جعل الشعور بالمصلحة المشروعة بموجب اللائحة العامة لحماية البيانات (GDPR)

كما المشار إليها في دينيس 'انطلاق آخر لدينا حماية البيانات من اللائحة العامة (GDPR) سلسلة بلوق والمنظمات المؤسسة أو العاملة في الاتحاد الأوروبي يجب أن يكون لها أساس قانوني لمعالجة البيانات الشخصية. ينص القانون العام لحماية البيانات (GDPR) على ستة أسس قانونية لهذه المعالجة: الموافقة ، والمصلحة المشروعة ، والعقد ، والالتزام القانوني ، والمصالح الحيوية ، والمهام العامة. ستنظر معظم المؤسسات التي تتطلع إلى اكتساب عملاء أو مستخدمين جدد إلى الموافقة أو المصلحة المشروعة كأساس مسموح به للمعالجة. في الأسبوع الماضي سمعنا من إليزابيث ، أخصائية الخصوصية لدينا ، عن الموافقة . هذا الأسبوع سوف ننظر في "المصلحة المشروعة". كان هناك قدر كبير من الالتباس حول "المصلحة المشروعة" ، لذلك سنحاول توضيح وإخبارك كيف نفكر في الأمر!

اللغة
أولاً ، دعنا نلقي نظرة على اللغة ذات الصلة للمادة 6 (1) (و) من اللائحة العامة لحماية البيانات بشأن المصلحة المشروعة:

يجب أن تكون المعالجة قانونية فقط في حالة وإلى المدى الذي ينطبق فيه واحد على الأقل مما يلي:

(و) المعالجة ضرورية لأغراض المصالح المشروعة التي يتبعها المتحكم أو طرف ثالث ، باستثناء الحالات التي يتم فيها تجاوز هذه المصالح من خلال المصالح أو الحقوق والحريات الأساسية لموضوع البيانات التي تتطلب حماية البيانات الشخصية ، على وجه الخصوص حيث يكون موضوع البيانات طفلًا.

من المغري التفكير في أنه يمكن استخدام المصلحة المشروعة لتغطية مجموعة واسعة من الظروف ، وتجنب الحاجة إلى الموافقة. لكن التفسيرات الواسعة لهذا القسم تم تثبيطها علنًا: "الاستثناءات المفتوحة على غرار المادة 6 من اللائحة العامة لحماية البيانات ، ولا سيما الفن. 6 (و) ينبغي تجنب الناتج المحلي الإجمالي (أساس المصلحة المشروعة). " راجع المادة 29 مجموعة عمل حماية البيانات ، الرأي 01/2017 بشأن اللائحة المقترحة للائحة الخصوصية الإلكترونية (2002/58 / EC) ، المعتمدة في 4 أبريل 2017.

إذن ، أين ترسم المنظمات الخط؟

المصلحة المشروعة في اللعب
أولا، دعونا النظر في ما هو مصلحة مشروعة. توفر اللائحة العامة لحماية البيانات بعض الأمثلة مثل معالجة البيانات الشخصية لمنع الاحتيال ، ولأغراض إدارية داخلية تتعلق بالموظفين والعملاء ، ولضمان أمن الشبكة والمعلومات ، ولإبلاغ سلطة مختصة عن الأعمال الإجرامية المحتملة أو التهديدات للأمن العام. بالإضافة إلى ذلك ، فإن معالجة البيانات الضرورية للوفاء بحوكمة الشركات الداخلية أو الخارجية أو متطلبات الامتثال القانوني ذات الصلة من المرجح أن تعتبر مصلحة مشروعة.

ربما يكون المثال الأقل وضوحًا ، حيث يشير Recital 47 من اللائحة العامة لحماية البيانات إلى "معالجة البيانات الشخصية لأغراض التسويق المباشر" باعتبارها مصلحة مشروعة. سوء الفهم الشائع الذي واجهناه هنا هو أن هذه اللغة تبرر كل عمليات التسويق وحتى الاشتراكات الخفيفة. لفهم سبب عدم حدوث ذلك بشكل أفضل ، من المفيد أولاً التفكير في ما لا تقوله هذه الصياغة : هذا لا يعني أن جميع عمليات التسويق عبر البريد الإلكتروني أو جميع عمليات إرسال مواد التسويق المباشر مسموح بها.

