Jämviktstest: fungerar ett berättigat intresse som grund för behandlingen?
Om du är en personuppgiftsansvarig, ska du själv noggrant med ett jämviktstest bedöma om du kan använda ett berättigat intresse som grund för behandling av personuppgifter. Gå igenom testets alla sex faser.
Upprätta också en skriftlig beskrivning av testet, med vilket du vid behov kan visa att verksamheten är förenlig med dataskyddsförordningen. Det är viktigt att du antecknar alla beslutsfaser. Om behandlingens ändamål, karaktär eller sammanhang ändras, ska du göra testet på nytt och uppdatera beskrivningen, så att den motsvarar den nya behandlingen.
Behandling av personuppgifter förutsätter alltid en lagenlig behandlingsgrund. Bedöm lämpligheten för olika behandlingsgrunder (samtycke, avtal osv.) för dina planerade behandlingsåtgärder.
Om det berättigade intresset och de anknutna rättigheterna för den registrerade är den mest funktionella helheten för behandlingen, gå till punkt 2.
Om intresset kan ses som berättigat, ska det först uppfylla följande krav:
- Intresset ska vara lagenligt (förenligt med den EU- eller nationella lagstiftning som ska tillämpas).
- Intresset ska vara tydligt uttryckt, så att dess vikt i förhållande till den registrerades intressen och rättigheter kan bedömas.
- Intresset ska vara representativt för ett verkligt och omedelbart behov. Intresset kan inte vara spekulativt.
Om alla förutsättningar är uppfyllda, gå till punkt 3.
Överväg om det är möjligt att uppnå samma slutresultat med metoder som i lägre grad ingriper i den registrerades integritet.
Om detta inte är möjligt, fortsätta till punkt 4.
Bedöm den faktiska konsekvensen för behandlingen av personuppgifter genom att besvara följande frågor.
Den personuppgiftsansvariges eller en tredje parts intresse
- Hurudant intresse hos den personuppgiftsansvarige eller en tredje part handlar det om?
- Hurudana vore nyttorna av behandlingen av personuppgifter?
- Hurudana olägenheter skulle en utebliven behandling av dessa ha?
För att ett intresse ska vara berättigat, ska behandlingen av uppgifter vara nödvändig, till exempel för att tillgodose en grundläggande fri- och rättighet (t.ex. yttrandefriheten, rätten till konst och forskning, näringsfriheten) och det ska stå i rätt proportion till dessa. Också ett allmänt eller en större gemenskaps intresse kan vara berättigat (t.ex. välgörenhetsorganisationer, icke-vinst drivande sammanslutningar).
Det kan handla om andra berättigade intressen till exempel då behandlingen står nära ett visst sammanhang, på vilket det är möjligt att tillämpa en annan behandlingsgrund (t.ex. ett avtal), men behandlingen inte direkt omfattas av området för denna behandlingsgrund. Det är också av betydelse om EU:s eller den nationella lagstiftningen eller ett annat regleringsinstrument identifierar den personuppgiftsansvariges rätt att behandla personuppgifter för att tillgodose ett berättigat intresse.
Konsekvenser för den registrerade
- Hurudan form av personuppgifter handlar det om?
- Vilka personuppgifter skulle behandlas (t.ex. omfattande behandling, kombination, datautvinning, profilering, publikation)?
- Hur skulle behandlingsåtgärderna påverka den registrerade?
Ju känsligare uppgifter (t.ex. särkskila kategorier av personuppgifter eller sekretessbelagda personuppgifter), desto större konsekvenser har behandlingen för den registrerade. Ju negativare och osäkrare konsekvenser för behandlingen, desto mindre sannolikt är det att behandlingen ses som berättigad. Till exempel behandling av ofarliga enskilda uppgifter i stor skala och genom att kombinera dessa kan leda till att mer detaljerade och känsligare uppgifter om den registrerade avslöjas.
När du bedömer konsekvenserna av behandlingen för den registrerade, ska du beakta såväl konkreta som potentiella konsekvenser. Sådana kan utgöras av till exempel framtida beslut, åtgärder eller situationer där behandlingen kan leda till diskriminering av personerna, men också emotionella konsekvenser, såsom irritation eller förargelse.
Också riskens sannolikhet och påföljdernas allvar påverkar den allmänna bedömningen av konsekvenserna. Avsikten med jämviktstestet är att hindra orimliga konsekvenser ur den registrerades synvinkel.
- Kan den registrerade förvänta sig att hans eller hennes uppgifter används på detta sätt?
- Är det sannolikt att den registrerade gör invändningar mot behandling av hans eller hennes uppgifter eller åtminstone ifrågasätter behandlingen?
Behandlingen får inte vara oförutsägbar eller oväntad ur den registrerades synvinkel. Ju mer begränsande sammanhang för insamlingen av uppgifter, desto mer begränsningar finns det i allmänhet för behandlingen av dessa.
- I vilken ställning befinner sig den personuppgiftsansvarige och den registrerade?
- Har du för avsikt att behandla barns personuppgifter?
- Är den registrerade på något sätt i sårbar ställning?
Rikta uppmärksamhet mot den personuppgiftsansvariges förhållande till den registrerade. Är den personuppgiftsansvarige som du företräder en enskild person, en liten organisation, ett stort företag eller en myndighet? Till exempel ett stort multinationellt företag kan med sin maktställning försöka motivera vissa behandlingsåtgärder med intressen som de facto inte är berättigade.
Det finns skäl att närmare granska den registrerades ställning, då den registrerade är ett barn eller hör till en annan mer sårbar befolkningsgrupp som behöver särskilt skydd. I så fall ska man försöka identifiera konsekvenserna av behandlingen för enskilda personer.
Definition av tillfällig jämvikt
När du vägt olika parters intressen kan du få en bild av vikten av den personuppgiftsansvariges eller en tredje parts intressen i förhållande till den registrerades grundläggande fri- och rättigheter.
Åtgärder enligt dataskyddsbestämmelserna (till exempel bedömning av proportionaliteten, öppenheten och transparensen) stöder användning av ett berättigat intresse som behandlingsgrund. Extra bedömning behövs i synnerhet då det är oklart mot vilket håll det börjar luta. Bedöm om det finns extra åtgärder, med vilka du kan förebygga orimliga konsekvenser för den registrerade.
Om den registrerades intressen eller rättigheter inte väger tyngre än den personuppgiftsansvariges intressen, fortsätt till punkt 5.
Du kan påverka jämviktstestets slutresultat med tilläggsåtgärder. Slutresultatet av jämviktstestet beror på helhetsbedömningen: ju betydelsefullare konsekvenser av behandlingen för den registrerade, desto mer ändamålsenliga dataskyddsgarantier förutsätts av den personuppgiftsansvarige. De ska med säkerhet och avsevärt minska konsekvenserna för den registrerade.
Som personuppgiftsansvarig kan du vidta till exempel följande tilläggsåtgärder:
- tekniska och organisatoriska åtgärder, med vilka det säkerställs att uppgifterna inte används för beslut som gäller den registrerade eller för andra ändamål (s.k. funktionell differentiering)
- omfattande användning av anonymiseringstekniker
- utnyttjande av tekniker som förbättrar integritetsskyddet (t.ex. konsekvensbedömning)
- kryptering av personuppgifter.
Innan du börjar behandla personuppgifter, ska du färdigställa din beskrivning av jämviktstestet och spara den. Kom ihåg öppenheten och bered dig på att vid behov motivera för den registrerade varför behandlingen av personuppgifter i detta fall är förenligt med ett berättigat intresse hos den personuppgiftsansvarige.