Legitim interesse

Legitim interesse er et behandlingsgrundlag i GDPR, der tillader behandling af persondata uden samtykke. Det forudsætter, at din organisations interesse vejer tungere end den registreredes rettigheder, og at du dokumenterer en interesseafvejning.

Tilbage til ordbog

Hvad er legitim interesse?

Legitim interesse er et af de seks behandlingsgrundlag i GDPR artikel 6, stk. 1, litra f. Det giver dig mulighed for at behandle persondata uden samtykke, når din organisations (eller en tredjeparts) interesse er tilstrækkeligt tungtvejende.

Legitim interesse er det mest fleksible behandlingsgrundlag, men også det mest krævende at dokumentere. Du skal foretage en konkret interesseafvejning (Legitimate Interest Assessment, LIA) for hver behandlingsaktivitet, og du skal kunne fremvise den ved tilsyn.

Bemærk, at offentlige myndigheder ikke kan bruge legitim interesse til behandlinger, de foretager som led i deres opgavevaretagelse.

De tre trin i vurderingen

For at bruge legitim interesse som behandlingsgrundlag skal du gennemføre en tre-trins vurdering:

1. Formålstest: Har du en reel og lovlig interesse? Interessen skal være konkret og aktuel, ikke hypotetisk. Eksempler: forebyggelse af svindel, IT-sikkerhed, direkte markedsføring til eksisterende kunder.
2. Nødvendighedstest: Er behandlingen nødvendig for at forfølge interessen? Kan du opnå formålet på en mindre indgribende måde? Hvis ja, kan du ikke bruge legitim interesse.
3. Interesseafvejning: Vejer den registreredes rettigheder tungere end din interesse? Her vurderer du bl.a. behandlingens indvirkning, den registreredes rimelige forventninger, datatypen og de sikkerhedsforanstaltninger du anvender.

Alle tre trin skal være opfyldt. Falder blot ét trin ud, kan du ikke bruge legitim interesse.

Eksempler på legitim interesse

GDPR-fortalens betragtning 47-49 nævner flere eksempler:

Direkte markedsføring: GDPR anerkender direkte markedsføring som en legitim interesse, men den registrerede har ubetinget ret til at frasige sig det.
Forebyggelse af svindel: Behandling af data for at forhindre bedrageri.
IT-sikkerhed: Behandling, der er nødvendig for at sikre netværk og systemer.
Intern administration: Overførsel af data inden for en koncern til administrative formål.

For følsomme personoplysninger kan du ikke bruge legitim interesse. Her kræves et grundlag i artikel 9.

Dokumentation og indsigelsesret

Din interesseafvejning skal dokumenteres skriftligt og opbevares som del af din fortegnelse. Datatilsynet kan bede om at se den ved tilsyn.

Den registrerede har en specifik ret til at gøre indsigelse mod behandling baseret på legitim interesse (artikel 21). Når du modtager en indsigelse, skal du ophøre med behandlingen, medmindre du kan påvise vægtige legitime grunde, der vejer tungere.

Din oplysningspligt kræver, at du informerer den registrerede om, at du bruger legitim interesse, hvad den legitime interesse er, og retten til at gøre indsigelse. Det skal fremgå af din privatlivspolitik.

Ofte stillede spørgsmål om legitim interesse

Hvad er legitim interesse i GDPR?

Legitim interesse er et behandlingsgrundlag i GDPR artikel 6, stk. 1, litra f. Det tillader behandling af persondata uden samtykke, når den dataansvarliges eller en tredjeparts legitime interesse vejer tungere end den registreredes rettigheder og interesser.

Hvornår kan man bruge legitim interesse?

Du kan bruge legitim interesse, når tre betingelser er opfyldt: du har en reel og lovlig interesse (formålstest), behandlingen er nødvendig for at forfølge interessen (nødvendighedstest), og den registreredes rettigheder vejer ikke tungere end din interesse (interesseafvejning).

Hvad er en interesseafvejning (LIA)?

En interesseafvejning er den dokumenterede vurdering, du skal foretage, inden du bruger legitim interesse. Den skal vise, at din interesse er reel, at behandlingen er nødvendig, og at den registreredes rettigheder ikke vejer tungere.

Kan den registrerede gøre indsigelse mod legitim interesse?

Ja. Den registrerede har en ubetinget ret til at gøre indsigelse mod behandling baseret på legitim interesse, jf. GDPR artikel 21. Du skal derefter ophøre med behandlingen, medmindre du kan påvise vægtige legitime grunde.