Intresseavvägningstest
Detta dokument beskriver genomförandet av balansprovet för SunUras coachnings- och företagstjänster samt beslutsfattandets olika steg. Testet upprepas och beskrivningen uppdateras om syftet, arten eller sammanhanget för behandlingen ändras.
Närvarande: Ville-Matti Vilkka, Sari Kuosmanen
Tidpunkt för testet: 24.8.2022 kl. 14:00–16:00
Val av rättslig grund för behandling
Behandlingen av personuppgifter måste ha en rättslig grund. I SunUras coachnings- och företagstjänster är den mest lämpliga rättsliga grunden berättigat intresse, förutsatt att det kan balanseras med de registrerades rättigheter och friheter. Detta balansprov används för att bedöma eventuella risker för de registrerade. Om berättigat intresse inte kan balanseras på ett godtagbart sätt måste en annan rättslig grund enligt dataskyddsförordningen tillämpas.
1. Är berättigat intresse den mest lämpliga grunden?
Alternativa rättsliga grunder:
Allmänt intresse:
Måste vara föreskrivet i lag och gäller i allmänhet t.ex. för vetenskaplig eller historisk forskning. Inte relevant här.
Samtycke:
Samtycke måste vara frivilligt, specifikt, informerat och otvetydigt. Det får inte vara generellt eller obegränsat. Den personuppgiftsansvarige måste kunna visa att samtycke givits – helst skriftligen. → Svar: Det finns en maktobalans mellan SunUra och coachingdeltagaren, eftersom deltagarna anvisas av TE-tjänsterna eller kommunförsöket. Därför kan samtycke inte anses vara giltigt. Verksamheten beställs av en myndighet och SunUra agerar i praktiken med offentlig makt, vilket gör samtycke olämpligt som rättslig grund.
Avtalsuppfyllelse:
Det finns inget avtal mellan SunUra och den registrerade som kräver behandling av personuppgifter. I princip skulle tjänsten kunna levereras anonymt ur deltagarens perspektiv.
Rättslig skyldighet / Skydd av vitala intressen / Offentlig myndighet:
Det finns ingen rättslig skyldighet att samla in uppgifterna. Det handlar inte heller om att skydda någons vitala intressen. SunUra utövar inte offentlig makt som kräver databehandling. Dessa grunder är därmed inte tillämpliga.
2. Uppfylls grundkraven för berättigat intresse?
Är intresset lagligt?
→ Svar: Lagen om offentlig arbetskrafts- och företagsservice möjliggör SunUras coachingverksamhet.
Är intresset tydligt definierat?
→ Svar: Informationsskyldigheten uppfylls via dataskyddsbeskrivningen på SunUras webbplats och genom länkar i t.ex. inbjudningar. Balansprovet görs offentligt tillgängligt.
Bygger intresset på ett verkligt och omedelbart behov?
→ Svar: SunUras existensberättigande bygger på att erbjuda coachningstjänster.
3. Är behandlingen nödvändig för att uppnå intresset?
Kan samma resultat uppnås med mindre integritetsintrång?
→ Svar: Nej. Endast nödvändiga uppgifter samlas in för att möjliggöra tjänsten.
För att intresset ska vara berättigat måste behandlingen vara nödvändig för att uppnå ett grundläggande rättighetsmål (t.ex. näringsfrihet) eller uppfylla ett legitimt allmänintresse. Rättsgrund i EU- eller nationell lag stärker legitimiteten.
4. Väger intresset tyngre än de registrerades rättigheter och friheter?
Personuppgiftsansvarigs eller tredje parts intresse:
- Vilket intresse föreligger?
→ Svar: Rätten att erbjuda coaching och stödja sysselsättning. - Vilken nytta ger behandlingen?
→ Svar: Möjliggör eller förenklar genomförandet av tjänsten. - Vad händer om uppgifterna inte behandlas?
→ Svar: Tjänsten kan inte erbjudas eller blir svår att genomföra.
Effekt på den registrerade:
- Vilka typer av personuppgifter behandlas?
→ Svar: Namn, personuppgifter, kontaktuppgifter (e-post, telefon, ev. adress om ingen e-post finns). - Hur samlas och behandlas uppgifterna?
→ Svar: Uppgifterna lämnas av den registrerade eller överförs av TE-tjänsten eller kommunförsöket. - Hur påverkar behandlingen individen?
→ Svar: Möjliggör att individens sysselsättningsplan genomförs och social trygghet säkerställs. Behandling är nödvändig. - Behandlas känsliga uppgifter?
→ Svar: Nej. - Kan den registrerade förvänta sig denna behandling?
→ Svar: Ja. Det är i deltagarens intresse att uppgifterna behandlas så att tjänsten kan erbjudas och TE-tjänsten informeras. - Skulle den registrerade sannolikt invända?
→ Svar: Nej. - Ställning mellan personuppgiftsansvarig och registrerad:
→ Svar: SunUra erbjuder coachningstjänster som kunden kan anvisas till av en myndighet. SunUra har inte självständig rätt att ålägga deltagande. - Behandlas barns uppgifter?
→ Svar: Nej. - Är den registrerade i en utsatt position?
→ Svar: Nej.
Identifierade risker och skyddsåtgärder
Exempel på risker:
- Användning av osäkra system → åtgärdat genom att säkra system används.
- Tjänsteanvisning kan överraska deltagaren → tillhör TE-tjänstens informationsansvar.
5. Säkerställ ytterligare skyddsåtgärder
Som nämnts ovan används skyddsåtgärder såsom säkra system och personalutbildning för att säkerställa både dataskydd och informationssäkerhet.
6. Bevisa laglighet och säkerställ öppenhet
Detta dokument dokumenterar balansprovet och ska sparas. SunUra agerar transparent och kan vid behov motivera för registrerade och myndigheter varför behandlingen bygger på berättigat intresse. De registrerade informeras om sin rätt att invända. Dokumentationen hålls uppdaterad och testet upprepas vid behov.