Nødvendig for å ivareta legitime interesser - interesseavveiing
En virksomhet kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.
En virksomhet kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.
Den berettigede interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten. Les mer om plikten til å fastsette et formål
Den aktuelle behandlingen av personopplysninger må være nødvendig for denne interessen. Det vil si at virksomheten må vurdere om den kan oppnå formålet på en måte som bedre varetar personvernet. Man må altså velge den behandlingen som er minst inngripende.
Deretter må virksomheten foreta en interesseavveining for å avgjøre om den enkeltes personvern veier tyngre enn virksomhetens berettigede interesse. Denne avveiningen bør gjøres trinnvis. Nedenfor har vi skissert hvordan disse trinnene bør se ut og gitt eksempler på hva man kan legge vekt på i hvert trinn.
Dersom virksomhetens interesser ikke er særlig vektige, kan behandlingen bare iverksettes dersom personvernkonsekvensene er små. Dersom personvernkonsekvensene er større, må virksomhetens interesse i behandlingen være mer tungtveiende. I hvor stor grad virksomheten iverksetter personvernminimerende tiltak vil derfor ha mye å si. Oppsummert handler det om å finne en balanse slik at inngrepet i personvernet er forholdsmessig.
I mange tilfeller vil ikke inngrepet i personvernet stå i forhold til interessen virksomheten har i å samle inn opplysninger. Da må virksomheten basere behandlingen på gyldig samtykke eller et av de andre behandlingsgrunnlagene.