GDPRに基づく正当な利益の意味を理解する

公開: 2021-08-18

一般データ保護規則(GDPR)ブログシリーズのデニスのキックオフ投稿参照されているように、EUで設立または運営されている組織は、個人データを処理するための法的根拠を持っている必要があります。 GDPRは、そのような処理のための6つの法的根拠を提供します。同意、正当な利益、契約、法的義務、重要な利益、および公的任務です。 新しい顧客やユーザーの獲得を検討しているほとんどの組織は、処理の許容される根拠として同意または正当な利益を求めます。 先週、プライバシースペシャリストのエリザベスから同意について聞いた 今週は「正当な利益」について見ていきます。 正当な利益についてはかなり混乱しているので、私たちはそれについてどのように考えているかを明確にして説明しようと思います!

言語
まず、正当な利益に関するGDPR第6条(1)(f)の関連する文言を見てみましょう

処理は、以下の少なくとも1つが適用される場合に限り、合法であるものとします。

(f)処理は、管理者または第三者が追求する正当な利益の目的のために必要です。ただし、そのような利益が、特に個人データの保護を必要とするデータ主体の利益または基本的な権利および自由によって上書きされる場合を除きます。ここで、データ主体は子です。

正当な利益を使用してさまざまな状況をカバーし、同意の必要性をなくすことができると考えたくなります。 しかし、このセクションの幅広い解釈は公然と推奨されていません。「GDPR第6条、特にアートに沿った制限のない例外。 6(f)GDPR(正当な利益の根拠)は避ける必要があります。」 2017年4月4日に採択されたeプライバシー規制の提案された規制(2002/58 / EC)に関する第29条データ保護作業部会の意見01/2017を参照してください

では、組織はどこに線を引くのでしょうか。

プレー中の正当な利益
まずは、正当な利益何であるかを考えてみましょう GDPRは、詐欺を防止するため、従業員とクライアントに関連する内部管理目的のため、ネットワークと情報のセキュリティを確保するため、および公安に対する犯罪行為や脅威の可能性を管轄当局に報告するための個人データの処理など、いくつかの例を提供します。 さらに、内部または外部のコーポレートガバナンスまたは関連する法令遵守要件を満たすために必要なデータ処理は、正当な利益と見なされる可能性があります。

おそらくあまり明白ではない例ですが、GDPRのリサイタル47は、正当な利益として「ダイレクトマーケティング目的での個人データの処理」を指摘しています。 ここで遭遇する一般的な誤解は、この言語がすべてのマーケティング、さらにはソフトオプトインを正当化するというものです。 これが当てはまらない理由をよりよく理解するには、最初にこの文言何を言っていないかを検討することが役立ちます。これは、すべての電子メールマーケティングまたはダイレクトマーケティング資料のすべての送信が許可されているということではありません。

次に、GDPRは真空状態では機能しないことを覚えておくことが重要です。 ダイレクトマーケティングの目的で、組織とマーケターは、GDPRがプライバシーおよび電子通信指令(eプライバシー指令)どのように連携するかを覚えておく必要があります。これは、電話、ファックス、電子メール、SMS、およびその他の電子通信チャネルを介して送信されるマーケティングの補足的な同意ルールを提供します。 、および現在更新中です。 現在のeプライバシー指令では、(i)販売時点で収集が行われ、(ii)その時点でオプトアウトオプションが提供されていない限り、電子メールおよびSMSマーケティングのオプトイン同意が必要です。 したがって、一部の第1レベルのマーケターは、販売とオプトアウトに基づくダイレクトマーケティングの合法的な基盤を持っていますが(現時点では)、他のすべての場合、マーケターは、 GDPR。

正当な利益を構成するものは、関連機関によるより多くのガイダンスと決定、および今後の修正されたeプライバシー指令の発行により、時間の経過とともに明らかになります。 当面は、正当な利益に基づく処理の原則を順守するためのフレームワークとして、これらの例と以下で説明するGDPRによって確立されたパラメーターを使用します。

正当な利益の落とし穴を回避する
正当な利益が本当に存在することを確信して確立するために、組織は、特定の処理の必要性と、処理の利益とデータ主体の権利とのバランスをとった後の結論の両方を分析および文書化する必要あります。 これは、正当な利息評価(「LIA」)と呼ばれることもあります。 処理の必要性については、個人データを処理せずに同じ目的を達成できるか、という習慣を身につけることをお勧めします。 答えが「はい」の場合、ベストプラクティスは、処理の基礎としての正当な利益から離れて同意を取得することです。

答えが「いいえ」の場合、他の方法では目的を達成できません。次の良いステップは、データ主体の利益または権利よりも処理の必要性が重要かどうかを尋ねることです。 この質問に答えるとき、データ主体は処理の基礎として正当な利益に異議を唱える権利を持っていることを覚えておくことが重要です。この異議は、処理組織によって設定された「やむを得ない」理由によってのみ克服できます。

これらの制約を考慮して、処理の基礎として正当な利益に依存する場合は、必要性の書面による記録を保持し、結論のバランスをとるためのプロセスを実施することをお勧めします。 これは、データ主体が子である場合に特に重要です。 そして、一般的な慣行として、それは正当な利益の落とし穴を回避するのに役立ち、処理の必要性とデータが処理されている個人の権利と自由に適切な考慮が払われたことを示します。

通知に関する注記
組織がGDPRを処理するための基礎として正当な利益に依存している場合、組織は、データが収集されている個人に正当な利益が何であるか、および彼らが異議を唱える権利を持っていることを知らせる必要があります。 これは、データ収集の時点で、または異議申し立ての通知の場合は、個人の権利を扱うプライバシー通知のセクションで行うことができます。 GDPRとプライバシーに関連するすべてのものと同様に、これを行うための最善の方法は、処理アクティビティについて率直かつ透明性を保つことです。