I praksis er det ofte netop præcisering og afvejning, der halter.
Et konkret eksempel
Et godt eksempel er Linkedin. Ifm. jobannoncering havde de præciseret, at ”målet for annoncering udført af LinkedIn var at hjælpe deres kunder med at målrette enkeltpersoner med mere relevante job og annoncer”. Det genererede en indkomst – og for at for at forfølge disse legitime interesser, var behandlingen af persondata derfor nødvendig. Denne præcisering blev anset for at være acceptabel.
Problemet var imidlertid afvejningen af interesser. Her fejlede Linkedin, “da de legitime interesser blev underkendt af de registreredes interesser og grundlæggende rettigheder”.
Interesseafvejningen er afgørende
For selvom LinkedIn bidrog til “en række positive offentlige interesser, såsom at tillade medarbejdere og jobsøgende at annoncere deres færdigheder” og dermed ”give mulighed for opkvalificering, matche jobsøgende og jobmuligheder mv.”, så var der dog også en række negative konsekvenser for de registrerede. Især muligheden for, at en person kunne blive udelukket fra jobannoncer baseret på udledte data såsom køn eller alder, ville være upassende i en professionel sammenhæng. Denne var derfor særligt bekymrende.
Faktisk vurderede Irlands databeskyttelseskommission det så bekymrende, at de i oktober i år idømte LinkedIn en bøde på €310 mill. Bl.a. fordi de ikke opfyldte kravene til ”Legitime interesser”.
Den registreredes rettigheder slår alt
Dale Sunderland fra det Irske Datatilsyn påpeger, at “det virkelig vigtige punkt her er, at for at sikre, at den legitime interesse er passende og bruges korrekt, skal vurderingen være virkelig robust. Den skal virkelig udfordre de valg, den enkelte organisation har foretaget for at sikre, at organisationens legitime interesser ikke opvejer den enkeltes rettigheder og friheder.”