GDPR Kapsamında Meşru Menfaat Anlamak

Dennis'in vuruşunu Genel Veri Koruma Yönetmeliği (GDPR) blog serisi için yazı başvurulan gibi, örgütler kurulmuş veya AB'de faaliyet gösteren kişisel verilerin işlenmesi için yasal dayanak olması gerekir. GDPR, bu tür işleme için altı yasal dayanak sağlar: rıza, meşru menfaat, sözleşme, yasal yükümlülük, hayati menfaatler ve kamu görevleri. Yeni müşteriler veya kullanıcılar edinmek isteyen çoğu kuruluş, işleme için izin verilen temel olarak rızaya veya meşru menfaate bakacaktır. Geçen hafta rıza hakkında, Elizabeth bizim Gizlilik Uzmanı duydu. Bu hafta “meşru menfaat” konusuna bakacağız. Meşru Menfaat konusunda biraz kafa karışıklığı var, bu yüzden bunu nasıl düşündüğümüzü açıklığa kavuşturmaya ve size söylemeye çalışacağız!

Dil
Önce GDPR Madde 6 (1)(f)'nin meşru menfaatle ilgili diline bir göz atalım :

İşleme, yalnızca aşağıdakilerden en az birinin geçerli olduğu durumlarda ve ölçüde yasal olacaktır:

(f) özellikle kişisel verilerin korunmasını gerektiren veri sahibinin çıkarları veya temel hakları ve özgürlükleri tarafından bu tür menfaatlerin geçersiz kılındığı durumlar haricinde, kontrolör veya üçüncü bir şahıs tarafından izlenen meşru menfaatlerin amaçları için işlemenin gerekli olması; veri öznesi bir çocuk olduğunda.

Meşru menfaatin, rıza ihtiyacını ortadan kaldırarak çok çeşitli koşulları kapsamak için kullanılabileceğini düşünmek caziptir. Ancak bu bölümün geniş yorumlarından açıkça vazgeçilmiştir: “GDPR'nin 6. Maddesi ve özellikle Art. 6(f) GDPR (meşru çıkar zemini), kaçınılmalıdır.” Bkz. Madde 29 Veri Koruma Çalışma Grubu, 4 Nisan 2017'de kabul edilen eGizlilik Yönetmeliği (2002/58/EC) için Önerilen Düzenlemeye ilişkin Görüş 01/2017.

Peki organizasyonlar sınırı nerede çekiyor?

Oyunda meşru menfaat
İlk olarak, meşru menfaatin ne olduğunu ele alalım . GDPR, dolandırıcılığı önlemek, çalışanlar ve müşterilerle ilgili dahili idari amaçlar için, ağ ve bilgi güvenliğini sağlamak ve olası suç eylemlerini veya kamu güvenliğine yönelik tehditleri yetkili bir makama bildirmek için kişisel verilerin işlenmesi gibi bazı örnekler sunar. Ayrıca, dahili veya harici kurumsal yönetişim veya ilgili yasal uyumluluk gerekliliklerini karşılamak için gerekli olan veri işlemenin meşru menfaat olarak kabul edilmesi muhtemeldir.

Belki de daha az belirgin bir örnek, GDPR'nin 47. gerekçesi, meşru bir menfaat olarak “kişisel verilerin doğrudan pazarlama amacıyla işlenmesine” işaret etmektedir. Burada karşılaştığımız yaygın bir yanlış anlama, bu dilin tüm pazarlama ve hatta geçici tercihleri ​​haklı çıkardığıdır. Durumun neden böyle olmadığını daha iyi anlamak için, öncelikle bu ifadenin neyi söylemediğini düşünmek faydalı olacaktır : bu, tüm e-posta pazarlamasına veya tüm doğrudan pazarlama materyallerinin gönderilmesine izin verildiği anlamına gelmez .

