Berettiget interesse til besvær

Hva er «berettiget interesse»?

Berettiget interesse er et av de seks lovlige behandlingsgrunnlagene i den generelle personvernforordningen kalt GDPR.

Mange virksomheter oppgir i sine personvernerklæringer på hjemmesider, i apper eller andre steder at de behandler personopplysninger om ansatte, sluttbrukere eller andre personer. Problemet er at flere av disse ikke har utført det som kreves for å kunne ha et slikt lovlig behandlingsgrunnlag.

Hva er vilkårene for å bruke berettiget interesse?

Berettiget interesse er kun aktuelt når ingen andre lovlige behandlingsgrunnlag passer.

Det betyr at virksomheten først må undersøke om noen av de 5 andre behandlingsgrunnlagene foreligger, dvs. at det ikke foreligger samtykke, avtale, rettslig plikt, behov for å verne vitale interesser eller grunnlag for å utøve offentlig myndighet. Kort fortalt er berettiget interesse siste utvei.

I tillegg må den berettigede interessen identifiseres og deretter veies opp mot personvernulempen for de som berøres – det betyr at virksomheten må ha gjennomført en balansetest.

Balansetesten

I praksis ser vi ofte at bedrifter oppgir at de behandler personopplysninger på grunnlag av sin berettigete interesse. Når vi spør om hvilken interesse eller om de har gjort en balansetest, er svaret ofte at de antok det var nok å skrive i en personvernerklæring at de hadde en berettiget interesse.

Vår erfaring er derfor at mange bruker berettiget interesse ulovlig. Det er viktig at hver virksomhet som vil benytte dette behandlingsgrunnlaget faktisk utfører de nødvendige stegene for å vise at berettiget interesse er riktig behandlingsgrunnlag for de behandlingsaktivitetene som utføres.

Hva slags steg må virksomheten dokumentere er utført?

• Den som ønsker å behandle personopplysninger, må ha et reelt formål med behandlingen, og behandlingen må være nødvendig. Berettiget interesse skal ikke brukes for behandlinger som er «nice to have».
• Virksomheten må utføre en balansetest. Den berettigete interessen i å behandle personopplysninger må veie tyngre enn ulempene som behandlingen medfører for den personen behandlingen gjelder.
• Konklusjonen til virksomheten må gjøres kjent for de registrerte, og de registrerte skal gis mulighet til å protestere mot behandlingen (kalles opt-out).

Dokumenter at balansetesten er utført

Vi anbefaler at virksomheten bruker en sjekkliste eller annet dokument som fylles ut for hver balansetest.

Datatilsynet har lagd 4 trinn som bør inn i slik sjekkliste:

1. Virksomhetens interesse
2. Hensynet til personvernet
3. Tiltak for å minimere personvernkonsekvensene
4. Balansetesten.

I balansetesten må virksomheten veie de motstridende hensynene opp mot hverandre. På den ene siden har vi personvernulempene, og de berørtes eventuelle forventning om at deres personopplysninger ikke behandles. På den andre siden virksomhetens berettigete interesse i å behandle personopplysningene. Andre viktige momenter er hva slags personopplysninger som behandles, spesielt om det er sensitive personopplysninger eller barn eller andre sårbare gruppers personopplysninger. I tillegg til den berettigede interessen virksomheten har, kan tiltak for å minske personvernulempene eller risikoen knyttet til behandlingen være med på å tippe balansetesten i favør av at behandlingen er tillatt. Et eksempel på tiltak er at det ikke behandles flere personopplysninger enn det som er absolutt nødvendig for å oppnå formålet, og at det er sterke sikkerhetstiltak på plass for å gjøre behandlingen så sikker som mulig. Jo større ulempen for de berørte er, jo mer skal det til for at berettiget interesse kan godtas.

Et ytterligere moment som er mye diskutert i tilknytning til berettiget interesse er reservasjonsrett, eller en mulighet til å velge at dine personopplysninger behandles. Det gjøres ved at de berørte kan be om at deres personopplysninger likevel ikke behandles på grunnlag av berettiget interesse.

Må man alltid tilby de registrerte en reservasjonsrett?

Reservasjonsmulighet er et tiltak som minsker personvernulempen betydelig.

Et eksempel er at en nettside med innlogging til en Min side for brukerne, har en oversikt over hvilke behandlingsaktiviteter som foretas med berettiget interesse som grunnlag. Dersom brukeren ikke vil at egne personopplysninger skal behandles på en slik måte, kan nettstedet inneholde funksjonalitet som gjør det enkelt å protestere, f.eks. en knapp som kan trykkes på for å stoppe slik behandling.

Det er ikke alltid praktisk å tilby enhver person en generell rett til å protestere. Et eksempel er at en hacker ikke bør gis muligheten til opt-out fra behandlinger som sikrer alle brukeres sikkerhet og dermed kundedata.

Høyesterett kan gi avklaringer i Legelisten-saken

Nettstedet Legelisten.no har en database med leger og andre helsepersonell, der brukere legger igjen vurderinger av den enkelte behandleren. For å tilby denne tjenesten må Legelisten behandle personopplysninger om leger og helsepersonell som er inkludert i databasen. Dette gjør Legelisten på bakgrunn av berettiget interesse. Helsepersonell har klaget inn Legelisten med krav om at de må kunne reservere seg fra å bli inkludert og vurdert på Legelisten.no.

Saken har vært gjennom behandling av Datatilsynet, Personvernnemnda, tingretten, lagmannsretten og Høyesterett – det forventes dom snart fra Høyesterett. Sakens kjerne er om helsepersonell må gis en rett til å reservere seg fra å bli inkludert på Legelisten.no.

Personvernnemnda kom frem til at Legelisten.no har behandlingsgrunnlag for å samle inn og publisere subjektive vurderinger av helsepersonell uten at helsepersonell gis en generell reservasjonsrett for slike vurderinger. Lagmannsretten konkluderte også med at det ikke måtte oppstilles en generell reservasjonsrett på Legelisten.no.

Vi håper dommen fra Høyesterett vil avklare om det vil være en reservasjonsrett ved bruk av berettiget interesse, og at dommen samtidig vil gi viktige retningslinjer for bruk av berettiget interesse som lovlig behandlingsgrunnlag.