Jämviktstest
Du kan göra ett jämviktstest relaterat till behandling av personuppgifter i Dataskyddsverktyg och skriva ut det vid behov. Du kan använda informationen på denna sida för att bedöma om ett legitimt intresse är rätt grund för behandling av personuppgifter.
Vi arrangerar gärna en presentation om fördelarna med Dataskyddsverktyget och dess användning genom Teams. Vi erbjuder också expertutbildning och rådgivning för realisera dataskydds- och informationssäkerhetsarbete.
Om du behöver hjälp med, har frågor eller kommentarer angående Dataskyddsverktyget, är du välkommen att kontakta oss via formuläret på Xcures kontaktuppgiftstlänk eller genom att ringa oss.
Ett berättigat intresse hos den personuppgiftsansvarige
Behandling av personuppgifter kan ibland vara motiverat på grund av ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part. En förutsättning för att ett berättigat intresse ska utgöra en behandlingsgrund är att den registrerades intressen och rättigheter beaktas synnerligen noggrant.
Behandling av personuppgifter kan vara förenligt med ett berättigat intresse hos den personuppgiftsansvarige till exempel då en betydelsefull relation förekommer mellan denne och den registrerade. Detta innebär att den registrerade är till exempel kund hos eller underställd den personuppgiftsansvarige.
Exempel på situationer då ett intresse hos den personuppgiftsansvarige kan vara berättigat och möjliggöra behandling av personuppgifter:
- vetenskaplig och historisk forskning och statistiska ändamål
- överföring av personuppgifter av administrativa orsaker inom koncernen.
Berättigade intressen fungerar inte som behandlingsgrund i situationer där myndigheterna behandlar uppgifter i samband med deras uppgifter.
Prioritet för en enskild persons intressen och rättigheter
En enskild persons intressen och rättigheter är i utgångspunkten bättre skyddade än den personuppgiftsansvariges intressen och rättigheter. Personuppgifter får inte behandlas, om en registrerads intressen eller rättigheter väger tyngre än ett intresse hos den personuppgiftsansvarige eller en tredje part. En sådan situation kan föreligga till exempel då den registrerade är ett barn.
Konsekvenserna av den personuppgiftsansvariges berättigade intressen för den registrerades intressen och rättigheter bildar en glidande skala. Berättigade intressen kan variera från betydelselösa till relativt viktiga och till och med tvingande intressen och konsekvenserna för den registrerades intressen och rättigheter kan variera från mer eller mindre avsevärda till allvarliga.
Om den personuppgiftsansvariges intressen är ringa, kan de väga tyngre än den registrerades intressen enbart då deras konsekvenser är ännu mer obetydliga. Å andra sidan kan betydelsefulla och tvingande intressen berättiga till konsekvenser för behandlingen av personuppgifter eller andra intressen och rättigheter för en registrerad, så länge som vissa garantier och åtgärder iakttas.
Huruvida ett intresse kan ses som berättigat, avgörs med ett så kallat jämviktstest. I detta vägs den personuppgiftsansvariges eller en tredje parts intresse mot den registrerades intressen och rättigheter.
Jämviktstest: fungerar ett berättigat intresse som grund för behandlingen?
Om du är en personuppgiftsansvarig, ska du själv noggrant med ett jämviktstest bedöma om du kan använda ett berättigat intresse som grund för behandling av personuppgifter. Gå igenom testets alla sex faser.
Upprätta en skriftlig beskrivning av testet i Dataskyddsverktyg, med vilket du vid behov kan visa att verksamheten är förenlig med dataskyddsförordningen. Det är viktigt att du antecknar alla beslutsfaser. Om behandlingens ändamål, karaktär eller sammanhang ändras, ska du göra testet på nytt och uppdatera beskrivningen, så att den motsvarar den nya behandlingen.
1. Är set berättigade intresset den lämpligaste behandlingsgrunden?
Behandling av personuppgifter förutsätter alltid en lagenlig behandlingsgrund. Bedöm lämpligheten för olika behandlingsgrunder (samtycke, avtal osv.) för dina planerade behandlingsåtgärder.
