Що таке законний інтерес у GDPR?

Згідно зі статтею 6 Загального регламенту про захист даних (GDPR), «законний інтерес» визначено як одну з шести законних підстав для обробки персональних даних. Ця концепція дозволяє обробку, якщо контролер має вагому причину, за умови виконання певних умов. Суд Європейського Союзу (CJEU) у справі Case C-13/16 визначив три сукупні вимоги:

• Інтерес має бути законним:
  Інтерес контролера має бути законним, чітко сформульованим і не суперечити законодавству чи державній політиці. Наприклад, у преамбулі 47 GDPR визнається, що «обробка персональних даних для цілей прямого маркетингу може вважатися такою, що здійснюється для законного інтересу» (GDPR, преамбула 47).

• Необхідність обробки даних:
  Обробка має бути суворо необхідною для заявленого законного інтересу; не повинно існувати альтернативних засобів, менш втручальних у права суб'єкта даних. Якщо мети можна досягти без обробки персональних даних, на законний інтерес посилатися не можна.

• Тест на збалансованість:
  Інтерес контролера не повинен переважати фундаментальні права та свободи суб'єкта даних. Цей тест на збалансованість вимагає оцінки:

  • Обґрунтовані очікування суб'єкта даних
  • Характер та вплив обробки
  • Належні заходи безпеки, впроваджені контролером

Кілька досліджень підкреслюють, що «тест на збалансованість залишається суб'єктивною вправою, що створює невизначеність для контролерів» (Voigt & von dem Bussche, 2017, p. 55). Зокрема, прямий маркетинг прямо згадується як потенційний законний інтерес, але це не звільняє контролерів від проведення тесту на збалансованість або забезпечення прозорості для суб'єктів даних.

Дослідження також зазначають, що «на законний інтерес часто посилаються в контекстах, де отримання згоди було б непрактичним, але контролери повинні належним чином документувати свою оцінку та забезпечувати постійний перегляд» (Kamarinou, Millard & Singh, 2016). Рекомендації Робочої групи з питань захисту персональних даних за статтею 29 (WP29) наголошують, що використання законного інтересу не є універсальним виправданням і завжди повинно розглядатися в ширшому контексті підзвітності GDPR (WP29 Opinion 06/2014).

Підсумовуючи, законний інтерес згідно з GDPR надає гнучку основу для обробки даних, але вимагає від контролерів демонстрації необхідності та пропорційності, а також поваги до прав суб'єктів даних через надійні заходи збалансування та прозорості.