Är ni säkra på att ni gör det i enlighet med Dataskyddsförordningens krav?
Enligt Dataskyddsförordningens (Regulation (EU) 2016/679 ”GDPR”) artikel 6 måste all behandling av personuppgifter stödja sig på en av totalt 6 rättsliga grunder. Enligt den rättsliga grunden ”intresseavvägning” (Art 6(1)(f)) får den personuppgiftsansvarige behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
Intresseavvägning används tyvärr ofta som en ”slasktratt” när ingen annan rättslig grund, exempelvis samtycke, går att fastställa. Alternativt läggs intresseavvägning till som en alternativ rättslig grund som en form av ”hängslen och livrem”. Det är exempelvis mycket vanligt att intresseavvägning används för en mängd olika hanteringar av personuppgifter i samband med direktmarknadsföring. Detta kan förvisso vara tillåtet, men inte utan begränsning och inte utan att den personuppgiftsansvarige först vidtar de åtgärder som beskrivs nedan.
I själva verket är dock intresseavvägning en komplex och begränsad rättslig grund som ställer mycket höga krav på den personuppgiftsansvarige och på att den senare på ett korrekt sätt har analyserat (balanserat) behoven av behandlingen i fråga i förhållande till de registrerades rättigheter. Kraven på denna analys, själva intresseavvägningen eller balanstestet, förtydligades genom riktlinjer utgivna av den europeiska dataskyddsstyrelsen (EDPB) i oktober 2024 (Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR).
Innan en personuppgiftsansvarig får börja med sin hantering av personuppgifter med stöd av en intresseavvägning krävs alltså att en grundläggande analys sker av huruvida personuppgiftsbehandlingen är nödvändig för ändamålet som avser ett berättigat intresse, och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.
Såhär gör ni en intresseavvägning i praktiken:
- Formulera ett tydligt syfte och ändamål med behandlingen i fråga. Detta styr och sätter ramarna för den fortsatta intresseavvägningen. Syftet med densamma är att avgöra om ert intresse i egenskap av personuppgiftsansvarig väger tyngre än skyddet för de registrerades identitet. Om ni kan svara ja på frågan om ni kan uppnå syftet med behandlingen på något annat och mindre integritetskränkande sätt för den registrerade, då kan ni inte stödja behandlingen på en intresseavvägning.
- Nästa steg är att analysera (balansera) era (den personuppgiftsansvarige) och de registrerades intressen rörande den föreslagna hanteringen. Här krävs en grundlig helhetsbedömning i syfte att visa att era intressen faktiskt väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter. Viktiga frågor att besvara är exempelvis: Kan den registrerade rimligen förvänta sig att uppgifterna kommer att behandlas på det tänkta sättet? Vilka skyddsåtgärder har/kan vidtas för att minimera risken för de registrerades intressen och integritet?
- Gör en sammanvägning av ovanstående bedömningar och DOKUMENTERA hela processen och hur ni kommit fram till er bedömning. Det finns inget formkrav för hur dokumentationen ska se ut men det är mycket viktigt att dokumentation sker då bevisbördan ligger på er (den personuppgiftsansvarige) för att påvisa att hur ni gjort intresseavvägningen och hur ni kommit fram till slutsatsen att, i förekommande fall, hantera personuppgifterna med stöd av en intresseavvägning.
Tänk på att om hanteringen rör personuppgifter som involverar barn behöver ni vara extra försiktiga när behandlingen görs med stöd av en intresseavvägning. Det är den personuppgiftsansvariges ansvar och uppgift att tillse att erforderliga skyddsåtgärder vidtas för att skydda barns integritet och intressen.