Artikkel
Berettiget interesse som behandlingsgrunnlag
Deloitte Advokatfirma
Visste du at det ved bruk av berettiget interesse som behandlingsgrunnlag må gjennomføres og dokumenteres en interesseavveining? Nye retningslinjer fra Det europeiske personvernrådet (EDPB) klargjør når og hvordan det er lovlig å bruke berettiget interesse.
Publisert: 13. november 2024
Aktualitet
GDPR oppstiller flere alternative behandlingsgrunnlag, og det er den behandlingsansvarlige som må sikre at det foreligger et gyldig grunnlag før behandling av personopplysninger starter. Berettiget interesse etter GDPR artikkel 6 nr. 1 bokstav f er et mye brukt behandlingsgrunnlag. Det er et fleksibelt grunnlag som gir den behandlingsansvarlige frihet til å behandle personopplysninger for egne forretningsmessige formål, så lenge det er balanse mellom den berettigete interessen og hensynet til den registrertes personvern.
Med frihet kommer imidlertid ansvar. Berettiget interesse som behandlingsgrunnlag har vært i fokus i flere saker med stor medieoppmerksomhet her i landet.
I desember 2022 ble det stor medieoppmerksomhet om strømmetjenesten MyGame som skulle gi mulighet til å strømme kamper innen breddeidrett for barn ned til 15-årsalderen. Saken førte til at Datatilsynet i 2023 publiserte en veileder om temaet på bakgrunn av at stadig flere idrettsarrangementer for barn og unge filmes og legges ut på nett, og henvendelser og bekymring knyttet til tematikken. I veilederen fremhever Datatilsynet at det må foretas en konkret vurdering hvor flere forhold må vurderes. Selv om tilsynet holder døren åpen for muligheten til å strømme idrettsarrangementer også innen breddeidrett, konkluderes det med at inngrepet i personvernet ofte ikke vil stå i forhold til interessen i å strømme et idrettsarrangement for barn utenfor toppidretten. Konsekvensen var at MyGame ikke kunne gå videre med tjenesten som planlagt.
Den mye omtalte Legelisten-saken som nådde Høyesterett i 2021 handlet også om berettiget interesse. Legelisten.no er en nettbasert tjeneste for deling av informasjon om blant annet leger, og formålet er å gjøre det enklere for pasienter å velge behandler. På nettsiden kan man søke på navnet til en lege, og deretter få informasjon om navn, kontaktinformasjon, kjønn og alder, men også om individuelle vurderinger gitt av personer som oppgir å ha vært behandlet av den aktuelle legen. Høyesterett vurderte om berettiget interesse var gyldig behandlingsgrunnlag for behandlingen av personopplysninger på Legelisten.no. Etter en samlet vurdering vurderte Høyesterett at de berettigede hensyn som ligger til grunn for Legelisten, og særlig allmennhetens behov for informasjon om tilbydere av helsetjenester, må veie tyngre enn hensynet til helsepersonellets personvern. Legelisten.no fikk derfor, med noen justeringer, fortsette sin virksomhet.
Tidligere i år bekreftet EU-domstolen (CJEU) at også utelukkende kommersielle berettigete interesser kan være legitime. Datatilsynet og domstolene har ikke problematisert dette i særlig grad i Norge, men den nederlandske tilsynsmyndigheten (AP) har lenge hevdet at rene kommersielle interesser ikke alene kan utgjøre en berettiget interesse. Den strenge tolkningen har skapt usikkerhet for virksomheter som ønsker å bruke berettiget interesse som grunnlag for behandling av personopplysninger. I avgjørelsen 4. oktober 2024 bekreftet EU-domstolen at et bredt spekter av interesser kan regnes som «legitime interesser», også kommersielle interesser, så lenge de er lovlige.
Eksemplene viser at det ikke nødvendigvis er en enkel øvelse å benytte berettiget interesse som behandlingsgrunnlag og at den behandlingsansvarlige må foreta konkrete og grundige vurderinger av om vilkårene er oppfylt. Vår erfaring er at behandlingsansvarlig virksomhet ofte bruker berettiget interesse som behandlingsgrunnlag uten at vurderingene som kreves etter GDPR er gjennomført. Manglende pålagte vurderinger før behandlingen av personopplysninger starter, vil utgjøre et brudd på GDPR og kan ved et tilsyn medføre konsekvenser for den behandlingsansvarlige i form av eksempelvis bøter.
Hvilke vilkår må være oppfylt for å bruke berettiget interesse lovlig?
