Berättigat intresse lyfts ofta fram som den mest flexibla rättsliga grunden inom GDPR. Till skillnad från samtycke eller avtal, ger den större handlingsutrymme – men ställer också högre krav på reflektion, dokumentation och ansvar.
Ni kan inte bara luta er mot att en behandling "känns rimlig" – ni måste kunna motivera, dokumentera och i efterhand visa att ni gjort en korrekt bedömning. Detta görs genom en intresseavvägning, också kallad Legitimate Interest Assessment (LIA).
En LIA består av tre steg som tillsammans hjälper er att avgöra om berättigat intresse verkligen är en lämplig och laglig grund för er behandling.
Först måste ni tydligt definiera vilket intresse ni har av att behandla personuppgifterna. Det ska vara specifikt, verkligt och inte strida mot lagen.
Ställ er bland annat följande frågor:
Vad är syftet med behandlingen?
Vilken konkret nytta får organisationen, användaren eller samhället?
Är detta ett legitimt affärsmässigt, juridiskt eller etiskt intresse?
Vad händer om vi inte behandlar uppgifterna – finns det negativa konsekvenser?
Exempel: Ett företag kan ha ett berättigat intresse av att förebygga bedrägerier eller att kommunicera med befintliga kunder om liknande produkter.
Nästa steg är att undersöka om det verkligen är nödvändigt att behandla personuppgifter för att uppnå syftet. Det handlar både om omfång, känslighet och val av metod.
Frågor att reflektera kring:
Finns det alternativa sätt att uppnå syftet – utan att behandla personuppgifter?
Är mängden uppgifter som samlas in begränsad till det som är relevant och proportionerligt?
Kan vi använda mindre känsliga uppgifter eller pseudonymisering?
Hur påverkar valet av teknik och kanal intrånget i den personliga integriteten?
Om ni hade kunnat uppnå samma mål på ett sätt som är mindre ingripande för individens integritet, så kan behandlingen anses vara onödig – och då faller grunden.
Det sista steget är själva intresseavvägningen. Här väger ni ert behov av behandlingen mot den registrerades rätt till skydd för sina personuppgifter och sitt privatliv. Ni ska visa att ert intresse väger tyngre – utan att det sker på bekostnad av individens grundläggande fri- och rättigheter.
Fokusera särskilt på:
Rör det känsliga eller särskilt integritetskänsliga uppgifter?
Är uppgifterna kopplade till arbetsliv, hälsa, ekonomi eller familj?
Har individen fått information om behandlingen i förväg?
Har ni en etablerad relation (t.ex. kund eller anställd)?
Är syftet tydligt och logiskt utifrån sammanhanget?
Riskerar personen att tappa kontrollen över sina uppgifter?
Kan behandlingen leda till diskriminering, stigmatisering eller övervakning?
Skulle ni kunna stå för behandlingen i ett samtal med den registrerade?
När ni gått igenom de tre stegen är det dags att göra en samlad bedömning. Här väger ni alla faktorer mot varandra och dokumenterar varför – eller varför inte – berättigat intresse är en lämplig rättslig grund för just denna behandling.
Ni ska kunna visa att:
Det finns ett legitimt syfte
Behandlingen är nödvändig för att uppnå syftet
De registrerades rättigheter inte väger tyngre än ert intresse
Denna dokumentation är avgörande om Datainspektionen (eller IMY) skulle efterfråga ert beslutsunderlag.
Att arbeta strukturerat med LIA gör det enklare att fatta trygga beslut om rättslig grund – och stärker samtidigt förtroendet internt och externt. Men det kräver både kompetens och tid.
Med Privacy Expert, vårt stödverktyg för dataskydd, får ni:
Färdiga mallar och checklistor för att genomföra LIA
Fördjupad vägledning om rättsliga grunder och intresseavvägningar
Tillgång till experter vid behov av rådgivning eller second opinion
För er som vill ha ett mer omfattande stöd i det löpande dataskyddsarbetet – till exempel med dokumentation, registerförteckningen eller hantering av förfrågningar – erbjuder vi även Privacy as a Service. Där får ni en komplett och praktisk lösning för att hantera hela dataskyddsansvaret på ett tryggt och effektivt sätt.