Om det berättigade intresset och de anknutna rättigheterna för den registrerade är den mest funktionella helheten för behandlingen, gå till punkt 2.
2. Är de grundläggande kraven uppfyllda?
Om intresset kan ses som berättigat, ska det först uppfylla följande krav:
- Intresset ska vara lagenligt (förenligt med den EU- eller nationella lagstiftning som ska tillämpas).
- Intresset ska vara tydligt uttryckt, så att dess vikt i förhållande till den registrerades intressen och rättigheter kan bedömas.
- Intresset ska vara representativt för ett verkligt och omedelbart behov. Intresset kan inte vara spekulativt.
Om alla förutsättningar är uppfyllda, gå till punkt 3.
3. Är det nödvändigt att behandla personuppgifter för att uppnå intresset?
Överväg om det är möjligt att uppnå samma slutresultat med metoder som i lägre grad ingriper i den registrerades integritet.
Om detta inte är möjligt, fortsätta till punkt 4.
4. Väger intresset verkligen tyngre än den registrerades intressen och rättigheter?
Bedöm den faktiska konsekvensen för behandlingen av personuppgifter genom att besvara följande frågor.
Den personuppgiftsansvariges eller en tredje parts intresse
- Hurudant intresse hos den personuppgiftsansvarige eller en tredje part handlar det om?
- Hurudana vore nyttorna av behandlingen av personuppgifter?
- Hurudana olägenheter skulle en utebliven behandling av dessa ha?
För att ett intresse ska vara berättigat, ska behandlingen av uppgifter vara nödvändig, till exempel för att tillgodose en grundläggande fri- och rättighet (t.ex. yttrandefriheten, rätten till konst och forskning, näringsfriheten) och det ska stå i rätt proportion till dessa. Också ett allmänt eller en större gemenskaps intresse kan vara berättigat (t.ex. välgörenhetsorganisationer, icke-vinst drivande sammanslutningar).
Det kan handla om andra berättigade intressen till exempel då behandlingen står nära ett visst sammanhang, på vilket det är möjligt att tillämpa en annan behandlingsgrund (t.ex. ett avtal), men behandlingen inte direkt omfattas av området för denna behandlingsgrund. Det är också av betydelse om EU:s eller den nationella lagstiftningen eller ett annat regleringsinstrument identifierar den personuppgiftsansvariges rätt att behandla personuppgifter för att tillgodose ett berättigat intresse.
Konsekvenser för den registrerade
- Hurudan form av personuppgifter handlar det om?
- Vilka personuppgifter skulle behandlas (t.ex. omfattande behandling, kombination, datautvinning, profilering, publikation)?
- Hur skulle behandlingsåtgärderna påverka den registrerade?
Ju känsligare uppgifter (t.ex. särkskila kategorier av personuppgifter eller sekretessbelagda personuppgifter), desto större konsekvenser har behandlingen för den registrerade. Ju negativare och osäkrare konsekvenser för behandlingen, desto mindre sannolikt är det att behandlingen ses som berättigad. Till exempel behandling av ofarliga enskilda uppgifter i stor skala och genom att kombinera dessa kan leda till att mer detaljerade och känsligare uppgifter om den registrerade avslöjas.
När du bedömer konsekvenserna av behandlingen för den registrerade, ska du beakta såväl konkreta som potentiella konsekvenser. Sådana kan utgöras av till exempel framtida beslut, åtgärder eller situationer där behandlingen kan leda till diskriminering av personerna, men också emotionella konsekvenser, såsom irritation eller förargelse.
Också riskens sannolikhet och påföljdernas allvar påverkar den allmänna bedömningen av konsekvenserna. Avsikten med jämviktstestet är att hindra orimliga konsekvenser ur den registrerades synvinkel.
- Kan den registrerade förvänta sig att hans eller hennes uppgifter används på detta sätt?
- Är det sannolikt att den registrerade gör invändningar mot behandling av hans eller hennes uppgifter eller åtminstone ifrågasätter behandlingen?
Behandlingen får inte vara oförutsägbar eller oväntad ur den registrerades synvinkel. Ju mer begränsande sammanhang för insamlingen av uppgifter, desto mer begränsningar finns det i allmänhet för behandlingen av dessa.
