Sensibilitatea interesului legitim în temeiul GDPR

Publicat: 2021-08-18

După cum se menționează în postarea inițială a lui Dennis pentru seria noastră de bloguri Regulamentul general privind protecția datelor (GDPR), organizațiile stabilite sau care operează în UE trebuie să aibă o bază legală pentru prelucrarea datelor cu caracter personal. GDPR prevede șase baze legale pentru o astfel de prelucrare: consimțământ, interes legitim, contract, obligație legală, interese vitale și sarcini publice. Majoritatea organizațiilor care doresc să dobândească clienți sau utilizatori noi vor căuta consimțământul sau interesul legitim ca bază permisă pentru procesare. Săptămâna trecută am aflat de la Elizabeth, specialistul nostru în confidențialitate, despre consimțământ . Săptămâna aceasta vom analiza „interesul legitim”. A existat o confuzie destul de mare în legătură cu interesul legitim, așa că vom încerca să clarificăm și să vă spunem cum ne gândim la asta!

Limba
 În primul rând, să aruncăm o privire la limba relevantă a articolului 6 alineatul (1) litera (f) din GDPR privind interesul legitim:

Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele:

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese sunt depășite de interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal, în special unde persoana vizată este un copil.

Este tentant să credem că interesul legitim poate fi folosit pentru a acoperi o gamă largă de circumstanțe, evitând necesitatea consimțământului. Dar interpretările largi ale acestei secțiuni au fost descurajate în mod deschis: „excepții deschise în conformitate cu articolul 6 GDPR și, în special, art. 6 (f) GDPR (motiv de interes legitim), ar trebui evitat. ” A se vedea grupul de lucru pentru protecția datelor, avizul 01/2017 privind Regulamentul propus pentru Regulamentul privind confidențialitatea în mediul electronic (2002/58 / CE), adoptat la 4 aprilie 2017.

Deci, unde trasează organizațiile linia?

Interes legitim la joc
 În primul rând, să luăm în considerare ce este un interes legitim. GDPR oferă câteva exemple, cum ar fi prelucrarea datelor cu caracter personal pentru a preveni frauda, ​​în scopuri administrative interne referitoare la angajați și clienți, pentru a asigura securitatea rețelei și a informațiilor și pentru a raporta autorităților competente eventuale fapte penale sau amenințări la adresa securității publice. În plus, prelucrarea datelor care este necesară pentru a îndeplini guvernanța corporativă internă sau externă sau cerințele de conformitate legale aferente este probabil să fie considerată un interes legitim.

Poate un exemplu mai puțin evident, considerentul 47 din GDPR indică „prelucrarea datelor cu caracter personal în scopuri de marketing direct” ca un interes legitim. O neînțelegere obișnuită pe care am întâlnit-o aici este că acest limbaj justifică toate opțiunile de marketing și chiar opțiunile soft. Pentru a înțelege mai bine de ce acest lucru nu este cazul, este util mai întâi să luați în considerare ceea ce nu spune această formulare : aceasta nu înseamnă că este permisă orice marketing prin e-mail sau toate trimiterile de materiale de marketing direct.

În al doilea rând, este esențial să ne amintim că GDPR nu funcționează în vid. În scopul marketingului direct, organizațiile și specialiștii în marketing trebuie să țină cont de modul în care GDPR funcționează cu Directiva privind confidențialitatea și comunicarea electronică (Directiva ePrivacy), care prevede reguli suplimentare de consimțământ pentru marketing trimise prin telefon, fax, e-mail, SMS și alte canale de comunicare electronică , și care este în prezent în curs de actualizare. Conform actualei directive privind confidențialitatea electronică, este necesar consimțământul de opt-in pentru marketingul prin e-mail și SMS, cu excepția cazului în care (i) colectarea a avut loc la punctul de vânzare și (ii) a fost prevăzută o opțiune de renunțare la acel moment. Așadar, în timp ce unii specialiști în marketing de la primul nivel au o bază legală pentru marketingul direct bazat pe vânzare și renunțare (deocamdată), în toate celelalte cazuri, specialiștii în marketing trebuie să respecte cerințele de consimțământ opt-in, indiferent dacă au un interes legitim în temeiul GDPR.

Ceea ce constituie un interes legitim va deveni mai clar în timp, cu mai multe îndrumări și decizii ale organismelor relevante și cu publicarea viitoarei directive modificate privind confidențialitatea electronică. Între timp, folosim aceste exemple și parametrii stabiliți de GDPR discutați mai jos, ca cadru pentru aderarea la principiile prelucrării pe baza interesului legitim.

Evitarea capcanelor interesului legitim
 Pentru a stabili cu încredere că există cu adevărat un interes legitim, organizațiile ar trebui să analizeze și să documenteze atât necesitatea prelucrării specifice, cât și concluzia acestora, după ce au echilibrat interesul prelucrării cu drepturile persoanelor vizate. Unii fac referire la aceasta drept o evaluare a interesului legitim („LIA”). În ceea ce privește necesitatea prelucrării, vă sugerăm să luați obiceiul de a întreba: se poate realiza același obiectiv fără a prelucra date cu caracter personal? Dacă răspunsul este „da”, atunci cea mai bună practică este să te îndepărtezi de interesul legitim ca bază pentru procesare și să obții consimțământul.

Dacă răspunsul este „nu”, obiectivul nu poate fi altfel atins, un bun pas următor este să ne întrebăm: este necesitatea prelucrării depășită de interesele sau drepturile persoanelor vizate? Când răspundeți la această întrebare, este important să ne amintim că persoanele vizate au dreptul să se opună interesului legitim ca bază pentru prelucrare, obiecție care poate fi depășită doar din motive „imperioase” expuse de organizația de prelucrare.

Având în vedere aceste constrângeri, atunci când ne bazăm pe interesul legitim ca bază pentru procesare, vă recomandăm să aveți un proces pentru a păstra o evidență scrisă a necesității și a concluziilor echilibrate. Acest lucru este important mai ales atunci când persoana vizată este un copil. Și, ca practică generală, va ajuta la evitarea capcanelor interesului legitim și va demonstra că a fost luată în considerare în mod adecvat necesitatea prelucrării și drepturile și libertățile persoanelor ale căror date sunt procesate.

O notă la notificare
 Dacă o organizație se bazează pe interesul legitim ca bază pentru prelucrarea GDPR, este necesar ca organizația să comunice persoanelor ale căror date sunt colectate să știe care sunt interesele legitime și că au dreptul să se opună. Acest lucru se poate face la punctul de colectare a datelor sau, în cazul notificării de opoziție, în secțiunea unei notificări de confidențialitate care tratează drepturile persoanelor. La fel ca în toate lucrurile referitoare la GDPR și la confidențialitate, cel mai bun mod de a face acest lucru este să fii direct și transparent cu privire la activitățile tale de procesare.