Dataskydd

Berättigat intresse GDPR: intresseavvägning steg för steg

Berättigat intresse enligt GDPR: den tredelade intresseavvägningen (ändamål, nödvändighet, avvägning), IMY om direktmarknadsföring och när grunden inte håller.

Also available in:English·Français·Deutsch

Berättigat intresse enligt artikel 6.1 f GDPR är den mest flexibla rättsliga grunden – men också den som kräver mest eget arbete. Du får bara stödja dig på den efter en dokumenterad intresseavvägning i tre steg: ett ändamålstest, ett nödvändighetstest och en egentlig avvägning mot den registrerades intressen. Grunden framgår av artikel 6.1 f i dataskyddsförordningen. Den här guiden går igenom de tre stegen, hur du dokumenterar dem, IMY:s syn på direktmarknadsföring och när berättigat intresse inte håller.

Viktigaste punkterna

  • Berättigat intresse kräver en tredelad intresseavvägning: ändamål, nödvändighet och avvägning.
  • Avvägningen ska dokumenteras och kunna visas upp vid en tillsyn – ett odokumenterat berättigat intresse är i praktiken inget.
  • Direktmarknadsföring till befintliga kunder kan grundas på berättigat intresse, men den registrerade har alltid rätt att invända.
  • Grunden håller inte för storskalig behandling av känsliga uppgifter eller barns uppgifter utan mycket starka skäl.

Vad är berättigat intresse?

Artikel 6.1 f tillåter behandling som är nödvändig för ändamål som rör den ansvariges eller en tredje parts berättigade intressen, utom när den registrerades intressen eller grundläggande rättigheter väger tyngre. Grunden är avsedd för situationer där behandlingen är rimlig och förväntad men varken vilar på avtal, lag eller samtycke – till exempel bedrägeribekämpning, nätverkssäkerhet, intern administration i en koncern, spekulantlistor hos en fastighetsmäklare och viss marknadsföring. En viktig begränsning: myndigheter får inte använda berättigat intresse för behandling som sker inom ramen för deras uppgifter (art. 6.1 sista stycket).

Den tredelade intresseavvägningen

Innan du använder grunden måste du genomföra och dokumentera tre test. Faller något av dem, håller inte grunden.

Steg 1: Ändamålstestet

Är intresset berättigat? Intresset ska vara verkligt, aktuellt och lagligt – inte spekulativt. Exempel på erkända berättigade intressen är att förebygga bedrägeri, säkra IT-system, kamerabevaka en bostadsrättsförenings gemensamma utrymmen, marknadsföra till befintliga kunder och driva den löpande verksamheten. Formulera intresset konkret: inte “affärsnytta” utan “att upptäcka och stoppa bedrägliga beställningar i vår webbutik”.

Steg 2: Nödvändighetstestet

Är behandlingen nödvändig för ändamålet, eller kan samma resultat nås med mindre integritetsintrång? Om du kan uppnå ändamålet med färre uppgifter, kortare lagring eller aggregerad data, är den mer ingripande behandlingen inte nödvändig. Nödvändighet betyder inte “bekvämt” utan “det finns inget rimligt, mindre ingripande alternativ”.

Steg 3: Avvägningen (balanstestet)

Väger ditt intresse tyngre än den registrerades intressen, rättigheter och friheter? Här bedömer du bland annat:

  • Uppgifternas karaktär – känsliga uppgifter väger tungt emot dig.
  • Den registrerades rimliga förväntningar – hade personen kunnat förutse behandlingen?
  • Konsekvenserna för den registrerade.
  • Möjliga skyddsåtgärder – pseudonymisering, öppenhet, enkel möjlighet att invända.

Ju mer behandlingen avviker från vad personen rimligen kan förvänta sig, desto starkare måste ditt intresse vara. Europeiska dataskyddsstyrelsens riktlinjer om berättigat intresse (2024) betonar just betydelsen av de registrerades rimliga förväntningar och möjligheten att invända.

Dokumentera avvägningen

En intresseavvägning som bara finns i huvudet existerar inte för IMY. Skriv ner de tre stegen, slutsatsen och de skyddsåtgärder du valt, och spara underlaget kopplat till behandlingen i din registerförteckning. Det gör att du både kan visa avvägningen vid en tillsyn och pröva den på nytt om förutsättningarna ändras. Detta är också det underlag dataskyddsombudet granskar när grunden ifrågasätts. En färdig mall för avvägningen sparar tid – och en plattform som Legiscope knyter varje avvägning till rätt behandling så att den hålls levande.

Berättigat intresse och direktmarknadsföring

Direktmarknadsföring är det klassiska tillämpningsområdet. Skäl 47 i GDPR nämner uttryckligen att behandling för direktmarknadsföringsändamål kan anses ske för ett berättigat intresse. IMY:s linje är att marknadsföring till befintliga kunder – till exempel i en webbutik – normalt kan grundas på berättigat intresse, medan marknadsföring till nya potentiella kunder kräver en noggrannare avvägning – och att elektronisk marknadsföring dessutom kan kräva samtycke enligt reglerna om elektronisk kommunikation och marknadsföringslagen.

