Det Europæiske Databeskyttelsesråd (EDPB) har den 8. oktober 2024 vedtaget ”Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR”.
Vejledningen er en opdatering af den tidligere Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC som vedtaget af WP 29 gruppen med de ændringer, der er en følge af senere praksis og indeholder en række eksempler på behandlinger, der kan baseres på ”legitim interesse”. Vejledningen er sendt i offentlig høring til den 20. november 2024.
Baggrund
Vejledningen giver dataansvarlige et grundlag for at vurdere, om artikel 6(1)(f) i GDPR (interesseafvejningsreglen) kan påberåbes som et gyldigt behandlingsgrundlag for behandlingen af personoplysninger.
Behandling af personoplysninger kan foretages efter bestemmelsen, hvis behandlingen er nødvendig for at forfølge ”legitime interesser" hos den dataansvarlige eller en tredjepart, og hensynet til den registrerede ikke overstiger den legitime interesse i behandlingen. Der skal foretages en vurdering af på den ene side den dataansvarliges legitime interesse og på den anden side hensynet til den registrerede.
Hvem er udtalelsen relevant for?
Interesseafvejningsreglen vil udgøre behandlingsgrundlaget for en række behandlinger af personoplysninger, der foretages af private dataansvarlige. Som det klare udgangspunkt kan dette grundlag ikke anvendes af offentlige myndigheder.
Kriterier for at anvende interesseafvejningsreglen
Den blotte eksistens og identifikation af en legitim interesse, der forfølges af den dataansvarlige eller en tredjepart, er ikke i sig selv tilstrækkelig for at kunne benytte artikel 6(1)(f) i GDPR som et lovligt behandlingsgrundlag.
For at en behandling af personoplysninger kan baseres på interesseafvejningsreglen, skal følgende tre betingelser alle være opfyldt:
- For det første, skal den dataansvarlige eller en tredjepart forfølge en legitim interesse,
- For det andet, skal behandlingen af personoplysninger være nødvendig for at forfølge denne legitime interesse,
- For det tredje må hensynet til den registreredes rettigheder og frihedsrettigheder ikke overstige den legitime interesse i behandlingen.
Vurderingen af de tre kriterier skal foretages, inden den relevante behandlingsaktivitet igangsættes, og den skal dokumenteres.
Første betingelse: Legitim interesse
En interesse kan betragtes som "legitim", hvis følgende kriterier alle er opfyldt:
- Interessen er lovlig, dvs. ikke i strid med EU- eller medlemsstatslovgivning. Mens begrebet "legitim interesse" i henhold til artikel 6(1)(f) GDPR ikke er begrænset til interesser, der er forankret i og bestemt af loven, kræver det, at den påståede legitime interesse er lovlig.
- Interessen er klart og præcist formuleret. Omfanget af den legitime interesse, der forfølges, skal være tydeligt defineret for at sikre, at den kan afvejes korrekt mod den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.
- Interessen er reel og aktuel, og ikke spekulativ. Som præciseret af EU-Domstolen skal den legitime interesse være til stede og effektiv på tidspunktet for databehandlingen og må ikke være hypotetisk på det tidspunkt.
En legitim interesse kan være af ganske forskelligartet karakter. Som eksempler anføres bl.a. adgang til online information, sikring af den fortsatte funktion af offentligt tilgængelige hjemmesider, produktudvikling, kreditvurdering, direkte markedsføring, fraud prevention og tiltag for at sikre netværks- og informationssikkerhed, koncernintern deling af personoplysninger til administrative formål og videregivelse af personoplysninger til myndigheder.
Interessen kan være den dataansvarliges eller en tredjemands. Som eksempler på det sidste nævnes bl.a. retskrav, forskning og offentlighedens interesse.
Anden betingelse: Nødvendighedskriteriet
Når en dataansvarlig skal vurdere, om behandlingen er "nødvendig", skal det undersøges, om den interesse i behandlingen, som forfølges, ikke kan opnås lige så effektivt på andre måder, der er mindre indgribende for de registreredes grundlæggende rettigheder og frihedsrettigheder. Hvis der findes rimelige og lige så effektive, men mindre indgribende alternativer, er nødvendighedskriteriet typisk ikke opfyldt.
