Draftit

Guide: Är berättigat intresse en lämplig rättslig grund?

Skriven av Fanny von Homeyer | 2023-mar-15 09:04:38

Berättigat intresse kan sägas vara den mest flexibla rättsliga grunden i GDPR. Men den förutsätter att den personuppgiftsansvarige genomför en intresseavvägning som en slags säkerhetsmekanism mot missbruk. En sådan bedömning kallas på engelska för en Legitimate Interest Assessment och förkortas därför ofta LIA.

En LIA kan delas upp i tre delar: ändamålstest, nödvändighetstest och balanstest.

Ändamålstestet

Ni ska reflektera över och bedöma om ni har ett faktiskt intresse av att behandla personuppgifterna. Några frågor ni bör tänka på är:

  • Varför vill ni behandla informationen?
  • Vilken nytta får ni av behandlingen?
  • Kommer behandlingen samhället till nytta?
  • Hur viktiga är fördelarna med behandlingen?
  • Vad skulle hända om ni inte implementerar behandlingen?

Nödvändighetstestet

Här ska ni bedöma om behandlingen är nödvändig för att uppnå syftet. Ni bör tänka på:

  • Kommer behandlingen att hjälpa er att uppnå syftet?
  • Är behandlingen proportionerlig med hänsyn till syftet?
  • Kan ni uppnå syftet utan att behandla personuppgifterna?
  • Kan ni uppnå syftet på ett sätt som samlar in mindre personuppgifter, eller på ett mindre påträngande sätt?

Balanstestet

Balanstestet är den faktiska intresseavvägningen där den personuppgiftsansvariges intressen ställs mot de registrerades. Här ska ni ta hänsyn till de registrerades intressen, deras fri- och rättigheter, och bedöma om de övertrumfar ert intresse som personuppgiftsansvarig. Typen av personuppgifter, den registrerades förväntningar och vilken inverkan behandlingen kommer att ha på den registrerade är nyckelfaktorer i denna bedömning. 

 Typ av personuppgifter:

  • Är informationen väldigt privat?
  • Behandlar ni särskilda kategorier av personuppgifter (känsliga personuppgifter)?
  • Är informationen av privat eller yrkesmässig karaktär?

 Rimliga förväntningar:

  • Får ni informationen direkt från den registrerade?
  • Är syftet tydligt?
  • Har ni en befintlig relation de registrerade?

Inverkan på den registrerade:

  • Vilken påverkan kommer behandlingen att få för de registrerade?
  • Kommer de registrerade att tappa kontrollen över sina personuppgifter?
  • Kan ni tänka er att förklara och beskriva behandlingen för de registrerade?

Helhetsbedömning

Till sist återstår att göra en helhetsbedömning utifrån hur ni svarat i del ett, två och tre. Med tanke på hur ni har svarat i de olika delarna: Kan ni luta er mot ett berättigat intresse som rättslig grund för den aktuella behandlingen? Förklara varför, eller varför inte.

Detta är stegen ni måste gå igenom för att genomföra en ordentlig intresseavvägning (LIA). 

Observera att detta inte är en uttömmande frågelista utan snarare kan användas som inspiration i arbetet. 

Ta hjälp av ett kompetensstöd

Med Privacy Expert, vårt kompetensstöd inom dataskydd kan du både fördjupa dig om berättigat intresse och rättslig grund samt få stöd i andra frågor som rör dataskydd.