理解 GDPR 下的合法利益

作为丹尼斯开球后我们的通用数据保护条例（GDPR）系列博客中引用，组织建立或在欧盟经营的必须有处理个人数据的法律依据。 GDPR 为此类处理提供了六个法律依据：同意、合法利益、合同、法律义务、切身利益和公共任务。 大多数希望获得新客户或用户的组织会将同意或合法利益作为处理的许可基础。 上周，我们从我们的隐私专家伊丽莎白那里听到了关于同意的消息。 本周我们将研究“合法权益”。 关于合法权益存在相当多的混淆，因此我们将尽力澄清并告诉您我们是如何考虑它的！

语言
首先，让我们来看看 GDPR第 6 (1)(f) 条关于合法权益的相关语言：

只有在以下至少一项适用的情况下，处理才合法：

(f) 处理对于控制者或第三方追求的合法利益而言是必要的，除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所凌驾，尤其是其中数据主体是儿童。

人们很容易认为合法利益可用于涵盖范围广泛的情况，无需征得同意。 但是，公开反对对本节的广泛解释：“按照 GDPR 第 6 条，特别是第 6 条规定的开放式例外。 6(f) GDPR（合法利益依据），应该避免。” 参见第 29 条数据保护工作组，关于电子隐私法规的拟议法规 (2002/58/EC) 的意见 01/2017，于 2017 年 4 月 4 日通过。

那么组织在哪里划清界线呢？

合法利益在起作用
首先，让我们考虑一下什么是合法权益。 GDPR 提供了一些示例，例如处理个人数据以防止欺诈、出于与员工和客户相关的内部管理目的、确保网络和信息安全以及向主管当局报告可能的犯罪行为或对公共安全的威胁。 此外，为满足内部或外部公司治理或相关法律合规要求所必需的数据处理很可能被视为合法利益。

也许一个不太明显的例子， GDPR 的Recital 47指出“出于直接营销目的处理个人数据”是一种合法利益。 我们在这里遇到的一个常见误解是，这种语言证明所有营销甚至软选择都是合理的。 为了更好地理解为什么情况并非如此，首先考虑一下该措辞没有说明的内容是有帮助的：这并不是说允许所有电子邮件营销或所有直接营销材料的发送。

其次，重要的是要记住 GDPR 不是在真空中运作的。 出于直接营销的目的，组织和营销人员必须牢记 GDPR 如何与隐私和电子通信指令（电子隐私指令）配合使用，该指令为通过电话、传真、电子邮件、短信和其他电子通信渠道发送的营销提供补充同意规则，目前正在更新中。 根据当前的电子隐私指令，电子邮件和短信营销需要选择同意，除非 (i) 收集发生在销售点和 (ii) 那时提供了选择退出选项。 因此，虽然一些一级营销人员具有基于销售和选择退出（目前）的直接营销的合法依据，但在所有其他情况下，营销人员必须遵守选择加入同意要求，无论他们是否在GDPR。

随着相关机构的更多指导和决定以及即将修订的电子隐私指令的发布，合法利益的构成将随着时间的推移变得更加清晰。 与此同时，我们正在使用这些示例以及下文讨论的 GDPR 建立的参数，作为遵守基于合法利益进行处理的原则的框架。

避免合法利益陷阱
为了确信合法利益确实存在，组织应在平衡处理的利益与数据主体的权利后分析和记录特定处理的必要性及其结论。 这被一些人称为合法利益评估（“LIA”）。 至于处理的必要性，我们建议养成这样的习惯：不处理个人数据也能达到同样的目标吗？ 如果答案是“是”，那么最佳做法是放弃将合法利益作为处理和获得同意的基础。

如果答案是“否”，则目标无法通过其他方式实现，下一步是问：数据主体的利益或权利是否超过了处理的需要？ 在回答这个问题时，重要的是要记住，数据主体有权反对将合法利益作为处理的基础，只有在处理组织规定的“令人信服的”理由下才能克服这种反对。

鉴于这些限制，当依赖合法利益作为处理基础时，我们建议制定一个流程来保存必要性和平衡结论的书面记录。 当数据主体是儿童时，这一点尤其重要。 作为一般做法，它将有助于避免合法利益陷阱，并表明已适当考虑了处理的需要以及正在处理数据的个人的权利和自由。

关于通知的说明
如果组织依赖合法利益作为处理 GDPR 的基础，则要求该组织让被收集数据的个人知道合法利益是什么，他们有权反对。 这可以在数据收集时完成，或者在反对通知的情况下，在处理个人权利的隐私通知部分完成。 与 GDPR 和隐私相关的所有事情一样，做到这一点的最佳方法是对您的处理活动保持坦率和透明。