EDPB påpeker i retningslinjen (som er på høring), at berettiget interesse som behandlingsgrunnlag ikke kan brukes «by default». Det vil si at berettiget interesse ikke kan benyttes som behandlingsgrunnlag for enhver behandlingsaktivitet, eller som en «åpen dør» som legitimerer all behandling av personopplysninger som ikke faller inn under de øvrige behandlingsgrunnlagene i GDPR artikkel 6 nr. 1. Bruk av berettiget interesse krever dermed at den behandlingsansvarlige foretar og dokumenterer vurderingen av den berettiget interessen før behandlingen starter. GDPR oppstiller tre vilkår som må være oppfylt for at berettiget interesse skal være gyldig som behandlingsgrunnlag, og som EDPB uttaler i retningslinjen, er vurderingen av det tre vilkårene ikke nødvendigvis rett frem.
1. Har virksomheten en berettiget interesse?
Det første som må vurderes er om det foreligger en berettiget interesse. GDPR oppstiller ingen uttømmende liste over hvilke interesser som kan anses som berettigede, men EDPB uttaler i veilederen at interessen må være lovlig, klart og presist formulert og ekte og reell. Datatilsynet oppsummerer kravene på sine sider at interessen må være “lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten”.
Hvorvidt en interesse er berettiget må vurderes konkret. Heldigvis er det etter hvert kommet mange eksempler fra domstoler og praksis fra de europeiske tilsynsmyndighetene:
- I GDPR fortalepunkt 47 nevnes behandling av personopplysninger som er strengt nødvendig for å forebygge bedrageri og behandling av personopplysninger i forbindelse med direkte markedsføring som eksempler på berettigede interesser. Merk at dette kun er eksempler, og at uansett må vurderes om dette faktisk utgjør berettigede interesser i den konkrete situasjonen.
- I Legelisten-saken uttalte Høyesterett at pasienters ytringsfrihet, forbrukerinteresser, konkurransehensyn, andre allmennyttige hensyn som mulighet for bedre helsetilbud og Legelistens økonomiske formål var berettigede interesser i den konkrete saken.
- Deling av personopplysninger innad i et konsern for administrative formål i henhold til fortalepunkt 48 i GDPR.
- Bruk av personopplysninger å forbedre eller tilpasse produkter og tjenester kan anses som en berettiget interesse, for eksempel ved å bruke personopplysninger for å tilpasse opplæring av ansatte som vi finner et eksempel på i Datatilsynets sandkasseprosjekt med Secure Practice eller for å optimalisere nettsider.
- Trening og utvikling av kunstig intelligens
I praksis ser vi også at behandling av personopplysninger i forbindelse med bruk av adgangskontroll og kameraovervåking med formål om å fremme fysisk sikkerhet eller forhindre hærverk eller innbrudd trekkes frem som en berettiget interesse.
Å identifisere og dokumentere en berettiget interesse er imidlertid ikke nødvendigvis tilstrekkelig. Den behandlingsansvarlige må også vurdere og dokumentere at den konkrete behandlingen faktisk er nødvendig for å ivareta den berettigede interessen.
2. Er den konkrete behandlingen nødvendig for å ivareta den berettigede interessen?
Behandlingen må også være nødvendig for å ivareta denne interessen. Spørsmålet er om virksomheten kan oppnå formålet på en måte som bedre ivaretar personvernet. Dersom du kan bruke like effektive, men mindre personverninngripende metoder, så er ikke behandlingen nødvendig. I så fall trenger du heller ikke å gå videre til vilkår 3 (interesseavveining). Høyesterett uttalte følgende om vilkåret i Legelisten-saken:
«Jeg forstår dette slik at vurderingstemaet er om de berettigede interesser med rimelighet kan realiseres like effektivt på en annen måte som er mindre inngripende overfor de grunnleggende friheter som er sikret ved artikkel 7 og 8 i Den europeiske unions pakt om grunnleggende rettigheter (2012/C 326/02).”
Dersom det konkluderes med at den konkrete behandlingen er nødvendig for å ivareta den berettigede interessen, kan du gå videre til vilkår 3.
3. Gjennomføring av en interesseavveining
Det tredje vilkåret innebærer at det må foretas en interesseavveining og spørsmålet er om den berettigede interessen som den behandlingsansvarlige mener foreligger veier tyngre enn de registrertes interesser og/eller grunnleggende friheter og rettigheter.