Oavsett grund gäller en absolut regel: enligt artikel 21.2 har den registrerade alltid rätt att invända mot behandling för direktmarknadsföring, och då ska behandlingen upphöra. Det finns ingen intresseavvägning som kan väga upp en invändning mot marknadsföring. Vill du bygga behandlingen på samtycke i stället, se guiden om rättslig grund för när det är rätt val.

När berättigat intresse inte håller

Grunden är flexibel men inte gränslös. Den håller i regel inte för:

  • Storskalig behandling av känsliga uppgifter (art. 9) – där krävs normalt uttryckligt samtycke eller ett lagstöd.
  • Barns personuppgifter, där de rimliga förväntningarna och skyddsbehovet väger tungt (skäl 38).
  • Oväntad eller dold behandling som personen inte hade kunnat förutse, som omfattande profilering eller sammankoppling av dataset.
  • Myndighetsutövning, där grunden är utesluten.

Om avvägningen är jämn eller osäker är berättigat intresse fel val – välj då en annan grund eller avstå från behandlingen.

Berättigat intresse och profilering

Profilering är det område där berättigat intresse oftast övertolkas. Att analysera kunders beteende för att förbättra en tjänst kan rymmas inom grunden, men omfattande profilering som personen inte rimligen kan förvänta sig – att kombinera data från flera källor för att förutsäga hälsa, ekonomi eller preferenser – väger tungt emot dig i avvägningen. Ju mer ingripande och mindre förutsägbar profileringen är, desto svagare blir berättigat intresse som grund. Leder profileringen till automatiserade beslut med rättslig eller liknande betydande verkan gäller dessutom de särskilda reglerna i artikel 22, som normalt kräver samtycke eller avtal – inte berättigat intresse. När leverantörer utför profileringen för din räkning ska ansvaret regleras i personuppgiftsbiträdesavtalet, och din intresseavvägning ska omfatta även den behandling som sker i leverantörsledet. En praktisk regel: om du skulle tveka att öppet berätta för den registrerade exakt hur profileringen går till, är det ett tecken på att de rimliga förväntningarna inte är uppfyllda och att grunden inte håller.

Vanliga frågor

Vad är skillnaden mellan berättigat intresse och samtycke?

Berättigat intresse kräver ingen aktiv åtgärd från den registrerade men förutsätter en dokumenterad avvägning där ditt intresse väger tyngre. Samtycke kräver en aktiv, frivillig viljeyttring men ger den registrerade full kontroll. Berättigat intresse passar när behandlingen är förväntad och rimlig; samtycke när personen verkligen ska ha ett fritt val.

Måste vi dokumentera intresseavvägningen?

Ja. Ansvarsprincipen i artikel 5.2 kräver att du kan visa att grunden är korrekt tillämpad. En odokumenterad avvägning kan i praktiken inte försvaras vid en tillsyn. Skriv ner de tre stegen, slutsatsen och skyddsåtgärderna, och spara underlaget kopplat till behandlingen.

Kan vi använda berättigat intresse för direktmarknadsföring?

Ja, särskilt mot befintliga kunder, enligt skäl 47. Men den registrerade har alltid en ovillkorlig rätt att invända enligt artikel 21.2, och elektronisk marknadsföring kan dessutom kräva samtycke enligt reglerna om elektronisk kommunikation. Berättigat intresse befriar dig alltså inte från invändningsrätten.

Kan en myndighet stödja sig på berättigat intresse?

Nej, inte för behandling som sker i myndighetens uppgiftsutövning. Artikel 6.1 sista stycket utesluter berättigat intresse för myndigheter i denna roll. De ska i stället använda allmänt intresse, myndighetsutövning eller rättslig förpliktelse som grund.

Slutsats

Berättigat intresse är GDPR:s mest flexibla grund, men flexibiliteten kostar arbete: du måste genomföra och dokumentera ett ändamålstest, ett nödvändighetstest och en avvägning mot den registrerades förväntningar. Grunden bär direktmarknadsföring till befintliga kunder men aldrig i strid med en invändning, och den håller inte för känsliga uppgifter, barn eller myndighetsutövning. Gör avvägningen skriftligt och håll den aktuell – då är berättigat intresse en robust grund snarare än en genväg. Ett enkelt test avslöjar oftast om grunden håller: skulle den registrerade bli förvånad eller upprörd om hen fick veta exakt hur uppgifterna används? Om svaret är ja väger deras intressen sannolikt tyngre, och du bör tänka om. Om svaret är nej – behandlingen är rimlig, förväntad och proportionerlig – har du en avvägning som tål att granskas.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →