GDPR: Коли і як використовувати законний інтерес

Відповідно до GDPR (Загального регламенту захисту даних), обробка персональних даних може бути законною лише за наявності дійсних правових підстав. Регламент визначає шість основ для обробки:

- Згода суб’єкта даних.

- Виконання договору.

- Дотримання юридичного обов’язку.

- Захист життєво важливих інтересів.

- Виконання завдання в інтересах суспільства або здійснення офіційних повноважень.

- Законний інтерес контролера або третьої сторони.

Серед цих основ, законний інтерес є найбільш гнучкою, але й вимагає ретельного обґрунтування. Давайте розглянемо, що це таке, коли його можна використовувати та які кроки потрібно виконати.

Що таке "законний інтерес"? Згідно зі статтею 6(1)(f) GDPR, обробка персональних даних є законною, якщо:

"processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.".

Рекомендації Європейської Ради із Захисту Даних (EDPB)

У своїх Рекомендаціях щодо законних інтересів EDPB пояснює

1. Як і коли можна покладатися на законний інтерес. 
2. Як оцінити, задокументувати та повідомити про законний інтерес.
3. Як враховувати права суб’єктів даних при обробці на основі законних інтересів.

Як оцінити законний інтерес?

Оцінка законних інтересів (LIA) передбачає виконання трьох основних етапів:

1. Наявність законного інтересу: Інтерес повинен бути законним, чітко сформульованим і реальним, а не спекулятивним. Прикладом може бути забезпечення безпеки IT-систем чи запобігання шахрайству.
2. Необхідність обробки: Обробка має бути обґрунтовано необхідною для досягнення цього інтересу. Це означає, що мету не можна досягти менш нав’язливими методами.
3. Балансування інтересів: Потрібно враховувати вплив обробки на суб’єктів даних та забезпечити, щоб їхні права і свободи не переважали законного інтересу контролера. 

Як визначити законний інтерес?

Згідно з рекомендаціями, законний інтерес має відповідати наступним критеріям:

• Він не повинен суперечити законодавству ЄС чи національним законам. Інтерес має бути конкретним і зрозумілим. Інтерес має бути актуальним і стосуватися реальних обставин. 
• Приклади законних інтересів:
• Забезпечення IT-безпеки.
• Захист від шахрайства.
• Виявлення або запобігання злочинній діяльності.

Необхідність обробки.

Обробка є необхідною, якщо:

• Вона прямо пов’язана з досягненням мети.
• Немає менш нав’язливих альтернатив для досягнення того ж результату.

Приклад: Якщо компанія проводить таргетовану рекламу, необхідно обґрунтувати, чому персоналізація є обов’язковою для досягнення бізнес-цілей, а загальна реклама не є ефективною альтернативою.

Балансування інтересів 

Контролер зобов’язаний оцінити:

• Характер даних: Наприклад, чи залучаються дані чутливі дані або інші категорії даних?
• Контекст обробки: Який обсяг і масштаб обробки? Які відносини між контролером і суб’єктом даних?
• Очікування суб’єкта даних: Чи може суб’єкт даних розумно очікувати таку обробку?
• Можливий вплив: Як обробка вплине на права суб’єкта даних? Які заходи можуть зменшити негативний вплив?

Документація та прозорість

Контролер повинен забезпечити детальну документацію кожного етапу оцінки законного інтересу. Крім того, суб’єкти даних мають бути поінформовані через політику конфіденційності, яка включає:

• Опис законного інтересу.
• Результати балансування інтересів.
• Будь-які заходи, вжиті для зменшення впливу обробки.

Додаткові посилання на нормативні документи:

• GDPR, стаття 6: Правові основи для обробки даних.
• Рекомендації EDPB щодо прозорості: Додаткові рекомендації для контролерів.
• Керівництво WP29 щодо законних інтересів: Детальний огляд правових основ.

Висновок

Використання законного інтересу як правової підстави для обробки персональних даних є ефективним і гнучким інструментом для компаній, якщо воно належним чином обґрунтоване. Контролерам необхідно ретельно оцінювати законність, необхідність і баланс інтересів, забезпечуючи прозорість для суб’єктів даних.

Рекомендації для реалізації:

• Проведення оцінки LIA: Розробіть шаблон і регулярно оновлюйте процес оцінки, документуючи кожен етап.
• Прозорість: Інформуйте суб’єктів даних через політику конфіденційності та забезпечте простий доступ до інформації.
• Мінімізація ризиків: Впроваджуйте технічні та організаційні заходи для захисту даних.
• Регулярний перегляд: Оцінюйте обробку на основі законних інтересів, особливо якщо змінюються умови чи мета обробки.