behandlingen är absolut nödvändig för ändamålet

• Den registrerades rätt till integritet inte överväger ert intresse

Tänk på en vågskål där båda sidorna vägs mot varandra.

När ska en intresseavvägning användas?

Ni använder intresseavvägning när ingen av de andra rättsliga grunderna (samtycke, avtal, rättslig förpliktelse, myndighetsutövning eller skydd av grundläggande intressen) passar för ert ändamål – men ni ändå behöver behandla personuppgifter. Typiska situationer:

• Direktmarknadsföring
  GDPR:s inledande motivering nämner att “behandling för direktmarknadsföring kan betraktas som ett berättigat intresse”. Telefonförsäljning, nyhetsbrev eller andra kundutskick kräver alltid en intresseavvägning för att bedöma om kontakten är proportionerlig.

• Interna överföringar inom koncern
  När ni delar personuppgifter bolag till bolag inom samma koncern, ofta för administrativa eller ekonomiska skäl. Här motiveras intresseavvägningen med koncernens gemensamma behov av till exempel centraliserad fakturering eller kundsupport.

• Analys och rapportering
  Sammanställning av användningsstatistik, kundbeteende eller förbättring av tjänster där ett mer omfattande samtycke är opraktiskt.

När ska intresseavvägning inte användas?

• Myndigheter och tillsyn
  Offentlig sektor ska som huvudregel ha stöd i lag, inte i berättigat intresse.

• Känsliga personuppgifter
  Känsliga personuppgifter kräver i stället en särskild rättslig grund enligt artikel 9.

• När den registrerade invänder
  Om en person motsätter sig behandlingen ska ni omedelbart upphöra, om inte ni kan motivera och dokumentera en ny avvägning som visar att era intressen ändå väger tyngre.

Ska intresseavvägningen vara skriftlig?

Ja. GDPR ställer krav på dokumentation (artikel 30). Som personuppgiftsansvarig måste ni alltid:

1. Dokumentera er bedömning i ett formellt dokument.

2. Motivera varför ert intresse väger tyngre än den registrerades.

Det kan vara lämpligt att få styrelsens godkännande för att visa på förankrad GDPR-efterlevnad.

En skriftlig intresseavvägning är ert bevis vid tillsynsmyndighetens granskning.

Överföringar baserade på en intresseavvägning inom en koncern
Inom en koncern kan överföring av personuppgifter stödja sig på en intresseavvägning. Även här måste en intresseavvägning dokumenteras på samma sätt som vid personuppgiftsbehandling, men kan oftast motiveras med ett administrativt syfte.

Direktmarknadsföring
Detta begrepp innebär att ett företag tar kontakt med kunden direkt, och i de inledande skälen till GDPR anges att ”behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse”. Ett omtalat exempel är telefonförsäljning. Som vi ser anges även här att det krävs ett berättigat intresse och en bedömning precis som ovan, och ordet ”kan” visar att det inte alltid är berättigat.

Indivders rätt att invända mot intresseavvägningen
Den vars personuppgifter behandlas baserat på en intresseavvägning har alltid rätt att invända mot behandlingen.

Ni har alltid rätt att göra en ny intresseavvägning för att bedöma om det finns berättigade skäl för att fortsätta behandlingen trots invändningen, denna avvägning måste dokumenteras noggrant. Om ni kommer fram till att era berättigade intressen väger tyngre än den registrerades rättigheter och friheter kan ni fortsätta behandlingen, med det kräver en tydlig motivering.

Om den enskilde invänder mot en behandling som sker i direktmarknadsföringssyfte måste ni upphöra med behandlingen omgående, det är särskilt undantaget från möjligheten att ompröva intresseavvägningen.

Det är viktigt att ni informerar den registrerade om denna rätt, gärna vid första kontakten eller som minst i er integritetspolicy, så att den registrerade är medveten om möjligheten att invända.

För att säkerställa att ni följer GDPR bör ni alltid:

• Dokumentera invändningen och er bedömning vid en ny intresseavvägning
• Informera den registrerade om resultaten av bedömningen och vilka åtgärder som vidtagits
• Säkerställa att tekniska och organisatoriska säkerhetsåtgärder finns på plats

Att hantera invändningar på ett korrekt och transparent sätt stärker förtroendet mellan er och de registrerade och minskar även risken för klagomål och sanktioner från tillsynsmyndigheter.

Motiveringen av ert berättigade intresse ska ske genom en helhetsbedömning utifrån de berörda personuppgifterna, den aktuella behandlingen samt den registrerades intressen och rättigheter. Det som krävs av er som personuppgiftsansvarig är alltså en noggrann bedömning där det ska prövas huruvida den registrerade vid tidpunkten för insamlandet av personuppgifterna och i samband med detta rimligen kan förvänta sig att ni använder er av personuppgifterna för det avsedda ändamålet. Förväntningarna bedöms med hänsyn till ert förhållande med den berörde – som exempel kan nämnas att den berörde är kund hos er eller arbetar för er.

Intresseavvägningen ska innehålla:

• Vilka kategorier av personuppgifter som berörs av den aktuella behandlingen, exempelvis namn och telefonnummer;
• En motivering av ert intresse av personuppgiftsbehandlingen;
• En motivering av varför ert intresse av personuppgiftsbehandlingen är berättigat;
• En beskrivning av de registrerades fri- och rättigheter och varför de kan ha intresse av att inte få sina personuppgifter behandlade;
• En beskrivning av ert intresse och hur ni bedömer det i förhållande till de registrerades intressen och rättigheter;
• En motivering av varför behandlingen av personuppgifter är nödvändig för att uppnå syftet med det avsedda ändamålet.

Hur ni genomför en intresseavvägning steg för steg.

Vill ni veta mer eller behöver ni hjälp med att genomföra en intresseavvägning?

Behöver er organisation hjälp med att bli GDPR-compliant? Vårt GDPR-verktyg hjälper er se till att göra er personuppgiftsbehandling laglig. Läs mer här eller boka en personlig visning!

Julianne Ahlesten 

info@gdprhero.se

046-2731717