"Behandling er nødvendig for formålet med legitime interesser som forfølges av den behandlingsansvarlige eller av en tredjepart, unntatt der slike interesser overstyres av interessene eller grunnleggende rettigheter og friheter til den registrerte som krever beskyttelse av personopplysninger, spesielt der den registrerte er et barn.' Første ledd bokstav f) får ikke anvendelse på behandling utført av offentlige myndigheter under utførelsen av deres oppgaver.»
«De legitime interessene til en behandlingsansvarlig, inkludert interessene til en behandlingsansvarlig som personopplysningene kan utleveres til, eller til en tredjepart, kan gi et rettslig grunnlag for behandling, forutsatt at interessene eller de grunnleggende rettighetene og friheter av den registrerte er ikke overordnet, tatt i betraktning de rimelige forventningene til dato emner basert på deres forhold til behandlingsansvarlig.' I henhold til databeskyttelsesloven og GDPR, er det seks lovlige forhold som gjør at du kan behandle personopplysninger. Disse er samtykke, kontraktsmessig, juridisk forpliktelse, vital interesse, offentlig oppgave og legitim interesse.
Under visse omstendigheter kan du ha en reell grunn og nødvendighet for å behandle personopplysninger uten samtykke fra den registrerte. Dette er kjent som legitim interesse. Men før du begynner å bli for begeistret, er det tre krav som en organisasjon må oppfylle før den kan hevde at den behandler data ved å bruke betingelsen om legitim interesse.
For det første må organisasjonen kunne demonstrere et behov for å behandle denne informasjonen, samt behovet til tredjeparten som vil motta dataene.
Informasjonskommissærens kontor gir et eksempel på et finansselskap som trenger å spore opp en kunde som har misligholdt betalingen og flyttet.
Inkassobyrået må ha kundens data for å inndrive gjelden.
Begge parters interesser bør være balansert. Selv om det ikke er nødvendig for begge parter å være helt i harmoni.
Informasjonskommissærens kontor sier at "vilkåret for legitime interesser ikke vil være oppfylt dersom behandlingen er uberettiget på grunn av dens skadevirkninger på rettighetene og frihetene, eller legitime interesser, til den enkelte". Men det står også at dersom det er et alvorlig misforhold mellom konkurrerende interesser, vil den enkeltes legitime interesser komme først».
Så i eksemplet med inkasso vil byrået som får data om unndrageren bli sett på som rimelig, og vil derfor være akseptabelt under legitim interesse.
Når ovennevnte punkter er oppfylt, må organisasjonen kunne påvise at behandlingen av dette data er rettferdige, lovlige og overholder databeskyttelsesprinsippene. Informasjonen skal være nøyaktig og oppdatert. De bør også sørge for at bare de relevante dataene er gitt for å utføre oppgaven.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.
Den registrerte vil fortsatt ha rett til å motsette seg at dataene deres brukes uten deres samtykke. Hvis behandlingen av disse dataene ikke kunne rettferdiggjøres som ovenfor, eller hvis dataene brukes til et nytt formål, kan personen utøve sin rett til å bli glemt.
Når du begynner å bli mer kjent med legitim interesse, vil du se at nesten alle bransjer kan ha en sak for å bruke tilstanden. Vi bør derfor se på noen av scenariene som kan føre til dette utfallet.
Etiske formål – Dette vil mest sannsynlig bli brukt av veldedige organisasjoner, da det kan hevdes at deling av data vil være i interessen til den enkelte i nød så vel som veldedige organisasjoner.
Suppression – Hvis en registrert person ber om å bli fjernet fra en markedsføringsdatabase, kan organisasjonen holde begrenset informasjon om dem for å sikre at forespørselen blir utført.
Tilpasning – Dette kan innebære at et nettsted bruker analyser for å forutsi hva en kunde vil kjøpe basert på nettleserhistorikken.
Menneskelige ressurser - En arbeidsgiver behandler data for å gi sine ansatte fordeler som helseforsikring og barnepasskuponger.
Helsetrender – Vitenskapelige forskere kan trenge personopplysninger for å analysere sesongmessige helseproblemer, som spredning av influensa og andre sykdommer.
En skreddersydd praktisk økt basert på dine behov og mål
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang