ทำความเข้าใจผลประโยชน์โดยชอบด้วยกฎหมายภายใต้ GDPR

ตามที่อ้างถึงใน โพสต์เริ่มต้น ของ Dennis สำหรับซีรี่ส์บล็อกเรื่อง General Data Protection Regulation (GDPR) องค์กรที่ก่อตั้งหรือดำเนินงานในสหภาพยุโรปต้องมีพื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล GDPR จัดให้มีฐานทางกฎหมายหกประการสำหรับการประมวลผลดังกล่าว: ความยินยอม ผลประโยชน์ที่ชอบด้วยกฎหมาย สัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์ที่สำคัญ และงานสาธารณะ องค์กรส่วนใหญ่ที่ต้องการหาลูกค้าหรือผู้ใช้ใหม่จะมองหาความยินยอมหรือผลประโยชน์โดยชอบด้วยกฎหมายเป็นพื้นฐานที่อนุญาตสำหรับการประมวลผล สัปดาห์ที่แล้วเราได้ยินมาจากลิซาเบ ธ , ผู้เชี่ยวชาญด้านความเป็นส่วนตัวของเราเกี่ยวกับการได้รับความยินยอม สัปดาห์นี้เราจะดูที่ "ผลประโยชน์ที่ชอบด้วยกฎหมาย" มีความสับสนเล็กน้อยเกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมาย ดังนั้นเราจะพยายามชี้แจงและบอกคุณว่าเราคิดอย่างไรเกี่ยวกับเรื่องนี้

ภาษา
อันดับแรก มาดูภาษาที่เกี่ยวข้องของ GDPR Article 6 (1)(f) เกี่ยวกับผลประโยชน์ที่ชอบด้วยกฎหมาย:

การประมวลผลจะชอบด้วยกฎหมายก็ต่อเมื่อและในขอบเขตที่มีผลบังคับอย่างน้อยหนึ่งข้อต่อไปนี้:

(f) การประมวลผลจำเป็นสำหรับวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายซึ่งดำเนินการโดยผู้ควบคุมหรือบุคคลที่สาม ยกเว้นในกรณีที่ผลประโยชน์ดังกล่าวถูกแทนที่ด้วยผลประโยชน์หรือสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลที่ต้องการการปกป้องข้อมูลส่วนบุคคล โดยเฉพาะ โดยที่เจ้าของข้อมูลเป็นเด็ก

เป็นเรื่องน่าดึงดูดที่จะคิดว่าผลประโยชน์ที่ชอบด้วยกฎหมายสามารถนำมาใช้เพื่อครอบคลุมสถานการณ์ต่างๆ ได้ โดยไม่จำเป็นต้องได้รับความยินยอม แต่การตีความในวงกว้างของหัวข้อนี้ได้รับการกีดกันอย่างเปิดเผย: “ข้อยกเว้นปลายเปิดตามมาตรา 6 GDPR และโดยเฉพาะอย่างยิ่งศิลปะ 6(f) GDPR (ผลประโยชน์โดยชอบด้วยกฎหมาย) ควรหลีกเลี่ยง” ดู มาตราที่ 29 คณะทำงานด้านการคุ้มครองข้อมูล ความคิดเห็นที่ 01/2017 เกี่ยวกับระเบียบที่เสนอสำหรับกฎระเบียบ ePrivacy (2002/58/EC) ที่นำมาใช้เมื่อวันที่ 4 เมษายน 2017

แล้วองค์กรต่างๆ จะวาดเส้นไหน?

ผลประโยชน์ที่ชอบด้วยกฎหมายในการเล่น
อันดับแรก ให้พิจารณาว่าอะไร คือ ผลประโยชน์ที่ชอบด้วยกฎหมาย GDPR ให้ตัวอย่างบางอย่าง เช่น การประมวลผลข้อมูลส่วนบุคคลเพื่อป้องกันการฉ้อโกง เพื่อวัตถุประสงค์ในการบริหารภายในที่เกี่ยวข้องกับพนักงานและลูกค้า เพื่อรับรองความปลอดภัยของเครือข่ายและข้อมูล และเพื่อรายงานการกระทำทางอาญาที่อาจเกิดขึ้นหรือภัยคุกคามต่อความปลอดภัยสาธารณะต่อหน่วยงานที่มีอำนาจ นอกจากนี้ การประมวลผลข้อมูลที่จำเป็นเพื่อให้เป็นไปตามธรรมาภิบาลภายในหรือภายนอก หรือข้อกำหนดการปฏิบัติตามกฎหมายที่เกี่ยวข้อง ถือว่าเป็นประโยชน์โดยชอบด้วยกฎหมาย

บางทีอาจเป็นตัวอย่างที่ชัดเจนน้อยกว่า Recital 47 ของ GDPR ชี้ไปที่ "การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดทางตรง" ว่าเป็นผลประโยชน์ที่ชอบด้วยกฎหมาย ความเข้าใจผิดทั่วไปที่เราพบในที่นี้คือภาษานี้ปรับการตลาดทั้งหมดและแม้แต่การเลือกใช้ที่ไม่สุภาพ เพื่อให้เข้าใจมากขึ้นว่าเหตุใดจึงไม่เป็นเช่นนั้น อันดับแรกให้พิจารณาว่าถ้อยคำนี้ ไม่ได้ พูดว่าอะไร: ไม่ได้หมายความว่าอนุญาตให้ทำการตลาดผ่านอีเมลทั้งหมดหรือส่งสื่อการตลาดทางตรงทั้งหมดได้

ประการที่สอง สิ่งสำคัญคือต้องจำไว้ว่า GDPR ไม่ทำงานในสุญญากาศ สำหรับวัตถุประสงค์ของการตลาดแบบตรง องค์กรและนักการตลาดต้องคำนึงถึงวิธีที่ GDPR ทำงานร่วมกับ Privacy and Electronic Communication Directive (ePrivacy Directive) ซึ่งมีกฎความยินยอมเพิ่มเติมสำหรับการตลาดที่ส่งทางโทรศัพท์ โทรสาร อีเมล SMS และช่องทางการสื่อสารอิเล็กทรอนิกส์อื่นๆ และอยู่ในระหว่างการปรับปรุง ภายใต้ข้อกำหนด ePrivacy ในปัจจุบัน จำเป็นต้องได้รับความยินยอมในการเลือกรับอีเมลและการตลาดทาง SMS เว้นแต่ (i) การรวบรวมเกิดขึ้นที่จุดขายและ (ii) มีตัวเลือกการเลือกไม่ใช้ที่จุดนั้น ดังนั้นในขณะที่นักการตลาดระดับแรกบางคนมีพื้นฐานทางกฎหมายสำหรับการตลาดทางตรงโดยพิจารณาจากการขายและการเลือกไม่รับ (สำหรับตอนนี้) ในกรณีอื่นๆ ทั้งหมด นักการตลาดจะต้องปฏิบัติตามข้อกำหนดความยินยอมในการเลือกรับ ไม่ว่าพวกเขาจะมีส่วนได้เสียโดยชอบด้วยกฎหมายภายใต้ จีดีพีอาร์

สิ่งที่ก่อให้เกิดประโยชน์โดยชอบด้วยกฎหมายจะมีความชัดเจนมากขึ้นเมื่อเวลาผ่านไปด้วยคำแนะนำและการตัดสินใจที่มากขึ้นโดยหน่วยงานที่เกี่ยวข้อง และด้วยการเผยแพร่คำสั่ง ePrivacy Directive ที่แก้ไขเพิ่มเติม ในระหว่างนี้ เรากำลังใช้ตัวอย่างเหล่านี้และพารามิเตอร์ที่กำหนดโดย GDPR ที่กล่าวถึงด้านล่าง เป็นกรอบการทำงานสำหรับการปฏิบัติตามหลักการประมวลผลบนพื้นฐานของผลประโยชน์ที่ชอบด้วยกฎหมาย

