Kan berettiget interesse brukes som behandlingsgrunnlag for personopplysninger, og hvordan vurderer man om det er lovlig å bruke? Berettiget interesse etter GDPR artikkel 6 (1) bokstav f brukes veldig ofte som grunnlag for behandling av personopplysninger. Dette grunnlaget fungerer som en slags «sekkepost», som man ofte ender opp med hvis ikke noen av de andre grunnlagene kan brukes.
Men å vurdere om berettiget interesse kan brukes som et lovlig behandlingsgrunnlag kan være vanskelig, og vurderingen som gjøres må dokumenteres (dvs. kunne bevise at vurderingen er gjort i ettertid).
I forrige nyhetsbrev skrev jeg om høyesterettsdommen om Legelisten hvor Høyesterett går grundig inn på vurdering av berettiget interesse. Dommen er interessant for alle som vil kunne være involvert i slike vurderinger, men viser også hvor vanskelig en vurdering vil være.
For å gjøre vurderingene noe enklere, har jeg laget et skjema/mal for vurderingen, som da også sikrer dokumentasjon. Se nedenfor, og skjemaet kan lastes ned i word-versjon her:
Oppsummert vil en vurdering av berettiget interesse omfatte:
- Det må være en berettiget interesse for behandlingen, som er knyttet til behandlingens formål.
- Behandlingen må være nødvendig for å nå formålet for den berettigede interessen (men ikke nødvendig for alle deler av behandlingen).
- De berettigede interessene må vurderes mot personvernet til de behandlingen gjelder (interesseavveining). I denne vurderingen har bl.a. omfanget av og hvilke personopplysninger behandlingen omfatter, og tiltak for å bedre personvernet ha betydning (som informasjon, sletting, retting/korrekthet, minimering, reservasjonsrett mv.) ha betydning.
- Vurderingen må være dokumentert, og om det er tvilsomt om det foreligger lovlig grunnlag vil andre sikringstiltak ha betydning som gjennomføring av tiltak etter GDPR artikkel 24 (som også må dokumenteres).