Memahami Kepentingan yang Sah Berdasarkan GDPR

Seperti yang dirujuk dalam postingan awal Dennis untuk seri blog Peraturan Perlindungan Data Umum (GDPR) kami, organisasi yang didirikan atau beroperasi di UE harus memiliki dasar hukum untuk memproses data pribadi. GDPR menyediakan enam dasar hukum untuk pemrosesan tersebut: persetujuan, kepentingan sah, kontrak, kewajiban hukum, kepentingan vital, dan tugas publik. Sebagian besar organisasi yang ingin memperoleh pelanggan atau pengguna baru akan melihat persetujuan atau kepentingan yang sah sebagai dasar pemrosesan yang diizinkan. Minggu lalu kami mendengar dari Elizabeth, Pakar Privasi kami, tentang persetujuan . Minggu ini kita akan melihat “kepentingan yang sah”. Ada sedikit kebingungan seputar Kepentingan yang Sah, jadi kami akan mencoba mengklarifikasi dan memberi tahu Anda bagaimana kami memikirkannya!

Bahasa
Pertama, mari kita lihat bahasa yang relevan dari GDPR Pasal 6 (1)(f) tentang kepentingan yang sah:

Pemrosesan akan sah hanya jika dan sejauh setidaknya salah satu dari yang berikut ini berlaku:

(f) pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengontrol atau oleh pihak ketiga, kecuali jika kepentingan tersebut dikesampingkan oleh kepentingan atau hak dasar dan kebebasan subjek data yang memerlukan perlindungan data pribadi, khususnya dimana subjek datanya adalah seorang anak.

Sangat menggoda untuk berpikir bahwa kepentingan yang sah dapat digunakan untuk mencakup beragam keadaan, meniadakan kebutuhan akan persetujuan. Tetapi interpretasi luas dari bagian ini telah secara terbuka tidak disarankan: “pengecualian terbuka di sepanjang baris Pasal 6 GDPR, dan khususnya Art. 6(f) GDPR (landasan kepentingan yang sah), harus dihindari.” Lihat Pasal 29 Data Protection Working Party, Opini 01/2017 tentang Usulan Peraturan untuk Peraturan ePrivacy (2002/58/EC), diadopsi 4 April 2017.

Jadi di mana organisasi menarik garis?

Minat yang sah untuk bermain
Pertama, mari kita pertimbangkan apa itu kepentingan yang sah. GDPR memberikan beberapa contoh seperti memproses data pribadi untuk mencegah penipuan, untuk tujuan administratif internal yang berkaitan dengan karyawan dan klien, untuk memastikan keamanan jaringan dan informasi, dan untuk melaporkan kemungkinan tindakan kriminal atau ancaman terhadap keamanan publik kepada otoritas yang kompeten. Selain itu, pemrosesan data yang diperlukan untuk memenuhi tata kelola perusahaan internal atau eksternal atau persyaratan kepatuhan hukum terkait kemungkinan akan dianggap sebagai kepentingan yang sah.

Mungkin contoh yang kurang jelas, Recital 47 dari GDPR menunjuk pada “pemrosesan data pribadi untuk tujuan pemasaran langsung” sebagai kepentingan yang sah. Kesalahpahaman umum yang kami temui di sini adalah bahwa bahasa ini membenarkan semua pemasaran dan bahkan keikutsertaan lunak. Untuk lebih memahami mengapa hal ini tidak terjadi, ada baiknya terlebih dahulu untuk mempertimbangkan apa yang tidak dikatakan oleh kata - kata ini : ini tidak berarti bahwa semua pemasaran email atau semua pengiriman materi pemasaran langsung diizinkan.