หลีกเลี่ยงข้อผิดพลาดด้านผลประโยชน์ที่ชอบด้วยกฎหมาย
เพื่อสร้างความมั่นใจว่าผลประโยชน์ที่ชอบด้วยกฎหมายมีอยู่จริง องค์กรควรวิเคราะห์และจัดทำเอกสารทั้ง ความจำเป็น ของการประมวลผลเฉพาะและข้อสรุปหลังจาก สร้างสมดุลระหว่างผลประโยชน์ ของการประมวลผลกับสิทธิ์ของเจ้าของข้อมูล บางคนเรียกสิ่งนี้ว่าการ ประเมินผลประโยชน์ โดยชอบด้วย กฎหมาย (“LIA”) สำหรับความจำเป็นของการประมวลผล เราขอแนะนำให้สร้างนิสัยในการถาม: สามารถบรรลุวัตถุประสงค์เดียวกันโดยไม่ประมวลผลข้อมูลส่วนบุคคลได้หรือไม่ หากคำตอบคือ "ใช่" แนวทางปฏิบัติที่ดีที่สุดคือละทิ้งผลประโยชน์ที่ชอบด้วยกฎหมายเพื่อเป็นพื้นฐานในการประมวลผลและขอรับความยินยอม

หากคำตอบคือ "ไม่" เป้าหมายอื่นไม่สามารถทำได้ ขั้นตอนต่อไปที่ดีคือการถามว่า: ความจำเป็นในการประมวลผลเกินดุลโดยผลประโยชน์หรือสิทธิ์ของเจ้าของข้อมูลหรือไม่ เมื่อตอบคำถามนี้ สิ่งสำคัญคือต้องจำไว้ว่าเจ้าของข้อมูลมีสิทธิ์คัดค้านผลประโยชน์ที่ชอบด้วยกฎหมายเพื่อเป็นพื้นฐานในการประมวลผล ซึ่งการคัดค้านสามารถเอาชนะได้ด้วยเหตุผลที่ "น่าสนใจ" ที่กำหนดโดยองค์กรที่ดำเนินการประมวลผลเท่านั้น

ด้วยข้อจำกัดเหล่านี้ เมื่ออาศัยผลประโยชน์ที่ชอบด้วยกฎหมายเป็นพื้นฐานสำหรับการประมวลผล เราแนะนำให้มีกระบวนการในสถานที่เพื่อเก็บบันทึกเป็นลายลักษณ์อักษรเกี่ยวกับความจำเป็นและข้อสรุปที่สมดุล นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อเจ้าของข้อมูลเป็นเด็ก และตามหลักปฏิบัติทั่วไป วิธีนี้จะช่วยหลีกเลี่ยงข้อผิดพลาดด้านผลประโยชน์ที่ชอบด้วยกฎหมาย และแสดงให้เห็นถึงการพิจารณาอย่างเหมาะสมเกี่ยวกับความจำเป็นในการประมวลผล ตลอดจนสิทธิ์และเสรีภาพของบุคคลที่มีการประมวลผลข้อมูล

ข้อสังเกต
หากองค์กรอาศัยผลประโยชน์โดยชอบด้วยกฎหมายเป็นพื้นฐานในการประมวลผล GDPR องค์กรจำเป็นต้องให้บุคคลที่มีการรวบรวมข้อมูลรู้ว่าผลประโยชน์ที่ชอบด้วยกฎหมายคืออะไรและพวกเขามีสิทธิ์คัดค้าน สามารถทำได้ ณ จุดรวบรวมข้อมูล หรือในกรณีของการแจ้งคัดค้าน ในส่วนของประกาศความเป็นส่วนตัวที่เกี่ยวข้องกับสิทธิส่วนบุคคล เช่นเดียวกับทุกสิ่งที่เกี่ยวข้องกับ GDPR และความเป็นส่วนตัว วิธีที่ดีที่สุดในการทำเช่นนี้คือการให้ข้อมูลอย่างตรงไปตรงมาและโปร่งใสเกี่ยวกับกิจกรรมการประมวลผลของคุณ