Integritetsskyddsmyndigheten bekräftar vikten av dokumenterad intresseavvägning för att kunna använda berättigat intresse som rättslig grund
Det är inte ovanligt att företag väljer att stödja sin behandling av personuppgifter på ”berättigat intresse” som rättslig grund enligt artikel 6.1 (f) dataskyddsförordningen (”GDPR”). Denna grund uppfattas ofta som både flexibel och praktisk.
För att behandling ska kunna stödjas på berättigat intresse måste den personuppgiftsansvarige dock genomföra och dokumentera intresseavvägningen där det prövas om den personuppgiftsansvariges intresse väger tyngre än den registrerades grundläggande rättigheter och friheter. Detta bekräftar Integritetsskyddsmyndigheten (IMY) i sitt beslut vid en granskning av ett företags personuppgiftsbehandling efter klagomål från en registrerad.
IMY:s tillsyn & beslut
I sitt beslut den 28 april 2025 konstaterade IMY att ett företag brutit mot artikel 6.1 (f) i GDPR genom att behandla personuppgifter utan att uppfylla kraven för att stödja behandlingen på berättigat intresse.
Beslutet föranleddes av att företaget varken kunde visa att ett berättigat intresse förelåg eller att en intresseavvägning hade genomförts. Vid granskningen hade företaget hänvisat till deras Consent Management Platform (CMP)-leverantörs rekommendationer att använda bland annat berättigat intresse som rättslig grund, varvid IMY underströk – med hänvisning till ansvarsskyldighetsprincipen i GDPR – att detta inte befriar den personuppgiftsansvarige från skyldigheten att själv säkerställa att behandlingen uppfyller kraven enligt artikel 6.1 (f) GDPR. Avsaknaden av en dokumenterad intresseavvägning innebar enligt myndigheten att behandlingen saknade rättslig grund.
Riktlinjer om intresseavvägning
Enligt den grundläggande principen om ansvarsskyldighet i artikel 5.2 GDPR, ska den personuppgiftsansvarige kunna visa att behandlingen av personuppgifter utförs i enlighet med GDPR. För att kunna stödja personuppgiftsbehandling på ett berättigat intresse är det således av avgörande betydelse att den personuppgiftsansvarige, genom en dokumenterad intresseavvägning, kan motivera att det föreligger ett berättigat intresse som väger tyngre än den enskildes intressen.
Europeiska dataskyddsstyrelsen (EDPB) har publicerat ett utkast på riktlinjer som syftar till att hjälpa företag att korrekt bedöma om berättigat intresse kan användas som rättslig grund för personuppgiftsbehandling. Enligt EDPB:s riktlinjer måste tre kumulativa villkor uppfyllas för att berättigat intresse ska kunna användas som rättslig grund:
- Förekomsten av ett berättigat intresse: Intresset måste vara lagligt, klart och tydligt formulerat, samt verkligt och närvarande.
- Behovet av behandlingen: Det måste fastställas att det berättigade intresset inte kan uppnås lika effektivt genom andra mindre ingripande medel.
- Avvägning: De registrerades intressen eller grundläggande fri- och rättigheter får inte väga tyngre än det berättigade intresset.
EDPB betonar att en korrekt bedömning av berättigat intresse inte är en enkel uppgift. Det kräver en noggrann avvägning av motstående rättigheter och intressen, samt dokumentation av bedömningen innan personuppgiftsbehandlingen påbörjas.
EDPB behandlar för närvarande de remissvar som inkommit på riktlinjerna och kommer därefter publicera en slutlig version.
Avslutande kommentarer
Att åberopa berättigat intresse som rättslig grund för personuppgiftsbehandling kan erbjuda flexibilitet – men det innebär också ett stort ansvar. Det räcker inte att enbart hänvisa till intresset i sig; en strukturerad och dokumenterad intresseavvägning är ett krav enligt GDPR, och avsaknaden av en sådan kan leda till att behandlingen bedöms som otillåten.
För att säkerställa en korrekt tillämpning bör företag:
- Identifiera och dokumentera det berättigade intresset – säkerställ att det är legitimt och proportionerligt.
- Genomföra en nödvändighetsbedömning – överväg om samma syfte kan uppnås med mindre integritetsingripande metoder.
- Utföra en avvägning – väg företagets intresse mot individens rätt till skydd för sina personuppgifter, och beakta förväntningar och potentiell påverkan.
- Vidta skyddsåtgärder – exempelvis begränsad åtkomst, dataminimering och tydlig information till registrerade.
- Dokumentera processen och uppdatera bedömningen vid förändringar i behandlingen.
Berättigat intresse är ett verktyg som kräver insikt, transparens och ansvar. Genom att följa dessa principer kan företag balansera sina affärsbehov och individens rätt till integritet.
Välkommen att kontakta oss
Magnusson har omfattande expertis inom dataskyddsrättsliga frågor och erbjuder såväl juridisk rådgivning som utbildning på området. Ni är varmt välkomna att kontakta Marie Segerholm eller Caroline Landerfors för mer information.
Vill du läsa mer om våra tjänster inom IT och dataskydd, klicka här.
Fler nyheter
-
![]()
Konkurrensverkets nya föreskrifter och allmänna rå...
Läs artikeln
-
![]()
Magnusson deltar på Stockholm Tech Show den 14–15...
Läs artikeln
-
![]()
GDPR 2.0 är snart här! Anpassad för små och medels...
Läs artikeln
-
![]()
Nyheter inom EU- och konkurrensrätt - April 2025
Läs artikeln
-
![]()
Magnusson stärker sitt erbjudande inom försäkring,...
Läs artikeln
-
![]()
Krav på arbetsgivare enligt lönetransparensdirekti...
Läs artikeln
-
![]()
Nyheter inom EU- och konkurrensrätt - Mars 2025 De...
Läs artikeln
-
![]()
Magnusson tilldelas utmärkelsen "Excellence in Cli...
Läs artikeln
-
![]()
Nyheter inom EU- och konkurrensrätt - Mars 2025 De...
Läs artikeln
-
![]()
Magnusson och Legora i strategiskt AI-samarbete fö...
Läs artikeln
