Även om ni inte har ingått ett avtal med den enskilde eller inhämtat den enskildes samtycke finns det ibland en möjlighet att ändå behandla enskildas personuppgifter på ett lagenligt sätt. Den lagliga grund denna behandling grundar sig på kallas ”intresseavvägning”. För att använda sig av detta lagstöd krävs det att ni anses ha ett berättigat intresse för personuppgiftsbehandlingen. I inlägget går vi noggrant igenom när och hur en intresseavvägning ska utformas samt ger exempel på när en sådan kan vara berättigad. Vi går även in på vad som gäller internt för er som koncern.

Vad är en intresseavvägning?
I GDPR finns sex olika rättsliga grunder att stödja sig på för en laglig personuppgiftsbehandling; samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning samt skydd för den registrerades intressen. För att få använda sig av lagstödet ”intresseavvägning” krävs det ett berättigat intresse för behandlingen. Detta motiveras av att ert intresse att behandla uppgifterna väger tyngre än den berördes intresse av att inte få sina personuppgifter behandlade. Det går att tänka sig förhållandet såsom en vågskål!

Hur görs en intresseavvägning?
Ha vågskålen i åtanke! Motiveringen av ert berättigade intresse ska ske genom en helhetsbedömning utifrån de berörda personuppgifterna, den aktuella behandlingen samt den registrerades intressen och rättigheter. Det som krävs av er som personuppgiftsansvarig är alltså en noggrann bedömning där det ska prövas huruvida den registrerade vid tidpunkten för insamlandet av personuppgifterna och i samband med detta rimligen kan förvänta sig att ni använder er av personuppgifterna för det avsedda ändamålet. Förväntningarna bedöms med hänsyn till ert förhållande med den berörde – som exempel kan nämnas att den berörde är kund hos eller arbetar för er.

En tumregel att komma ihåg kan därför vara att fråga sig: ”kommer den registrerade att bli förvånad av att jag behandlar dennes personuppgifter för just detta ändamål?”. En förvånad reaktion från den registrerade kan ses som en indikation på att ert intresse av behandlingen inte väger tyngre än den registrerades intresse av att inte få sina personuppgifter behandlade.

Intresseavvägningen ska därmed innehålla:
• Vilka kategorier av personuppgifter som berörs av den aktuella behandlingen, exempelvis namn och telefonnummer;
• En motivering av ert intresse av personuppgiftsbehandlingen;
• En motivering av varför ert intresse av personuppgiftsbehandlingen är berättigat;
• En beskrivning av de registrerades fri- och rättigheter och varför de kan ha intresse av att inte få sina personuppgifter behandlade.
• En motivering av varför behandlingen av personuppgifter är nödvändig för att uppnå syftet med det avsedda ändamålet.

Ska intresseavvägningen vara skriftlig?
Ni som personuppgiftsansvarig har ett ansvar i enlighet med GDPR och det är inte alltid självklart att ni har ett berättigat intresse för personuppgiftsbehandlingen. Det är därför viktigt att ni alltid dokumenterar er intresseavvägning där ni motiverar varför ert intresse väger tyngre. Intresseavvägningen ska helst godkännas av styrelsen, eftersom det är styrelsen som ytterst ansvarar för GDPR-arbetet.

Överföringar baserade på en intresseavvägning inom en koncern
Nu ska vi gå in på hur det ser ut när man för över personuppgifter inom en koncern och stödjer sig på en intresseavvägning. Koncernförhållanden kan ge upphov till förvirring – får du egentligen överföra personuppgifter baserat på en intresseavvägning till ett annat bolag inom koncernen? Svaret är detsamma som ovan – om ni har ett berättigat intresse! Även här måste en intresseavvägning dokumenteras på samma sätt som vid personuppgiftsbehandling, men kan oftast motiveras med ett administrativt syfte.

Direktmarknadsföring
Detta begrepp innebär att ett företag tar kontakt med kunden direkt, och i de inledande skälen till GDPR anges att ”behandling för personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse”. Ett omtalat exempel är telefonförsäljning. Som vi ser anges även här att det krävs ett berättigat intresse och en bedömning precis som ovan, och ordet ”kan” visar att det inte alltid är berättigat.

När får en intresseavvägning inte användas? Myndigheter bör inte använda sig av intresseavvägning i sin personuppgiftsbehandling, eftersom de alltid bör behandla dessa med stöd av lag.

Kom ihåg – rätt till invändning
Den vars personuppgifter behandlas baserat på en intresseavvägning har alltid rätt att invända mot behandlingen. Om den enskilde invänder och ber er att sluta använda dennes personuppgifter för ändamålet måste ni upphöra med behandlingen direkt efter att sådant besked lämnats. Ni har alltid rätt att göra en ny intresseavvägning.

Vill ni veta mer eller behöver ni hjälp med att upprätta en intresseavvägning?
Vi kan varmt rekommendera och stolt presentera vår samarbetspartner juristbyrån Sällberg & Co som hjälper er med era juridiska frågor. Kontakt: info@sallbergco.se. Behöver er organisation hjälp med att bli GDPR-compliant? Ett steg i arbetet är att ha ett konto i GDPR Hero! Läs mer och skapa konto här.

Victoria Limnefelt Nygren

victoria@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This