Осознание законного интереса в соответствии с GDPR

Как указано в стартовом посте Денниса для нашей серии блогов Общего регламента защиты данных (GDPR), организации, созданные или действующие в ЕС, должны иметь правовую основу для обработки персональных данных. GDPR предусматривает шесть юридических оснований для такой обработки: согласие, законный интерес, договор, юридическое обязательство, жизненно важные интересы и общественные задачи. Большинство организаций, стремящихся привлечь новых клиентов или пользователей, будут рассматривать согласие или законный интерес как допустимую основу для обработки. На прошлой неделе мы узнали о согласии от нашего специалиста по конфиденциальности Элизабет . На этой неделе мы рассмотрим «законный интерес». В отношении законного интереса возникла некоторая путаница, поэтому мы постараемся прояснить и рассказать вам, как мы думаем об этом!

Язык
Во-первых, давайте посмотрим на соответствующую формулировку статьи 6 (1) (f) GDPR о законных интересах:

Обработка является законной только в том случае и в той степени, в которой применяется хотя бы одно из следующего:

(f) обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности где субъектом данных является ребенок.

Заманчиво думать, что законный интерес можно использовать для покрытия широкого круга обстоятельств, устраняя необходимость в согласии. Но широкое толкование этого раздела открыто не поощряется: «бессрочные исключения в соответствии со статьей 6 GDPR и, в частности, со статьей. 6 (f) GDPR (законный интерес), следует избегать ». См. Статью 29 Рабочей группы по защите данных, Мнение 01/2017 о предлагаемом регламенте для Регламента электронной конфиденциальности (2002/58 / EC), принятое 4 апреля 2017 года.

Так где же организации проводят черту?

Законный интерес в игре
Во-первых, давайте рассмотрим, что такое законный интерес. GDPR предоставляет несколько примеров, таких как обработка персональных данных для предотвращения мошенничества, для внутренних административных целей, касающихся сотрудников и клиентов, для обеспечения сетевой и информационной безопасности, а также для сообщения компетентным органам о возможных преступных действиях или угрозах общественной безопасности. Кроме того, обработка данных, необходимая для выполнения требований внутреннего или внешнего корпоративного управления или соответствующих требований законодательства, может считаться законным интересом.

Возможно, менее очевидный пример. В Декларации 47 GDPR указывается на «обработку персональных данных в целях прямого маркетинга» как на законный интерес. Распространенное заблуждение, с которым мы столкнулись, заключается в том, что этот язык оправдывает весь маркетинг и даже мягкие подписки. Чтобы лучше понять, почему это не так, полезно сначала подумать о том, чего не говорится в этой формулировке : это не означает, что разрешен весь электронный маркетинг или всякая отправка материалов прямого маркетинга.

Во-вторых, важно помнить, что GDPR работает не в вакууме. В целях прямого маркетинга организации и маркетологи должны учитывать, как GDPR работает с Директивой о конфиденциальности и электронных коммуникациях (Директива о конфиденциальности ), которая предусматривает дополнительные правила согласия для маркетинга, отправляемого по телефону, факсу, электронной почте, SMS и другим каналам электронной связи. , и который в настоящее время находится в процессе обновления. Согласно действующей Директиве о конфиденциальности, согласие на участие в маркетинге по электронной почте и SMS требуется, за исключением случаев, когда (i) сбор произошел в точке продажи и (ii) на этом этапе не была предоставлена ​​возможность отказа. Таким образом, хотя у некоторых маркетологов первого уровня есть законное основание для прямого маркетинга, основанного на продаже и отказе (на данный момент), во всех других случаях маркетологи должны соблюдать требования согласия на подписку, независимо от того, имеют ли они законный интерес в соответствии с GDPR.

Что представляет собой законный интерес, со временем станет яснее с появлением дополнительных указаний и решений со стороны соответствующих органов, а также с публикацией предстоящей измененной Директивы о конфиденциальности. Между тем, мы используем эти примеры и параметры, установленные GDPR, которые обсуждаются ниже, в качестве основы для соблюдения принципов обработки на основе законных интересов.

Как избежать ловушек законных интересов
Чтобы с уверенностью установить, что законный интерес действительно существует, организациям следует проанализировать и задокументировать как необходимость конкретной обработки, так и свой вывод после уравновешивания интересов обработки с правами субъектов данных. Некоторые называют это оценкой законного интереса («LIA»). Что касается необходимости обработки, мы предлагаем взять за правило спрашивать: можно ли достичь той же цели без обработки персональных данных? Если ответ «да», то лучше всего отойти от законного интереса как основы для обработки и получить согласие.

Если ответ «нет», цель не может быть достигнута иным способом, следующий хороший шаг - спросить: перевешивает ли необходимость обработки интересы или права субъектов данных? Отвечая на этот вопрос, важно помнить, что субъекты данных имеют право возражать против законного интереса в качестве основания для обработки, и это возражение может быть преодолено только при наличии «веских» причин, изложенных обрабатывающей организацией.

С учетом этих ограничений, полагаясь на законный интерес в качестве основы для обработки, мы рекомендуем иметь процесс для письменного учета необходимости и сбалансированных выводов. Это особенно важно, если субъектом данных является ребенок. И в качестве общей практики это поможет избежать ловушек законных интересов и продемонстрирует, что должное внимание было уделено необходимости обработки, а также правам и свободам лиц, данные которых обрабатываются.

Примечание к уведомлению
Если организация полагается на законный интерес в качестве основы для обработки GDPR, необходимо, чтобы организация сообщила лицам, чьи данные собираются, знали, каковы законные интересы и что они имеют право возражать. Это можно сделать в момент сбора данных или, в случае уведомления о возражении, в разделе уведомления о конфиденциальности, который касается прав физических лиц. Как и в случае со всем, что связано с GDPR и конфиденциальностью, лучший способ сделать это - заранее и прозрачно сообщать о своих действиях по обработке данных.