Du kan bare bruke berettigede interesser som behandlingsgrunnlag hvis du har oppfylt informasjonsplikten overfor de registrerte

Photo by Prometheus 🔥 on Unsplash

EU-domstolen avsa for ikke så veldig lenge siden to ulike dommer om berettigede interesser (C-394/23 Mousse og C-621/22 KNLTB) der de også slår fast noe jeg synes er skikkelig interessant.

Nemlig at bruk av berettigede interesser som behandlingsgrunnlag forutsetter at informasjonsplikten en oppfylt.

Faktisk går domstolen mye lengre enn dette. Den knytter denne forpliktelsen opp mot nødvendighetskravet og sier at behandlingen av personopplysninger ikke kan sies å være nødvendig for å oppfylle formålene med den berettigede interessen uten at informasjonsplikten er oppfylt.

Det vil si at den registrerte har fått informasjon om formålet med behandlingen, at berettigede interesser brukes som behandlingsgrunnlag og ikke minst hvilke berettigede interesser den behandlingsansvarlige har påberopt seg.

Hva betyr dette? Jo at hvis du bruker berettigede interesser som behandlingsgrunnlag, MÅ du informere den registrerte om det. Hvis ikke vil behandlingen av personopplysningene være ulovlig!

Jeg har mange personvernkjepphester. Og en av dem er at virksomheter som bruker berettigede interesser som behandlingsgrunnlag, ofte ikke dokumenterer det.

Det vil si, de SIER at de har berettigede interesser for å samle inn og behandle personopplysninger, men de har ikke faktisk gjort den interesseavveiningen som er nødvendig. De har i alle fall ikke dokumentert den.

Og ja, selv om det formelt sett ikke er noe krav om skriftlighet, vet vi alle at det er mildt sagt veldig vanskelig å etterleve personvernkrav uten å dokumentere at man gjør dette skriftlig.

Dette var tilfelle i saken hvor Stavanger Arbeiderparti sendte politisk reklame til alle foresatte som hadde barn på visse klassetrinn i Stavangerskolen. 

(Og nei, jeg kommer ikke til å kalle dette «valgkampmateriell», det er politisk reklame. La oss kalle det det det er!)

Her vurderte Stavanger Arbeiderparti kun egne interesser for å sende ut reklamen, ikke hvilke personvernulemper det kunne medføre for de registrerte. Og da har de åpenbart ikke gjort en «berettiget interesse»-vurdering, da denne som kjent BÅDE skal hensynta behandlingsansvarliges interesser OG den registrertes.

I tillegg oppga Stavanger Arbeiderparti at de IKKE hadde informert de registrerte om behandlingen. Ut ifra de to dommene, betyr dette at de overhodet ikke kan påberope seg «berettigede interesser» som behandlingsgrunnlag.

Rett og slett fordi dette behandlingsgrunnlaget forutsetter at den registrerte blir informert.

Hva ble resultatet i saken mot Stavanger Arbeiderparti? Ei litta irettesettelse!

Skuffende? Jeg mener ja.

Og så tror jeg at resultatet kunne ha vært annerledes nå etter at vi har fått C-394/23 Mousse og C-621/22 KNLTB fra EU-domstolen!

Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!

Disclaimer: No AI Training Use

All content on this blog, including text, images, and other materials, is the intellectual property of the author unless otherwise stated. This content may not be used, copied, stored, or processed in any way for the purpose of training artificial intelligence or machine learning models, including but not limited to large language models (LLMs), without explicit, written permission from the author.