Interesseafvejningsreglen – fleksibel og krævende
Små virksomheder og foreninger er ofte udfordrede, når de skal afgøre hvilket behandlingsgrundlag, der gælder for deres behandlinger af personoplysninger. En af de mest fleksible, men også mest omdiskuterede og krævende behandlingsgrundlag i GDPR, er interesseafvejningsreglen i artikel 6, stk. 1, litra f.
Når du arbejder med GDPR-trappens trin 2 – Spørg dig selv “Hvorfor?”, så skal du finde et behandlingsgrundlag for alle dine behandlingsaktiviteter.
Denne regel kan anvendes, hvis den dataansvarlige kan påvise, at behandlingen har til formål at forfølge en legitim interesse.
Der er dog særligt tre ting, du skal tage indledende stilling til, hvis du vil anvende reglen som behandlingsgrundlag.
- Du skal kunne formulere klart og præcist, hvad din legitime interessse er, så den registrede kan gennemskue behandingsformålet.
- Din behandling skal nødvendig og proportional uanset hvad din interesse i behandlingen er, særligt hvis din behandlingsinteresse risikerer at overstige hensynet til de registreredes interesser.
- Din legitime interesse skal være i balance med, og må ikke tilsidesætte den registreredes rettigheder og frihedsrettigheder.
Så alt i alt, så er det her med interesseafvejningsreglen altså ikke helt let…
Sådan bruger du interesseafvejningsreglen i praksis
Interesseafvejningsreglen kan altså godt anvendes som behandlingsgrundlag i mindre virksomheder eller foreninger. Men der er nogle vigtige ting, du skal have styr på, før du anvender interesseafvejningsreglen.
Det første spørgsmål er hvordan du afvejer din legitime interesse af en konkret behandling i praksis.
Grundlæggende kan du gå ud fra, at din behandling er lovlig, hvis den anvendes til at forfølge legitime interesser. Så du skal finde ud af og definere, hvad din legitime interesse er. Det kan for eksempel være at drive din indkomstgivende virksomhed eller at varetage din forenings medlemsinteresser.
Din legitime interesse skal være saglig, relevant, nødvendig og proportional i forhold til at opnå formålet med behandlingen. Og din legitime interesse skal desuden være konkret og identificerbar, altså ikke bare generel eller teoretisk.
For det andet skal du foretage en dokumenteret afvejning af, om dine interesser kan siges at overstige hensynet til de registreredes rettigheder og interesser. Deraf navnet ”interesseafvejningsreglen”.
For det tredje, så skal du informere de registrerede om, at din behandling finder sted på dette grundlag, og hvad din legitime interesse er helt specifikt.
Og endelig så skal du kunne dokumentere din behandlingsproces og din interesseafvejning for at kunne påvise ansvarlighed i forhold til kravene i databeskyttelsesreglerne.
Det er med andre ord dig som dataansvarlig, der bærer bevisbyrden for, at behandlingen er lovlig, når du anvender interesseafvejningsreglen som behandlingsgrundlag.
Faldgruber og særlige opmærksomhedspunkter
Selvom interesseafvejningsreglen er meget fleksibel som behandlingsgrundlag, så er der nogle vigtige faldgruber, du skal være opmærksom på.
Særligt selve interesseafvejningen kalder på omhyggelige overvejelser. Du skal sikre, at du har dokumentation for afvejningsprocessen og for begrundelsen for behandlingen.
Men du skal også være særlig opmærksom på behandlingen af personoplysninger om sårbare grupper. Det kan for eksempel børn og unge, sygdomssvækkede personer eller personer, som kræver særlig beskyttelse. Eller hvis der er tale om behandling af fortrolige eller følsomme personoplysninger. I så fald vil du som udgangspunkt ikke kunne anvende interesseafvejningsreglen. Her vil du i stedet skulle indhente den registreredes forudgående og udtrykkelige samtykke.
Interesseafvejningsreglen er særlig relevant i situationer, hvor der ikke findes et andet behandlingsgrundlag. Du vil for eksempel kunne anvende interesseafvejningsreglen som grundlag for overvågning af et netværk for at forhindre cyberangreb eller ved opsætning af tv-overvågning i et afgrænset område for at forhindre og forebygge kriminalitet.
EDPB, Det Europæiske Databeskyttelses Råd, sendte nye retningslinjer for brugen af interesseafvejningsreglen i offentlig høring i oktober 2024.
Interesseafvejningsreglen: et fleksibelt, men krævende behandlingsgrundlag.
Interesseafvejningsreglen er en mulighed for private virksomheder og foreninger, som har brug for at behandle personoplysninger uden samtykke eller anden behandlingshjemmel. Men det kræver en omhyggelig afvejningsproces, dokumentation og gennemsigtighed.
Datatilsynets afgørelser og nye retningslinjer fra Databeskyttelsesrådet viser, at interesseafvejningsreglen ikke giver fripas til at behandle personoplysninger, som man har lyst til. Tværtimod stiller interesseafvejningsreglen høje krav til dokumentation og formålsafgrænsning.
Spørgsmålet er derfor ikke om du kan anvende interesseafvejningsreglen, men hvordan du kan gøre det korrekt og hvordan du kan dokumentere det.
Anvender I interesseafvejningsreglen som behandlingsgrundlag i jeres virksomhed eller forening? Har I styr på dokumentationen og har I foretaget de nødvendige afvejninger?
GDPR-trappen™ er en veltilrettelagt genvej til god databeskyttelse og høj informationssikkerhed.
GDPR-trappen er baseret på Datatilsynets koncepter “GDPR-Universet for små virksomheder” og “GDPR-Universet for små foreninger.”
Når du følger Datatilsynets syv trin ved hjælp af GDPR-trappen, så er du sikker på at komme omkring det nødvendige og tilstrækkelige.