Kedua, penting untuk diingat bahwa GDPR tidak beroperasi dalam ruang hampa. Untuk tujuan pemasaran langsung, organisasi dan pemasar harus mengingat cara kerja GDPR dengan Pedoman Komunikasi Privasi dan Elektronik (Petunjuk ePrivasi), yang memberikan aturan persetujuan tambahan untuk pemasaran yang dikirim melalui telepon, faks, email, SMS, dan saluran komunikasi elektronik lainnya , dan yang saat ini sedang dalam proses pembaruan. Berdasarkan ePrivacy Directive saat ini, persetujuan keikutsertaan untuk pemasaran email dan SMS diperlukan kecuali (i) pengumpulan terjadi pada titik penjualan dan (ii) opsi penyisihan diberikan pada saat itu. Jadi, sementara beberapa pemasar tingkat pertama memiliki dasar yang sah untuk pemasaran langsung berdasarkan penjualan dan pilihan keluar (untuk saat ini), dalam semua kasus lain pemasar harus mematuhi persyaratan persetujuan keikutsertaan, terlepas dari apakah mereka memiliki kepentingan yang sah berdasarkan GDPR.

Apa yang merupakan kepentingan yang sah akan menjadi lebih jelas dari waktu ke waktu dengan lebih banyak panduan dan keputusan oleh badan-badan terkait, dan dengan publikasi Arahan ePrivasi yang akan datang yang telah diubah. Sementara itu, kami menggunakan contoh ini dan parameter yang ditetapkan oleh GDPR yang dibahas di bawah, sebagai kerangka kerja untuk mematuhi prinsip pemrosesan berdasarkan kepentingan yang sah.

Menghindari perangkap kepentingan yang sah
Untuk menetapkan dengan keyakinan bahwa kepentingan yang sah benar-benar ada, organisasi harus menganalisis dan mendokumentasikan baik kebutuhan pemrosesan tertentu maupun kesimpulannya setelah menyeimbangkan kepentingan pemrosesan dengan hak-hak subjek data. Ini disebut oleh beberapa orang sebagai Penilaian Kepentingan yang Sah (“LIA”). Mengenai perlunya pemrosesan, kami menyarankan untuk membiasakan diri bertanya: dapatkah tujuan yang sama dicapai tanpa memproses data pribadi? Jika jawabannya “ya” maka praktik terbaik adalah menjauh dari kepentingan yang sah sebagai dasar untuk memproses dan mendapatkan persetujuan.

Jika jawabannya “tidak”, tujuannya tidak dapat dicapai dengan cara lain, langkah selanjutnya yang baik adalah bertanya: apakah kebutuhan pemrosesan lebih besar daripada kepentingan atau hak subjek data? Saat menjawab pertanyaan ini, penting untuk diingat bahwa subjek data memiliki hak untuk menolak kepentingan yang sah sebagai dasar pemrosesan, yang keberatannya hanya dapat diatasi dengan alasan “memaksa” yang ditetapkan oleh organisasi pemroses.

Mengingat kendala ini, ketika mengandalkan kepentingan yang sah sebagai dasar pemrosesan, kami merekomendasikan untuk memiliki proses untuk menyimpan catatan tertulis tentang kebutuhan dan menyeimbangkan kesimpulan. Ini sangat penting di mana subjek datanya adalah anak-anak. Dan sebagai praktik umum, ini akan membantu menghindari jebakan kepentingan yang sah dan menunjukkan pertimbangan yang tepat diberikan untuk kebutuhan pemrosesan dan hak serta kebebasan individu yang datanya sedang diproses.

Catatan pada pemberitahuan
Jika organisasi bergantung pada kepentingan yang sah sebagai dasar untuk memproses GDPR, organisasi tersebut harus memberi tahu individu yang datanya dikumpulkan tentang kepentingan sah dan bahwa mereka memiliki hak untuk menolak. Hal ini dapat dilakukan pada saat pengumpulan data atau, dalam hal pemberitahuan keberatan, pada bagian pemberitahuan privasi yang berhubungan dengan hak individu. Seperti semua hal terkait GDPR dan privasi, cara terbaik untuk melakukannya adalah dengan terbuka dan transparan tentang aktivitas pemrosesan Anda.