ثانيًا ، من المهم أن نتذكر أن اللائحة العامة لحماية البيانات لا تعمل في فراغ. لأغراض التسويق المباشر ، يجب على المؤسسات والمسوقين أن يضعوا في اعتبارهم كيفية عمل اللائحة العامة لحماية البيانات مع توجيه الخصوصية والاتصال الإلكتروني ( توجيه الخصوصية الإلكترونية ) ، والذي يوفر قواعد موافقة تكميلية للتسويق المُرسَل عبر الهاتف والفاكس والبريد الإلكتروني والرسائل القصيرة وقنوات الاتصال الإلكترونية الأخرى ، والتي هي قيد التحديث حاليًا. بموجب التوجيه الحالي بشأن الخصوصية الإلكترونية ، يلزم الحصول على موافقة على الاشتراك في التسويق عبر البريد الإلكتروني والرسائل النصية القصيرة ما لم (1) حدث الجمع في نقطة البيع و (2) تم تقديم خيار إلغاء الاشتراك في تلك المرحلة. لذلك ، في حين أن بعض المسوقين من المستوى الأول لديهم أساس قانوني للتسويق المباشر على أساس البيع وإلغاء الاشتراك (في الوقت الحالي) ، في جميع الحالات الأخرى ، يجب على المسوقين الامتثال لمتطلبات الموافقة على الاشتراك ، بغض النظر عما إذا كان لديهم مصلحة مشروعة بموجب اللائحة العامة لحماية البيانات.

سيصبح ما يشكل مصلحة مشروعة أكثر وضوحًا بمرور الوقت مع المزيد من الإرشادات والقرارات من قبل الهيئات ذات الصلة ، ومع نشر التوجيه المعدل بشأن الخصوصية الإلكترونية المعدل. في غضون ذلك ، نستخدم هذه الأمثلة والمعلمات التي أنشأتها اللائحة العامة لحماية البيانات التي تمت مناقشتها أدناه ، كإطار عمل للالتزام بمبادئ المعالجة على أساس المصلحة المشروعة.

تجنب مزالق المصلحة المشروعة
للتثبت بثقة من وجود مصلحة مشروعة حقًا ، يجب على المؤسسات تحليل وتوثيق كل من ضرورة المعالجة الخاصة واستنتاجاتها بعد موازنة مصلحة المعالجة مع حقوق موضوعات البيانات. يشار إلى هذا من قبل البعض على أنه تقييم المصلحة المشروعة (“LIA”). فيما يتعلق بضرورة المعالجة ، نقترح التعود على السؤال: هل يمكن تحقيق نفس الهدف دون معالجة البيانات الشخصية؟ إذا كانت الإجابة "نعم" ، فإن أفضل ممارسة هي الابتعاد عن المصلحة المشروعة كأساس للمعالجة والحصول على الموافقة.

إذا كانت الإجابة "لا" ، فلا يمكن تحقيق الهدف بطريقة أخرى ، فالخطوة التالية الجيدة هي السؤال: هل الحاجة إلى المعالجة تفوقها مصالح أو حقوق الأشخاص المعنيين بالبيانات؟ عند الإجابة على هذا السؤال ، من المهم أن تتذكر أن الأشخاص موضوع البيانات لديهم الحق في الاعتراض على المصلحة المشروعة كأساس للمعالجة ، ولا يمكن التغلب على الاعتراض إلا لأسباب "مقنعة" تحددها منظمة المعالجة.

بالنظر إلى هذه القيود ، عند الاعتماد على المصلحة المشروعة كأساس للمعالجة ، نوصي بوضع عملية للاحتفاظ بسجل مكتوب للضرورة وتحقيق التوازن بين الاستنتاجات. هذا مهم بشكل خاص عندما يكون موضوع البيانات طفلًا. وكممارسة عامة ، ستساعد في تجنب مخاطر المصالح المشروعة وإثبات أنه تم إيلاء الاعتبار المناسب للحاجة إلى المعالجة وحقوق وحريات الأفراد الذين تتم معالجة بياناتهم.

ملاحظة على الإشعار
إذا كانت إحدى المؤسسات تعتمد على المصلحة المشروعة كأساس لمعالجة اللائحة العامة لحماية البيانات (GDPR) ، فمن الضروري أن تسمح المنظمة للأفراد الذين يتم جمع بياناتهم بمعرفة المصالح المشروعة وأن لديهم الحق في الاعتراض. يمكن القيام بذلك عند نقطة جمع البيانات أو ، في حالة إشعار الاعتراض ، في قسم إشعار الخصوصية الذي يتعامل مع حقوق الأفراد. كما هو الحال مع كل ما يتعلق باللائحة العامة لحماية البيانات (GDPR) والخصوصية ، فإن أفضل طريقة للقيام بذلك هي أن تكون صريحًا وشفافًا بشأن أنشطة المعالجة الخاصة بك.