”Behandlingen är nödvändig för ändamålen för de legitima intressen som eftersträvas av den registeransvarige eller av en tredje part, utom när sådana intressen åsidosätts av intressen eller grundläggande rättigheter och friheter hos den registrerade som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn." Led f första stycket ska inte tillämpas på behandling som utförs av offentliga myndigheter i samband med utförandet av deras uppgifter.”
”En personuppgiftsansvarigs legitima intressen, inklusive de hos en personuppgiftsansvarig till vilken personuppgifterna kan lämnas ut, eller hos en tredje part, kan utgöra en rättslig grund för behandlingen, förutsatt att intressen eller de grundläggande rättigheterna och friheter av den registrerade inte är övervägande, med hänsyn till rimliga förväntningar på datum ämnen baserat på deras förhållande till den registeransvarige.' Enligt dataskyddslagen och GDPR, det finns sex lagliga omständigheter som tillåter dig att behandla personuppgifter. Dessa är samtycke, avtalsenlig, juridisk förpliktelse, vitalintresse, offentlig uppgift och legitimt intresse.
Under vissa omständigheter kan du ha en genuin anledning och nödvändighet att behandla personuppgifter utan samtycke från den registrerade. Detta kallas berättigat intresse. Men innan du börjar bli för upphetsad finns det tre krav som en organisation måste uppfylla innan den kan hävda att den behandlar data med villkoret för legitimt intresse.
För det första måste organisationen kunna visa ett behov av att behandla denna information, liksom behovet hos den tredje part som skulle ta emot uppgifterna.
Informationsnämnden ger ett exempel på ett finansbolag som behöver spåra en kund som har svikit sin betalning och flyttat.
Inkassobyrån behöver ha kundens uppgifter för att kunna driva in skulden.
Båda parters intressen bör vara balanserad. Även om det inte är nödvändigt för båda parter att vara helt i harmoni.
Informationskommissionärens kontor säger att "villkoret för berättigade intressen inte kommer att uppfyllas om behandlingen är obefogad på grund av dess skadliga inverkan på individens rättigheter och friheter eller legitima intressen". Men det står också att om det finns en allvarlig bristande överensstämmelse mellan konkurrerande intressen så kommer individens berättigade intressen i första hand”.
Så i exemplet med inkasso skulle byrån som ges uppgifter om bedragaren ses som rimlig och skulle därför vara acceptabel under berättigat intresse.
När ovanstående punkter är uppfyllda måste organisationen kunna visa att handläggningen av detta data är rättvisa, lagliga och följer dataskyddsprinciperna. Informationen ska vara korrekt och aktuell. De bör också se till att endast relevanta uppgifter ges för att utföra uppgiften.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.
Den registrerade kommer fortfarande att ha rätt att invända mot att deras uppgifter används utan deras samtycke. Om behandlingen av dessa uppgifter inte kan motiveras enligt ovan, eller om uppgifterna används för ett nytt ändamål, kan personen utöva sin rätt att bli bortglömd.
När du börjar bli mer bekant med berättigade intressen kommer du att se att nästan alla branscher kan ha ett argument för att använda villkoret. Vi bör därför titta på några av de scenarier som kan leda till detta resultat.
Etiska syften – Detta kommer med största sannolikhet att användas av välgörenhetsorganisationer eftersom det skulle kunna hävdas att delning av data skulle vara i såväl den behövandes som välgörenhetsorganisationens intresse.
Suppression – Om en registrerad begär att de tas bort från en marknadsföringsdatabas kan organisationen ha begränsad information om dem för att säkerställa att deras begäran genomförs.
Personalisering – Detta kan innebära att en webbplats använder analyser för att förutsäga vad en kund kommer att vilja köpa baserat på sin webbhistorik.
Mänskliga resurser - En arbetsgivare behandlar data för att ge sina anställda förmåner som sjukförsäkring och barnomsorgskuponger.
Hälsotrender – Vetenskapliga forskare kan behöva personuppgifter för att analysera säsongsbetonade hälsoproblem, som spridning av influensa och andra sjukdomar.
En skräddarsydd praktisk session utifrån dina behov och mål
100 % av våra användare uppnår ISO 27001-certifiering första gången