- I vilken ställning befinner sig den personuppgiftsansvarige och den registrerade?
- Har du för avsikt att behandla barns personuppgifter?
- Är den registrerade på något sätt i sårbar ställning?
Rikta uppmärksamhet mot den personuppgiftsansvariges förhållande till den registrerade. Är den personuppgiftsansvarige som du företräder en enskild person, en liten organisation, ett stort företag eller en myndighet? Till exempel ett stort multinationellt företag kan med sin maktställning försöka motivera vissa behandlingsåtgärder med intressen som de facto inte är berättigade.
Det finns skäl att närmare granska den registrerades ställning, då den registrerade är ett barn eller hör till en annan mer sårbar befolkningsgrupp som behöver särskilt skydd. I så fall ska man försöka identifiera konsekvenserna av behandlingen för enskilda personer.
Definition av tillfällig jämvikt
När du vägt olika parters intressen kan du få en bild av vikten av den personuppgiftsansvariges eller en tredje parts intressen i förhållande till den registrerades grundläggande fri- och rättigheter.
Åtgärder enligt dataskyddsbestämmelserna (till exempel bedömning av proportionaliteten, öppenheten och transparensen) stöder användning av ett berättigat intresse som behandlingsgrund. Extra bedömning behövs i synnerhet då det är oklart mot vilket håll det börjar luta. Bedöm om det finns extra åtgärder, med vilka du kan förebygga orimliga konsekvenser för den registrerade.
Om den registrerades intressen eller rättigheter inte väger tyngre än den personuppgiftsansvariges intressen, fortsätt till punkt 5.
5. Säkerställ tilläggsgarantierna för dataskyddet
Du kan påverka jämviktstestets slutresultat med tilläggsåtgärder. Slutresultatet av jämviktstestet beror på helhetsbedömningen: ju betydelsefullare konsekvenser av behandlingen för den registrerade, desto mer ändamålsenliga dataskyddsgarantier förutsätts av den personuppgiftsansvarige. De ska med säkerhet och avsevärt minska konsekvenserna för den registrerade.
Som personuppgiftsansvarig kan du vidta till exempel följande tilläggsåtgärder:
- tekniska och organisatoriska åtgärder, med vilka det säkerställs att uppgifterna inte används för beslut som gäller den registrerade eller för andra ändamål (s.k. funktionell differentiering)
- omfattande användning av anonymiseringstekniker
- utnyttjande av tekniker som förbättrar integritetsskyddet (t.ex. konsekvensbedömning)
- kryptering av personuppgifter.
6. Visa att verksamheten är lagenlig och säkerställ öppenheten
Innan du börjar behandla personuppgifter, ska du färdigställa din beskrivning av jämviktstestet i Dataskyddsverktyg. Kom ihåg öppenheten och bered dig på att vid behov motivera för den registrerade varför behandlingen av personuppgifter i detta fall är förenligt med ett berättigat intresse hos den personuppgiftsansvarige.
Den registrerade kan göra invändningar mot behandlingen av uppgifter
När behandlingen av personuppgifter grundar sig på ett allmänt eller berättigat intresse, har den registrerade när som helst rätt att göra invändningar mot behandlingen av egna uppgifter. Den registrerade ska underrättas om denna rättighet senast då man är i kontakt med honom eller henne för första gången. Informationen ska ges tydligt och separat från den övriga informationen. Informationssamhällstjänster ska ha en teknisk lösning, med vilken den registrerade automatiskt kan utöva sin invändningsrätt.
Om den registrerade gör invändningar mot behandling av hans eller hennes uppgifter, ska behovet av behandlingen omvärderas. I princip är det i så fall inte längre tillåtet att behandla den registrerades personuppgifter, förutom om
- du kan visa att det finns en synnerligen viktig eller motiverad orsak till behandlingen, vilken väger tyngre än den registrerades intressen och rättigheter (t.ex. en uppgift som gäller ett allmänt intresse, vilken förutsätter vetenskaplig eller historisk forskning och statistikföring) eller
- behandling behövs för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk.
Personuppgifter får inte längre behandlas för direktmarknadsföring efter en invändning.