August 16, 2025
3 min read
Theo Điều 6 của Quy định chung về bảo vệ dữ liệu (GDPR), “lợi ích hợp pháp” được xác lập là một trong sáu cơ sở pháp lý để xử lý dữ liệu cá nhân. Khái niệm này cho phép xử lý dữ liệu khi bên kiểm soát có lý do hợp lệ, với điều kiện phải đáp ứng các điều kiện cụ thể. Tòa án Công lý của Liên minh Châu Âu (CJEU) trong Vụ C-13/16 đã đưa ra ba yêu cầu tích lũy:
Lợi ích phải hợp pháp:
Lợi ích của bên kiểm soát phải hợp pháp, được trình bày rõ ràng và không trái với pháp luật hay chính sách công. Ví dụ, Đoạn 47 của GDPR công nhận rằng “việc xử lý dữ liệu cá nhân cho mục đích tiếp thị trực tiếp có thể được coi là thực hiện vì một lợi ích hợp pháp” (GDPR, Đoạn 47).
Sự cần thiết của việc xử lý dữ liệu:
Việc xử lý phải thực sự cần thiết cho lợi ích hợp pháp đã nêu; không nên có các phương tiện thay thế khác ít xâm phạm hơn đến quyền của chủ thể dữ liệu. Nếu mục tiêu có thể đạt được mà không cần xử lý dữ liệu cá nhân, thì không thể dựa vào lợi ích hợp pháp.
Kiểm tra cân bằng:
Lợi ích của bên kiểm soát không được vượt qua các quyền và tự do cơ bản của chủ thể dữ liệu. Bài kiểm tra cân bằng này yêu cầu đánh giá về:
Một số nghiên cứu nhấn mạnh rằng “bài kiểm tra cân bằng vẫn là một hoạt động mang tính chủ quan, tạo ra sự không chắc chắn cho các bên kiểm soát” (Voigt & von dem Bussche, 2017, trang 55). Đáng chú ý, tiếp thị trực tiếp được trích dẫn rõ ràng là một lợi ích hợp pháp tiềm năng, nhưng điều này không miễn trừ cho các bên kiểm soát khỏi việc tiến hành kiểm tra cân bằng hoặc cung cấp sự minh bạch cho các chủ thể dữ liệu.
Nghiên cứu cũng ghi nhận thêm rằng “lợi ích hợp pháp thường được viện dẫn trong các bối cảnh mà việc lấy sự đồng thuận sẽ không thực tế, nhưng các bên kiểm soát phải ghi lại đầy đủ đánh giá của mình và đảm bảo việc xem xét liên tục” (Kamarinou, Millard & Singh, 2016). Hướng dẫn của Nhóm Công tác Điều 29 (WP29) nhấn mạnh rằng việc sử dụng lợi ích hợp pháp không phải là một sự biện minh toàn diện và phải luôn được xem xét trong khuôn khổ rộng lớn hơn của trách nhiệm giải trình theo GDPR (Ý kiến 06/2014 của WP29).
Tóm lại, lợi ích hợp pháp theo GDPR cung cấp một cơ sở linh hoạt cho việc xử lý dữ liệu nhưng đòi hỏi các bên kiểm soát phải chứng minh được sự cần thiết và tính tương xứng, đồng thời tôn trọng quyền của chủ thể dữ liệu thông qua các biện pháp cân bằng và minh bạch mạnh mẽ.