En behandling bør kun foretages "i det omfang, det er strengt nødvendigt" for formålet med den identificerede legitime interesse.
Det bemærkes, at det i praksis generelt er lettere for en dataansvarlig at demonstrere nødvendigheden af behandlingen for at forfølge sine egne legitime interesser end at forfølge en tredjemands interesser, og at sidstnævnte type behandling generelt er mindre påregnelig for den registrerede.
Tredje betingelse: Balancetesten
Forudsat at den interesse, som den dataansvarlige forfølger, er legitim, og at behandlingen er nødvendig for formålet med denne interesse, er den sidste betingelse for at bestemmelsen kan finde anvendelse, at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder ikke overstiger den legitime interesse i behandlingen.
Der skal foretages en konkret afvejning af de modstridende rettigheder og interesser, idet den dataansvarlige skal identificere og beskrive:
- De registreredes interesser, grundlæggende rettigheder og frihedsrettigheder.
- Indvirkningen behandlingen har på de registrerede, herunder
- Typen af de data, der skal behandles,
- Konteksten for behandlingen, og eventuelle yderligere konsekvenser af behandlingen.
- De rimelige forventninger fra den registrerede.
- Den endelige afvejning af modstridende rettigheder og interesser, herunder muligheden for mitigerende foranstaltninger, der ikke allerede er en følge af kravene i regelsættet.
Det skal understreges, at formålet med denne afvejningsøvelse ikke er at undgå enhver indvirkning på de registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. Formålet er snarere at undgå en uforholdsmæssig indvirkning og at vurdere vægten af disse hensyn i forhold til behandlingen.
Der tages særligt hensyn til børn i balancetesten, og børns interesser vil ofte kunne overstige den dataansvarliges eller tredjemands interesser.
Sammenhængen til GPDR kapitel III – den registreredes rettigheder
Den registrerede har en række rettigheder specifikt tilknyttet behandlinger baseret på grundlag af interesseafvejningsreglen.
De legitime interesser skal f.eks. oplyses i forbindelse med indhentelse af personoplysninger iht. artikel 13 og 14 (privatlivspolitik), ligesom det er god praksis at medtage informationen ved en indsigtsbegæring, uanset at det ikke er et udtrykkeligt krav iht. artikel 15.
Særligt fokus bør være på indsigelser, sletteanmodninger og anmodning om begrænsning, hhv. artikel 21, 17 og 18.
En indsigelse fra den registrerede medfører, at det skal afklares, om den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder på grund af den registreredes særlige situation overstiger den dataansvarliges vægtige legitime grunde til behandlingen. Det er den dataansvarlige, der skal påvise disse vægtige legitime grunde, og vurderingen skal dokumenteres.
Den registrerede har i den periode, det tager at foretage vurderingen af indsigelsen, krav på at få behandlingen begrænset iht. artikel 18. Det betyder, at den dataansvarlige ikke må behandle personoplysninger på anden vis end opbevaring, med mindre den registrerede har givet samtykke til det, eller for at et retskrav kan fastlægges, gøres gældende eller forsvares, for at beskytte en anden fysisk eller juridisk person eller af hensyn ti Unionens eller en medlemsstats vigtige samfundsinteresser.
Hvis vurderingen falder ud til fordel for den registrerede kan behandlingen ikke længere foretages på baggrund i interesseafvejningsreglen, og den registrerede vil have krav på sletning af personoplysningerne i medfør af artikel 17.
Hvad kan vi hjælpe dig med
- BDO kan bistå med at vurdere, herunder foretage og dokumentere balancetesten.
- BDO kan bistå med at sikre, at organisationen kan håndtere individets rettigheder, herunder oplysningspligt, indsigelse, sletteanmodninger og anmodning om begrænsning.
Vi bestræber os på at yde rådgivning, som imødekommer jeres konkrete behov, og vi tager også gerne en mere uformel dialog om, hvordan du kommer videre i det løbende arbejde med at sikre databeskyttelsesretlig compliance.
Du er altid velkommen til at kontakte en af nedenstående kontaktpersoner.