I denne interesseavveiningen skal flere forhold vurderes og vektes opp mot hverandre. EDPB påpeker i veilederen at flere forhold må identifiseres:
- De registrertes interesser, rettigheter og friheter, for eksempel økonomiske, sosiale og personlige interesser, retten til personvern og privatliv, ytringsfrihet, religionsfrihet og retten til å ikke bli diskriminert
- Behandlingens påvirkning på de registrerte, inkludert typen personopplysninger som skal behandles, behandlingens kontekst og andre konsekvenser av behandlingen. Dersom det er snakk om behandlingen av særlige kategorier, som helseopplysninger, vil behandlingen typisk ha større påvirkning. Det vil også ha betydning i hvilken kontekst behandlingen skjer, om personopplysningene er offentlig kjent, antallet registrerte og mengden personopplysninger, hvem er den registrerte (f. eks om den registrerte er barn)
- Den registrertes rimelige forventninger; Hva kan den registrerte med rimelighet forvente på tidspunktet for innsamlingen av personopplysningene? Her er det blant annet relevant å se hen til forholdet mellom den registeret og den behandlingsansvarlige og behandlingens kontekst. Er det for eksempel et løpende kundeforhold mellom den behandlingansvarliges og registrerte?
Til slutt skal alle de identifiserte hensynene avveies mot hverandre. Det skal også ses hen til om det finnes risikoreduserende tiltak, og i denne sammenheng vil det si risikoreduserende tiltak som går utover det som allerede er påkrevet etter GDPR (for eksempel knyttet til nødvendige sikkerhetstiltak, dataminimering og oppfyllelse av de registrertes rettigheter). Formålet med interesseavveiningen er ikke å forhindre at den registrertes rettigheter og friheter påvirkes, men å forhindre at påvirkningen er uproporsjonal. Dersom resultatet av avveiningen er at den berettigede interessen veier tyngre enn de registrertes interesser, rettigheter og friheter, er behandlingen lovlig.
Datatilsynet anbefaler at interesseavveiningen gjennomføres trinnvis ved at den behandlingsansvarlige virksomhets interesse først vurderes, deretter hensynet til personvern og aktuelle tiltak for å minimere personvernkonsekvensene og avslutningsvis balansetesten.
Har du husket de registrertes rettigheter?
Selv om den behandlingsansvarlige virksomhet har vurdert de tre vilkårene og falt ned på at disse er oppfylt, må det ikke glemmes at den registrerte også har et sett med rettigheter etter GDPR, eksempelvis retten til informasjon om den konkrete behandlingen av personopplysninger, at berettiget interesse er behandlingsgrunnlaget og de berettigede interessene som ligger til grunn for behandlingen, og om retten til å protestere mot behandlingen. Den behandlingsansvarlige skal du oppfylle de registrertes rettigheter uten ugrunnet opphold og senest innen en måned etter at de blir gjort gjeldende.
Tre tips til den behandlingsansvarlige
For å sikre at behandlingsansvarlige virksomhet oppfyller kravene til berettiget interesse i GDPR, har vi tre tips:
1. Vurderingen som må gjennomføres ved bruk av berettiget interesse som behandlingsgrunnlag bør være en del av personvernopplæringen i virksomheten,
2. Ha forståelige og tilgjengelige personvernrutiner og malverk på plass i virksomheten – dette vil forenkle og effektivisere personvernarbeidet,
3. Skap et godt og egnet system for dokumentasjon av gjennomførte vurderinger – eksempelvis tilknyttet behandlingsprotokollen slik at behandlingsaktivitet og vurdering enkelt kan ses i sammenheng.
Deloitte advokatfirma kan bistå
Deloitte advokatfirma har utstrakt erfaring med personvernregelverket, og kan bistå virksomheter med alle områder innenfor personvernretten. Vi bistår både offentlige og private virksomheter med vurderinger av om det foreligger gyldig behandlingsgrunnlag, inkludert berettiget interesse, samt vurdering og utarbeidelse av internkontroll på personvernområdet.
Kilder:
Legelisten-saken: HR-2021-2403-A
EDPBs veileder på høring, «Guidelines 1/2024 on processing of personal data based on Article 6(1(f) GDPR”:
4 oktober, 2024, C-621/22 (Koninklijke Nederlandse Lawn Tennisbond v Autoriteit Persoonsgegevens)
CNIL, Cookies et autres traceurs : comment mettre mon site web en conformité. Tilgjengelig på: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite (Hentet: 12. november 2024).
Datatilsynet, Secure Practice - sluttrapport. Tilgjengelig på: https://www.datatilsynet.no/regelverk-og-verktoy/sandkasse-for-kunstig-intelligens/ferdige-prosjekter-og-rapporter/secure-practice---sluttrapport/ (Hentet: 12. november 2024).
CNIL, Relying on the legal basis of legitimate interests to develop an AI system. Tilgjengelig på: https://www.cnil.fr/en/relying-legal-basis-legitimate-interests-develop-ai-system (Hentet: 12. november 2024).