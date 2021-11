Konklusjonen til virksomheten må gjøres kjent for de registrerte, og de registrerte skal gis mulighet til å protestere mot behandlingen (kalles opt-out).

Dokumenter at balansetesten er utført

Vi anbefaler at virksomheten bruker en sjekkliste eller annet dokument som fylles ut for hver balansetest.

Datatilsynet har lagd 4 trinn som bør inn i slik sjekkliste:

Virksomhetens interesse

Hensynet til personvernet

Tiltak for å minimere personvernkonsekvensene

Balansetesten.

I balansetesten må virksomheten veie de motstridende hensynene opp mot hverandre. På den ene siden har vi personvernulempene, og de berørtes eventuelle forventning om at deres personopplysninger ikke behandles. På den andre siden virksomhetens berettigete interesse i å behandle personopplysningene.

Andre viktige momenter er hva slags personopplysninger som behandles, spesielt om det er sensitive personopplysninger eller barn eller andre sårbare gruppers personopplysninger. I tillegg til den berettigede interessen virksomheten har, kan tiltak for å minske personvernulempene eller risikoen knyttet til behandlingen være med på å tippe balansetesten i favør av at behandlingen er tillatt.

Et eksempel på tiltak er at det ikke behandles flere personopplysninger enn det som er absolutt nødvendig for å oppnå formålet, og at det er sterke sikkerhetstiltak på plass for å gjøre behandlingen så sikker som mulig. Jo større ulempen for de berørte er, jo mer skal det til for at berettiget interesse kan godtas.

Et ytterligere moment som er mye diskutert i tilknytning til berettiget interesse er reservasjonsrett, eller en mulighet til å velge at dine personopplysninger behandles. Det gjøres ved at de berørte kan be om at deres personopplysninger likevel ikke behandles på grunnlag av berettiget interesse.

Må man alltid tilby de registrerte en reservasjonsrett?

Reservasjonsmulighet er et tiltak som minsker personvernulempen betydelig.

Et eksempel er at en nettside med innlogging til en Min side for brukerne, har en oversikt over hvilke behandlingsaktiviteter som foretas med berettiget interesse som grunnlag. Dersom brukeren ikke vil at egne personopplysninger skal behandles på en slik måte, kan nettstedet inneholde funksjonalitet som gjør det enkelt å protestere, f.eks. en knapp som kan trykkes på for å stoppe slik behandling.

Det er ikke alltid praktisk å tilby enhver person en generell rett til å protestere. Et eksempel er at en hacker ikke bør gis muligheten til opt-out fra behandlinger som sikrer alle brukeres sikkerhet og dermed kundedata.

Høyesterett kan gi avklaringer i Legelisten-saken

Nettstedet Legelisten.no har en database med leger og andre helsepersonell, der brukere legger igjen vurderinger av den enkelte behandleren. For å tilby denne tjenesten må Legelisten behandle personopplysninger om leger og helsepersonell som er inkludert i databasen. Dette gjør Legelisten på bakgrunn av berettiget interesse. Helsepersonell har klaget inn Legelisten med krav om at de må kunne reservere seg fra å bli inkludert og vurdert på Legelisten.no.

Saken har vært gjennom behandling av Datatilsynet, Personvernnemnda, tingretten, lagmannsretten og Høyesterett – det forventes dom snart fra Høyesterett. Sakens kjerne er om helsepersonell må gis en rett til å reservere seg fra å bli inkludert på Legelisten.no.

Personvernnemnda kom frem til at Legelisten.no har behandlingsgrunnlag for å samle inn og publisere subjektive vurderinger av helsepersonell uten at helsepersonell gis en generell reservasjonsrett for slike vurderinger. Lagmannsretten konkluderte også med at det ikke måtte oppstilles en generell reservasjonsrett på Legelisten.no.

Vi håper dommen fra Høyesterett vil avklare om det vil være en reservasjonsrett ved bruk av berettiget interesse, og at dommen samtidig vil gi viktige retningslinjer for bruk av berettiget interesse som lovlig behandlingsgrunnlag.

Artikkelen er skrevet av advokatfullmektig Alexandra Reichelt og partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.