Nødvendig for å ivareta legitime interesser - interesseavveiing

En virksomhet kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. 

Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. Les mer om plikten til å fastsette et formål

Den aktuelle behandlingen av personopplysninger må være nødvendig for denne interessen. Det vil si at virksomheten må vurdere om den kan oppnå formålet på en måte som bedre varetar personvernet. Man må altså velge den behandlingen som er minst inngripende.

Deretter må virksomheten foreta en interesseavveining for å avgjøre om den enkeltes personvern veier tyngre enn virksomhetens berettigede interesse. Denne avveiningen bør gjøres trinnvis. Nedenfor har vi skissert hvordan disse trinnene bør se ut og gitt eksempler på hva man kan legge vekt på i hvert trinn.

1. Virksomhetens interesse

  • Hvilke fordeler oppnår virksomheten med behandlingen?
  • Hvor viktige er disse fordelene for virksomheten?
  • Har behandlingen offentlig interesse eller varetar den ideelle interesser som kommer flere til gode? (Dette er ikke et krav, men det kan tale i virksomhetens favør når interesseavveiningen skal foretas.)

2. Hensynet til personvernet

  • Hva slags personopplysninger er det snakk om? Er personopplysningene veldig beskyttelsesverdige eller sensitive? Er det snakk om personopplysninger som allerede er offentlige et annet sted?
  • Hvor mange enkeltpersoners personvern vil påvirkes av behandlingen?
  • Vil ulempene vare over tid?
  • Kobles ulike typer personopplysninger sammen?
  • Analyseres personopplysningene for å avdekke ukjente sammenhenger eller forutse adferd, interesser eller preferanser?
  • Vil personopplysningene offentliggjøres eller deles med andre virksomheter?
  • Hva mener de berørte (ansatte, kunder eller andre)?
  • Synes de at behandlingen av personopplysninger er krenkende?
  • Har personene en berettiget forventning om å få ha disse personopplysningene i fred?
  • Kan behandlingen ha positive konsekvenser for personene?
  • Kan behandlingen ha negative konsekvenser for personene, for eksempel ekskludering, diskriminering eller ærekrenkelse?
  • Er behandlingen egnet til skape frykt eller uro, eller kan den føre til at personer modererer egne utsagn eller adferd ut fra bekymring over at de blir overvåket (nedkjølingseffekt)?
  • Hva er risikoen for (altså sannsynligheten for og konsekvensene av) at personopplysninger kommer på avveier? Les mer om informasjonssikkerhet
  • Er personen mindreårig?

3. Tiltak for å minimere personvernkonsekvensene

  • Er det adgang til å reservere seg mot behandlingen?
  • Har systemene innebygd personvern?
  • Har virksomheten iverksatt andre tiltak for å minimere personvernkonsekvensene?

4. Balansetesten

Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes dersom personvernkonsekvensene er små. Dersom personverkonsekvensene er større, må virksomhetens interesse i behandlingen være mer tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.

I mange tilfeller vil ikke inngrepet i personvernet stå i forhold til interessen virksomheten har i å samle inn opplysninger. Da må virksomheten basere behandlingen på gyldig samtykke eller et av de andre behandlingsgrunnlagene.

22