İkincisi, GDPR'nin bir boşlukta işlemediğini hatırlamak çok önemlidir. Doğrudan pazarlama amacıyla kuruluşlar ve pazarlamacılar, GDPR'nin telefon, faks, e-posta, SMS ve diğer elektronik iletişim kanalları üzerinden gönderilen pazarlama için ek izin kuralları sağlayan Gizlilik ve Elektronik İletişim Yönergesi (eGizlilik Yönergesi) ile nasıl çalıştığını akılda tutmalıdır. ve şu anda güncellenme sürecinde olan. Geçerli eGizlilik Yönergesi kapsamında, (i) tahsilat satış noktasında gerçekleşmediği ve (ii) bu noktada bir devre dışı bırakma seçeneği sağlanmadığı sürece, e-posta ve SMS pazarlaması için katılım onayı gereklidir. Bu nedenle, bazı birinci düzey pazarlamacılar, satışa ve devre dışı bırakmaya dayalı doğrudan pazarlama için yasal bir temele sahipken (şimdilik), diğer tüm durumlarda, pazarlamacılar, sözleşme kapsamında meşru bir çıkarları olup olmadığına bakılmaksızın, katılma izni gereksinimlerine uymalıdır. GDPR.

Meşru menfaati neyin oluşturduğu, ilgili kurumlar tarafından daha fazla rehberlik ve karar ile ve yakında değiştirilecek eGizlilik Yönergesi'nin yayınlanmasıyla zamanla daha net hale gelecektir. Bu arada, meşru menfaat temelinde işleme ilkelerine bağlı kalmak için bir çerçeve olarak bu örnekleri ve aşağıda tartışılan GDPR tarafından oluşturulan parametreleri kullanıyoruz.

Meşru menfaat tuzaklarından kaçınmak
Meşru menfaatin gerçekten var olduğunu güvenle tesis etmek için kuruluşlar, hem belirli işlemenin gerekliliğini hem de işlemenin menfaatini veri sahiplerinin haklarıyla dengeledikten sonra vardıkları sonucu analiz etmeli ve belgelemelidir . Buna bazıları tarafından Meşru Çıkar Değerlendirmesi ("LIA") denir . İşlemenin gerekliliğine gelince, şunu sormayı alışkanlık haline getirmenizi öneririz: Kişisel veriler işlenmeden aynı amaca ulaşılabilir mi? Cevap “evet” ise, en iyi uygulama, işlemenin temeli olarak meşru menfaatten uzaklaşmak ve rıza almaktır.

Cevap “hayır” ise, hedefe başka türlü ulaşılamazsa, bir sonraki iyi adım şu soruyu sormaktır: veri öznelerinin çıkarları veya hakları işleme ihtiyacından daha ağır basıyor mu? Bu soruyu cevaplarken, veri öznelerinin işleme temeli olarak meşru menfaate itiraz etme hakkına sahip olduğunu ve bu itirazın yalnızca işleme kuruluşu tarafından belirlenen “zorlayıcı” nedenlerle üstesinden gelinebileceğini hatırlamak önemlidir.

Bu kısıtlamalar göz önüne alındığında, işlemenin temeli olarak meşru menfaate güvenirken, gerekliliğin yazılı bir kaydını tutmak ve sonuçları dengelemek için bir sürece sahip olmanızı öneririz. Bu, özellikle veri öznesinin bir çocuk olduğu durumlarda önemlidir. Ve genel bir uygulama olarak, meşru menfaat tuzaklarından kaçınmaya yardımcı olacak ve veri işleme ihtiyacına ve verileri işlenen kişilerin hak ve özgürlüklerine uygun şekilde özen gösterildiğini gösterecektir.

ihbar üzerine bir not
Bir kuruluş, GDPR'yi işlemenin temeli olarak meşru menfaate dayanıyorsa, kuruluşun, verileri toplanan kişilere meşru menfaatlerin ne olduğunu ve itiraz etme hakkına sahip olduğunu bildirmesi gerekir. Bu, veri toplama noktasında veya itiraz bildiriminde bulunulması durumunda, bir gizlilik bildiriminin bireylerin haklarıyla ilgili bölümünde yapılabilir. GDPR ve gizlilikle ilgili her şeyde olduğu gibi, bunu yapmanın en iyi yolu işleme faaliyetleriniz konusunda açık ve şeffaf olmaktır.