Berettiget interesse og samtykke

Publisert 4. desember 2021
This post thumbnail

Siden GDPR (personvernforordningen) trådte i kraft i mai 2018, har det vært mye diskusjon behandlingsgrunnlagene berettiget interesse og samtykke.

Berettiget interesse

I henhold til GDPR skal bedrifter ha et lovlig grunnlag for å samle inn og behandle personopplysninger. Berettiget interesse er ett av seks mulige rettslige grunnlag, og det kan brukes når selskapet har en reell og berettiget grunn til å samle inn og behandle personopplysninger.

Samtykke

Samtykke er et annet lovlig grunnlag for innsamling og behandling av personopplysninger, og det må være frivillig, konkret, informert og utvetydig. Det må også være konkret for formålene som dataene skal brukes til.

Veiledere og forklaring fra Datatilsynet

Mange virksomheter er usikre på når de kan bruke berettiget interesse og når de må bruke samtykke. For å hjelpe virksomheter med å ta den riktige avgjørelsen, har flere europeiske datatilsyn samt bransjeorganisasjoner gitt ut veiledning om berettiget interesse. Datatilsynet i Norge har også laget en god forklaring på når man kan anvende seg at berettiget interesse som behandlingsgrunnlag. Les mer hos Datatilsynet her

Oppsummert

Kort oppsummert konkluderer veilederne med att selskaper kan benytte seg av berettiget interesse som et lovlig grunnlag dersom de kan vise at de har en legitim interesse i å samle inn og behandle personopplysninger, at dataene er nødvendige for formålet og at selskapets interesser ikke går foran de registrerte brukerne/kundenes interesser.

Nøkkelspørsmålet for virksomheter er om de kan dokumentere en interesseavveining mellom virksomhetens interesser og den enkeltes interesser. Bedrifter må med andre ord vise at de har vurdert konsekvensene av behandlingen for den enkeltes personvern, og at de registrertes interesser ikke har blitt tilsidesatt av virksomhetens interesser.

Når det gjelder samtykke, understrekes det at samtykke må være spesifikt for formålene dataene skal brukes til, og at dataene må være nødvendige for disse formålene. Veilederne påpeker også at samtykke ikke skal kombineres med andre vilkår og betingelser, og at det skal være enkelt å trekke tilbake samtykket.

Poenget er at bedrifter bør vurdere nøye om de kan benytte seg av berettiget interesse som behandlingsgrunnlag eller om de trenger å få samtykke fra den enkelte. Hvis du er i tvil, er det best å få samtykke.

© 2023 GDPRControl. Av Anders Svensson og Jan Ove Skogheim.