Nødvendig for å ivareta berettigede interesser - interesseavveiing
Du kan behandle personopplysninger for formål som er nødvendige for å ivareta «berettigede interesser». Først må du gjøre en interesseavveining og komme frem til at formålet ditt går foran den enkeltes interesser og grunnleggende rettigheter og friheter.
Du må oppfylle tre vilkår for å basere deg på interesseavveining som rettslig grunnlag:
- Det må foreligge «berettigede interesser»
- Behandlingen av personopplysningene må være «nødvendig» for formålet
- Interesseavveiningen må gå i virksomheten din sitt favør
Du må vurdere alle de tre vilkårene. Dersom du kommer frem til at behandlingen kan gjennomføres, bør du dokumentere vurderingene for å kunne demonstrere etterlevelse av regelverket.
Offentlig myndigheter kan ikke bruke interesseavveining som rettslig grunnlag «som ledd i utførelsen av deres oppgaver». Som offentlig myndighet har du likevel samme adgang som private virksomheter til å benytte grunnlaget i for eksempel kommersiell virksomhet eller i egenskap av å være arbeidsgiver.
Interesseavveining som rettslig grunnlag er beskrevet i personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav f.
1. «Berettigede interesser»
Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten din.
Dersom behandlingen er i strid med lov eller forskrift, foreligger det ikke berettigede interesser. Behandlingen vil da være for uforutsigbar for den registrerte.
Interessen du har i å behandle personopplysninger må basere seg på et reelt og saklig behov. Du må vurdere om den registrerte med rimelighet kan forvente at behandlingen vil skje.
Eksempel – berettiget interesse for et videokamerasystem
En hytteforening har besluttet å installere et videokamerasystem på et hyttefelt for å forebygge og oppklare mulige innbrudd eller tyverier.
Selv om dette i enkelte tilfeller kan utgjøre berettigede interesser, må interessen basere seg på noe reelt og ikke noe rent hypotetisk.
Hytteforeningen må kunne vise til konkrete holdepunkter som viser en reell fare for innbrudd og tyveri i området. Med mindre hytteforeningen kan vise til for eksempel tidligere hendelser eller statistikker fra nærområdet, som viser at behovet er reelt, vil foreningen ikke ha en berettiget interesse.
Den berettigede interessen kan ligge hos virksomheten din eller hos en tredjepart. For at den registrerte med rimelighet skal kunne forvente at behandlingen av personopplysningene forekommer, bør den berettigede interessen som utgangspunkt skje i tilknytning til aktivitetene til virksomheten din.
Eksempel – hvilke berettigede interesser har en tredjepart?
En vekter som jobber på et kjøpesenter har en dårlig dag. Vekteren blir irritert på en kunde og ender opp med å skade bilen til kunden.
Kunden får beskjed fra forsikringsselskapet om at skaden ikke dekkes av forsikringen. Kunden må derfor selv kreve erstatning fra den som har påført skaden.
Kunden ber vekterselskapet om å få utlevert navnet på vekteren.
Vekterselskapet vurderer at tredjeparten forfølger en berettiget interesse som de kan basere seg på.
2. «Nødvendig» for formål knyttet til de berettigede interessene
Behandlingen må være «nødvendig» for formål knyttet til de berettigede interessene dine. Du må fastsette formålet på forhånd. Les mer om fastsettelse av formål.
For at behandlingen skal være «nødvendig», må den være egnet til å oppnå formålet ditt. Dersom behandlingen ikke er egnet til å oppnå det ønskede resultatet, kan ikke behandlingen anses for å være «nødvendig».
Nødvendighetskravet innebærer også at du med rimelighet ikke kan oppnå formålet like effektivt på en annen, mindre inngripende måte. Du må altså vurdere handlingsalternativer og sette disse opp mot hverandre.
Eksempel – er kameraovervåkingen forholdsmessig og nødvendig?
En virksomhet ønsker å kameraovervåke uteområdene sine på kveldstid for å forhindre hærverk som skjer på den tiden av døgnet.
Kan formålet oppnås med bedre fysisk sikring, eller vil det innebære en uforholdsmessig stor kostnad? Kan formålet oppnås med for eksempel økt lyssetting, eller er slike tiltak allerede forsøkt og anses utilstrekkelig?
3. Interesseavveining
Til slutt må du veie de berettigede interessene opp mot den registrertes interesser og grunnleggende rettigheter og friheter.
I vurderingen kan det være relevant å spørre deg en rekke spørsmål:
- Hvor viktige er de berettigede interessene dine?
- Hvilken type opplysninger er det snakk om? Hvor sensitive er de?
- Kan behandlingen oppleves krenkende for de registrerte?
- Hvilke risikoer medfører behandlingen?
- Hvilke konsekvenser kan behandlingen medføre for de registrerte?
- Kan behandlingen skape en nedkjølende effekt hos de registrerte?
- Hvilke tiltak kan du sette inn for å begrense ulempene og personvernkonsekvensene?
- Er det adgang til å reservere seg mot behandlingen eller enkelte deler av behandlingen?
- Oppfyller systemet ditt kravene for innebygd personvern?
- Hvilke sikkerhetstiltak kan du sette inn?
- Hvilke forventninger må eller bør den registrerte ha til behandlingen?
- Hvor mange enkeltpersoner vil berøres av behandlingen?
- Vil ulempene ved behandlingen vare over tid?
