Interesseafvejningsreglen som behandlingsgrundlag i GDPR
Oversat titel
Processing on basis of legitimate interests under the GDPR
Forfatter
Baroni, Christian Elbrønd
Semester
4. semester
Uddannelse
Udgivelsesår
2021
Afleveret
2021-05-18
Antal sider
70
Resumé
GDPR kræver, at enhver behandling af personoplysninger har et lovligt grundlag. Ét af disse er “berettigede interesser” i artikel 6, stk. 1, litra f. Det giver mulighed for at behandle oplysninger, når det er nødvendigt for den dataansvarliges eller en tredjemands legitime interesser, så længe disse ikke vejes ned af den registreredes rettigheder og frihedsrettigheder. Denne afvejning (ofte kaldt interesseafvejningen) er vanskelig i praksis, fordi GDPR giver begrænset vejledning om, hvordan den skal udføres, og hvilke faktorer der skal indgå. Usikkerheden rammer især den dataansvarlige (den, der bestemmer formål og midler), hvis vurdering kan tilsidesættes af domstole og tilsynsmyndigheder. Specialet undersøger, hvordan bestemmelsen skal forstås, og hvordan interesseafvejningen kan gennemføres i praksis. Det sker ved at analysere selve GDPR og dens betragtninger, en vejledning fra Artikel 29-arbejdsgruppen samt emner og vejledninger fra Datatilsynet. Derudover gennemgås afgørelser fra EU-Domstolen og nationale sager fra Datatilsynet. EU-Domstolens sager belyser især generelle træk ved bestemmelsen, mens Datatilsynets sager – opdelt i tilbagevendende temaer – især illustrerer, hvordan afvejningen foretages i konkrete situationer. Denne praksisnære tilgang gør det lettere at forudse, hvordan afvejningen vil falde ud i forskellige scenarier. Specialet finder, at der generelt er en bred adgang til at behandle på grundlag af berettigede interesser, idet behandlingerne oftest blev anset for lovlige i de gennemgåede sager. GDPR foreskriver ingen officiel metode til interesseafvejningen, men Artikel 29-arbejdsgruppen beskriver en nyttig (om end ikke bindende) fremgangsmåde. Sagerne viser, at mange forskellige hensyn kan være legitime på tværs af områder, uden at nogle områder konsekvent er udelukket eller tilladt. Alligevel ses mønstre: Når formålet er at beskytte borgernes sikkerhed og opklare kriminalitet, er behandling ofte lovlig, fordi dette hensyn er svært at tilsidesætte. Arbejdsgivere har også en relativt bred adgang, men skal være særligt varsomme ved videregivelse til andre eller når oplysninger vedrører afskedigelser. Ved offentliggørelse spiller ytrings- og informationsfrihed en stor rolle, som kan være vanskelig at opveje. Det samme gælder for allerede offentligt tilgængelige oplysninger, når den dataansvarlige har en lovbestemt opgave, eller når behandling sker for at anlægge civile retssager. Det står også klart, at brud på principperne i artikel 5 eller på national ret altid gør behandlingen ulovlig, så litra f ikke kan bruges. Konklusionen er, at berettigede interesser er et fleksibelt grundlag, der kan anvendes, når andre hjemler ikke rækker, men at det indebærer usikkerhed og kræver omhyggelig planlægning – især på områder med begrænset praksis.
The GDPR requires a lawful basis for any processing of personal data. One such basis is “legitimate interests” in Article 6(1)(f). It allows processing when it is necessary for the legitimate interests of the controller or a third party, provided these are not overridden by the rights and freedoms of the data subject. This balancing test is hard to apply in practice because the GDPR offers limited guidance on how to perform it and which factors to consider. The uncertainty falls mainly on the controller (the party deciding the purposes and means of processing), whose judgment can be set aside by courts and supervisory authorities. This thesis examines how to interpret Article 6(1)(f) and how to carry out the balancing of interests in practice. It analyses the GDPR and its recitals, a guideline from the Article 29 Working Party, and topics and guidance published by the Danish Data Protection Authority (Datatilsynet). It also reviews cases from the Court of Justice of the European Union and national cases from Datatilsynet. The EU cases illustrate general features of the provision, while the Datatilsynet cases—grouped into recurring themes—mainly show how the balancing test plays out in concrete situations. This practice-oriented approach helps anticipate outcomes in different scenarios. The thesis finds that, in general, there is broad access to rely on legitimate interests: in most reviewed cases, the processing was lawful. Although the GDPR does not prescribe an official method for the balancing test, the Article 29 Working Party describes a useful (non-binding) approach. The cases show that many different interests can be legitimate across various areas, with no domains consistently excluded or permitted. Still, patterns emerge: where the purpose is public safety and crime detection, processing is often lawful because that interest is hard to override. Employers generally have broad scope but must be careful when disclosing data to others or when data concern employee dismissals. When disclosing data to the public, freedom of expression and information carry significant weight, which is difficult to counterbalance. The same tends to apply to already publicly available data, when the controller has a task imposed by law, or when processing is done to bring civil proceedings. It is also clear that violating the principles in Article 5 or national law always makes processing unlawful, so Article 6(1)(f) cannot be used. Overall, legitimate interests is a flexible legal basis that can apply when other grounds are insufficient, but it comes with uncertainty and demands careful planning—especially in areas with limited case law.
[Dette resumé er omskrevet med hjælp fra AI baseret på projektets originale resumé]
Emneord
gdpr ; persondata ; persondataret ; behandlingsgrundlag ; interesseafvejning ; interesseafvejningsreglen ; interesseafvejningsregl ; samtykke ; dbl ; databeskyttelsesloven ; persondataforordningen ; databeskyttelsesforordningen ; data ; personoplysninger ; databeskyttelsesret ; legitime interesser ; berettigede interesser ; persondatadirektiv ; pdl ; persondataloven