Innhold

Berettiget interesse som behandlingsgrunnlag

Mann som går langs en gate. Illusjoner av tall.

Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag. Et slikt grunnlag kan være at bedriften har en berettiget interesse i å behandle opplysningene.

Betingelsen er at interessene på den andre siden – hos den registrerte – ikke går foran bedriftens.

En bedrift må altså veie de to interessene mot hverandre. Vurderingen er konkret, og bedriften må dokumentere dem. Disse vurderingene kan være vanskelige, både fordi reglene er ganske vage og fordi man ikke er vant til å gjøre dem.

Det er tre elementer du bør vurdere:

1. Har bedriften en "berettiget interesse"?

Det skal ganske lite til før en bedrift har en "interesse". En interesse kan for eksempel bestå i at bedriften ønsker informasjon om kunder og potensielle kunder, slik at den kan målrette markedsføringen best mulig. En annen interesse kan være personaladministrasjon.

Interessen må dessuten være "berettiget". Det vil omfatte stort sett alle interesser som er lovlige, også kommersielle interesser.

Spør deg selv om hvorfor du vil behandle opplysningene? Hvor viktig er det å behandle opplysningene? Hva skjer hvis du lar være? Er behandlingen uetisk på noen måte?

Bedriften må beskrive den berettigede interessen.

 

2. Er det "nødvendig" å behandle opplysningene?

Behandlingen må være "nødvendig" for å førfølge den berettigede interessen. Det må altså være en sammenheng mellom behandlingen og interessen – hjelper behandlingen? Sammenhengen trenger ikke være kritisk eller tvingende nødvendig for virksomheten. Den kan være triviell eller dagligdags. På den annen side kan sammenhengen ikke være fjern eller hypotetisk.

Et spørsmål bedriften bør stille seg, er om det er noen annen måte den kan oppnå det den ønsker. Hvis det ikke finnes noen slik måte, vil behandlingen fort anses "nødvendig".

Bedriften må beskrive nødvendigheten.

3. Avveining av interesser

Har man svart ja på de to første spørsmålene, starter avveiningen av interessene.

Utgangspunktet er enkelt: På den ene siden har man bedriftens behov, på den andre siden har man den registrertes behov.

En grunnleggende test kan være å stille seg selv spørsmålet: "Vil de registrerte bli negativt overrasket når du informerer dem om behandlingen av opplysninger om dem"? Er svaret ja, bør du tenke deg grundig om. Da kan samtykke være et mer nærliggende behandlingsgrunnlag.

 

Hjelpespørsmål i interesseavveiningen

Svarer man ja på spørsmål nedenfor, er det i bedriftens favør i avveiningen.

  • Har den registrerte bedt om at behandlingen finner sted?
  • Regner den registrerte med at behandlingen finner sted?
  • Vil den registrerte ha fordeler av behandlingen, som bedre varer eller tjenester?
  • Er behandlingen i den registrertes interesse?
  • Har bedriften og den registrerte samme interesse?
  • Er det noen tilknytning mellom bedriften og den registrerte (eller den registrertes arbeidsgiver) (for eksempel nåværende, tidligere eller potensiell kunde eller leverandør, ansatt eller konsulent)?
  • Gjelder behandlingen personen i egenskap av ansatt hos en kunde eller leverandør?
  • Er det et gjensidig forhold mellom bedriften og den registrerte?
  • Er det få opplysninger om den registrerte som vil bli behandlet?
  • Er det snakk om faktiske opplysninger?
  • Har den registrerte gitt opplysningene selv?
  • Er bedriften komfortabel med å gi god informasjon til den registrerte om behandlingen?
  • Gir bedriften god informasjon til den registrerte om behandlingen?
  • Er det enkelt for den registrerte å kontakte bedriften for å kontrollere behandlingen?

Svarer man ja på spørsmål nedenfor, taler det imot at bedriften behandler opplysninger:

  • Vil den registrerte bli overrasket over behandlingen?
  • Vil den registrerte oppfatte behandlingen som negativ?
  • Kan den registrerte oppfatte behandlingen som irriterende eller upassende – basert på forholdet mellom bedriften og den registrerte?
  • Vil den registrerte oppfatte opplysningene som typisk private eller av følsom karakter?
  • Inneholder opplysningene vurderinger av den registrerte?
  • Vil det blir behandlet mange opplysninger om den registrerte?
  • Er det snakk om en behandling som er uvanlig?
  • Er det mulig for bedriften med en mindre inngripende behandling av opplysningene?

Man avgjør ikke avveiningen ved å telle antall ja og nei. Bedriften må vurdere alle faktorene og veie dem mot hverandre.

Ønsker du å sette deg grundig inn i hva som gjelder, kan du lese Artikkel 29-gruppens "Opinion 06/2014", som ventelig blir erstattet av en ny utgave som er tilpasset personvernforordningen.

 ***********

Eksempel på vurdering:

En frisør ønsker å informere kundene om en ny behandlingsmetode. Frisøren ønsker å sende e-poster til alle kundene som har oppgitt e-postadressen sin til frisøren.

Frisøren vurderer dette slik:

Vår interesse er at kundene skal være knyttet til oss. Dette er en berettiget interesse.

Vi får ikke gitt kundene den informasjonen vi ønsker uten å sende dem e-post. Vi mener derfor at utsending av e-post er nødvendig.

Alle som mottar e-poster er eller har vært kunder hos oss. De har selv oppgitt e-postadressen til oss. Da vi fikk adressen ga vi dem beskjed om at vi ville sende dem informasjon. Vi regner derfor med at det ikke er noen overraskelse at de mottar e-post fra oss. Kundene vil få informasjon om en tjeneste de kanskje ikke vet om. Informasjonen gjør at kundene vil kunne få bedre frisørtjenester, enten de er kunde hos oss eller i andre salonger. Vi markedsfører ikke at vi selger tjenesten. Utsendelse av e-post innebærer kun bruk av e-postadresse, ikke andre personopplysninger. Det vil fremgå av e-posten hvor vi har e-postadressen fra og at den ikke blir brukt til annet enn e-postutsendelser. I e-posten er det beskrevet hvordan mottakeren enkelt kan si fra om at han/hun ikke ønsker å motta e-poster fra oss.