- Kan behandlingen ha positive konsekvenser for de registrerte?
- Kobler systemet ditt ulike typer personopplysninger sammen?
- Mener de registrerte selv at behandlingen er krenkende?
- Behandler du personopplysninger om mindreårige?
Flere momenter enn punktene over kan være relevante. Listen er derfor ikke uttømmende.
Eksempel – interesseavveining
En virksomhet har som fast praksis å publisere enkelte personopplysninger om ansatte som jobber utadrettet mot kunder på hjemmesiden sin. De publiserer navn og opplysninger om de ansattes spesialiteter og tidligere prosjekter.
Virksomheten konkluderer med at de har en berettiget interesse i å publisere disse opplysningene. De mener å ha en berettiget interesse i å vise frem hva slags type tjenester de kan tilby. Virksomheten kan vise til holdepunkter for at det bedrer kundekontakten og øker tilliten hos potensielle kunder å inkludere navn på ansatte, noe som igjen fører til økt salg. De kommer også frem til at de bare legger ut de personopplysningene som er nødvendige for formålet.
I interesseavveiningen viser virksomheten til at det er vanlig å legge ut denne typen personopplysninger hos lignende virksomheter. De vil ikke være like konkurransedyktige uten tilsvarende praksis hos seg. At dette er alminnelig praksis viser også at de ansatte bør kunne forvente at denne typen behandling vil skje i en slik bedrift. Opplysningene er heller ikke av sensitiv karakter.
Eksempel fra et prosjekt i Datatilsynets sandkasse - utvikling av nye løsninger
En deltaker i sandkassen ville lage en løsning for arbeidsmarkedstiltak. Brukeren i tiltaket skulle svare på spørsmål fra en KI-chatbot. Chatboten genererte deretter informasjon om brukerens fremgang og ga tilbakemeldinger.
Fase 1: Denne informasjonen ble bare vist til brukeren selv for å øke hens motivasjon.
Fase 2: Brukeren kunne også gjøre opplysninger om seg tilgjengelig for veilederen hos tiltaksarrangøren. Målet var å både styrke brukerens motivasjon og å hjelpe veilederen med oppfølgingen.
Vi påpekte at dersom sandkassedeltakteren ville gå videre til fase 2, måtte de vurdere brukernes personvern nøye.
Jo mer detaljert informasjon om brukeren som veilederen får tilgang til (for eksempel hele chatloggen), jo mer skal til for å bestå interesseavveiningen. Å dele korte oppsummeringer eller aggregerte tall er mindre inngripende.
Vi påpekte også at den berettigede interessen bør vurderes ut fra hva dataene skal brukes til og hvordan løsningen er bygget. Jo mer frivillig og begrenset behandlingen av personopplysninger er, desto mindre inntrengende blir den.
Les mer om sandkasseprosjektet InkludMI: Intelligent inkludering.
Eksempel fra prosjekt i Datatilsynets sandkasse – utvikling av nye løsninger. Flere behandlingsaktiviteter og formål
Hvordan sikrer du at alle tre vilkårene for interesseavveining som rettslig grunnlag er oppfylt når du har flere behandlingsaktiviteter og formål?
En deltaker i sandkassen ville lage en løsning for arbeidsmarkedstiltak. Brukeren i tiltaket skulle svare på spørsmål fra en KI-chatbot. I én fase av løsningen skulle brukeren i tiltaket svare på spørsmål fra chatboten, som deretter genererte informasjon om brukerens fremgang og ga tilbakemeldinger. I den andre fasen kunne brukeren gjøre den samme informasjonen tilgjengelig for veilederen hos tiltaksarrangøren, med formål om å både styrke brukerens motivasjon og å hjelpe veilederen med oppfølgingen. Det er altså snakk om å både vurdere ulike behandlingsaktiviteter og ulike formål.
I prosjektet anbefalte vi at vurderingen av det rettslige grunnlaget burde gjøres separat for de ulike behandlingsaktivitetene i løsningen og for de ulike formålene.
Vi anbefalte at de først vurderte de tre vilkårene for å bruke interesseavveining som rettslig grunnlag (berettiget interesse, nødvendighet, interesseavveining) for den ene behandlingsaktiviteten (fase 1). Deretter kunne de vurdere de tre vilkårene for den andre behandlingsaktiviteten.
Ettersom den andre behandlingsaktiviteten (fase 2) hadde to formål som skilte seg fra hverandre (motivasjon og hjelpe veileder med oppfølging), anbefalte vi at de også vurderte de tre vilkårene for hvert av formålene.
Dette er det samme sandkasseprosjektet som er nevnt i eksemplet over. Les mer om prosjektet InkludMi: Intelligent inkludering.
Nyttig å vite
Rett til å protestere
Når du bruker interesseavveining som rettslig grunnlag, har den registrerte en rett til å protestere.
Andre retningslinjer
Personvernrådet (European Data Protection Board) har laget retningslinjer om interesseavveining og personvernforordningens (GDPR) artikkel 6 nr. 1 bokstav f.
Dersom du ønsker utdypende informasjon og flere eksempler kan det være lurt å ta en titt på denne. Retningslinjene forklarer også hvordan bestemmelsen skal anvendes, trinn for trinn.
Personvernrådet er et selvstendig EU-organ og består av alle datatilsynsmyndighetene i EØS. Rådet har flere oppgaver, blant annet å gi retningslinjer og uttalelser om hvordan personvernforordningen skal tolkes.