Når brukes behandlingsgrunnlaget berettiget interesse?
GDPR krever at all behandling av personopplysninger har et behandlingsgrunnlag i form av en juridisk gyldig avtale. GDPR (eller Personopplysningsloven på norsk) definerer 6 forskjellige behandlingsgrunnlag, og her er Berettiget interesse sekkeposten. Når kan du bruke dette behandlingsgrunnlaget?
EDPB (EUs Data Protection Board) har nylig kommet med en oversikt og en veileder for forhold relartert til bruken av berettiget interesse som behandlingsgrunnlag. Vi ser mange tilfeller hvor dette behandlingsgrunnlaget brukes uten at det reelt sett er grunnlag for det.
Før du kan bruke berettiget interesse som behandlingsgrunnlag for din håndtering av personopplysninger, bør du gjennomgå følgende tre trinn:
#1: Er behandlingen legitim?
Berettiget interesse er eksempelvis behandling av personopplysninger som er nødvendig for at du skal kunne levere de varer eller tjenester en kunde har bestilt. Du trenger altså navn, adresse, telefon og epost for å kunne sende en vare til en kunde. Du trenger ikke kundens samtykke for dette. Databehandling der formålet er å forebygge sikkerhetsbrudd eller annen form for misbruk av IT-systemer, samt analyser av brukeradferd for å forbedre kundeopplevelser, er andre eksempler der Berettiget interesse kan benyttes. Beskriv hvorfor du mener at din behandling kan kategoriseres som berettiget interesse.
#2: Er behandlingen virkelig nødvendig?
Du må vurdere om behandlingen virkelig er nødvendig, eller om formålet med behandlingen kan realiseres på andre (og ofte mer tungvinte) måter. Berettiget interesse kan kun benyttes om behandlingen er absolutt nødvendig.
#3: Strider behandlingen mot individets grunnleggende rettigheter og friheter?
Individets grunnleggende rettigheter og friheter står sterkt i EUs rettsforståelse. Før du velger å bruke berettiget interesse, må du derfor veie dette opp mot individets rettigheter.
Du må dokumentere dine vurderinger før du benytter berettiget interesse. Personvernadvokat Jan Sandtrø har utarbeidet et skjema du kan bruke for å dokumentere dette. Du kan laste ned skjemaet fra Sandtrøs nettside i denne lenken. Se for øvrig www.sandtro.no
Du må til slutt oppdatere din personvernerklæring med beskrivelse av behandlingens formål og hvordan du sletter personopplysningene når formålet er oppnådd, samt hvilket behandligsgrunnlag du legger til grunn.
De 6 behandlingsgrunnlagene er:
-
Samtykke
-
Avtale
-
Rettslig forpliktelse
-
Vitale interesser
-
Offentlig myndighetsutøvelse
-
Berettiget interesse
Bli med på gratis webinar i samarbeid med Cookie Information om tema berettiget interesse og den nye ekomloven!