Kort svar
Berettiget interesse er ikke en reservehjemmel for alt dere ønsker å gjøre. Virksomheten må kunne vise både et reelt behov, nødvendighet og en forsvarlig avveining.
En interesseavveining bør svare tydelig på tre spørsmål: hva den berettigede interessen faktisk er, hvorfor behandlingen er nødvendig for dette formålet og om hensynet til de registrerte veier tyngre. Hvis ett av disse leddene er svakt, er grunnlaget også svakt.
Når dette blir aktuelt
- når dere vil bruke personopplysninger til sikkerhet, analyse, kundeoppfølging eller enkel markedsføring uten samtykke
- når dere vurderer kamera, logging eller kontrolltiltak og vil teste om interessen er reell nok
- når samtykke virker upraktisk, og noen foreslår å “heller bruke berettiget interesse”
- når Datatilsynet, kunder eller ansatte spør hvordan vurderingen faktisk ble gjort
Det dere bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hva den berettigede interessen konkret består i | hindrer at formålet blir for uklart eller hypotetisk |
| Hvorfor akkurat denne behandlingen er nødvendig | skiller reelt behov fra bare praktiske ønsker |
| Hvilke konsekvenser behandlingen kan ha for de registrerte | avgjør om interessen tåler en reell avveining |
Slik bør dere gå fram
- Beskriv interessen konkret, for eksempel sikkerhet, forebygging av misbruk, kundedialog eller drift av tjenesten.
- Test om behandlingen faktisk er nødvendig, eller om formålet kan nås med mindre data, kortere lagring eller svakere inngrep.
- Vurder hva den registrerte med rimelighet kan forvente, og om det er et skjevt maktforhold, særlig i arbeidsforhold.
- Skriv avveiningen ned, og sørg for at personvernerklæring og interne rutiner gjenspeiler den samme vurderingen.
Dokumenter og spor som bør være på plass
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- notat som beskriver interessen, nødvendighetsvurderingen og avveiningen
- oversikt over hvilke opplysninger som brukes, hvor lenge de lagres og hvem som har tilgang
- vurdering av om den registrerte kan forvente behandlingen
- eventuelle tiltak som reduserer inngrepet, for eksempel dataminimering, tilgangsstyring eller kortere lagringstid
- tekst i personvernerklæring eller annet informasjonsmateriale som forklarer grunnlaget
Typiske feil
- virksomheten kaller interessen “forretningsmessig behov” uten å forklare hva det betyr i praksis
- nødvendighetsvurderingen hoppes over fordi behandlingen virker nyttig
- arbeidsgiver bruker berettiget interesse der det egentlig foreligger et skjevt maktforhold og høy personvernrisiko
- avveiningen gjøres aldri skriftlig
- samme interesseavveining brukes ukritisk på helt ulike behandlinger
Når bør dere få konkret hjelp?
Få hjelp hvis behandlingen gjelder ansatte, omfattende analyse, profilering, kamera, sporing eller opplysninger som oppleves inngripende. Det samme gjelder hvis virksomheten vil bruke berettiget interesse som grunnlag i stedet for samtykke eller avtale og er usikker på om vurderingen tåler kontroll.
Relaterte guider
- Behandlingsgrunnlag: hvordan velge riktig grunnlag
- Cookies, analyse og samtykke for bedrifter
- Personvern for kamera og sporing på jobb