理解 GDPR 下的合法利益

作為丹尼斯'開球後我們的通用數據保護條例（GDPR）系列博客中引用，組織建立或在歐盟經營的必須有處理個人數據的法律依據。 GDPR 為此類處理提供了六個法律依據：同意、合法利益、合同、法律義務、切身利益和公共任務。 大多數希望獲得新客戶或用戶的組織會將同意或合法利益作為處理的許可基礎。 上週，我們從我們的隱私專家 Elizabeth 那裡聽到了關於同意的消息。 本週我們將研究“合法權益”。 關於合法權益存在相當多的混淆，因此我們將盡力澄清並告訴您我們是如何考慮它的！

語言
首先，讓我們來看看 GDPR第 6 (1)(f) 條關於合法權益的相關語言：

只有在以下至少一項適用的情況下，處理才合法：

(f) 處理對於控制者或第三方追求的合法利益而言是必要的，除非此類利益被需要保護個人數據的數據主體的利益或基本權利和自由所凌駕，尤其是其中數據主體是兒童。

人們很容易認為合法利益可用於涵蓋範圍廣泛的情況，無需徵得同意。 但是，公開反對對本節的廣泛解釋：“按照 GDPR 第 6 條，特別是第 6 條規定的開放式例外。 6(f) GDPR（合法利益依據），應該避免。” 參見第 29 條數據保護工作組，關於電子隱私法規的擬議法規 (2002/58/EC) 的意見 01/2017，於 2017 年 4 月 4 日通過。

那麼組織在哪裡劃清界線呢？

合法利益在起作用
首先，讓我們考慮一下什麼是合法權益。 GDPR 提供了一些示例，例如處理個人數據以防止欺詐、出於與員工和客戶相關的內部管理目的、確保網絡和信息安全以及向主管當局報告可能的犯罪行為或對公共安全的威脅。 此外，為滿足內部或外部公司治理或相關法律合規要求所必需的數據處理很可能被視為合法利益。

也許一個不太明顯的例子， GDPR 的Recital 47指出“出於直接營銷目的處理個人數據”是合法利益。 我們在這裡遇到的一個常見誤解是，這種語言證明所有營銷甚至軟選擇都是合理的。 為了更好地理解為什麼情況並非如此，首先考慮一下該措辭沒有說明的內容是有幫助的：這並不是說允許所有電子郵件營銷或所有直接營銷材料的發送。

其次，重要的是要記住 GDPR 不是在真空中運作的。 出於直接營銷的目的，組織和營銷人員必須牢記 GDPR 如何與隱私和電子通信指令（電子隱私指令）配合使用，該指令為通過電話、傳真、電子郵件、短信和其他電子通信渠道發送的營銷提供補充同意規則，目前正在更新中。 根據當前的電子隱私指令，除非 (i) 收集發生在銷售點和 (ii) 那時提供了退出選項，否則需要對電子郵件和 SMS 營銷進行選擇同意。 因此，雖然一些一級營銷人員具有基於銷售和選擇退出（目前）的直接營銷的合法依據，但在所有其他情況下，營銷人員必須遵守選擇加入同意要求，無論他們是否在GDPR。

隨著相關機構的更多指導和決定以及即將修訂的電子隱私指令的發布，合法利益的構成將隨著時間的推移變得更加清晰。 與此同時，我們正在使用這些示例以及下文討論的 GDPR 建立的參數，作為遵守基於合法利益進行處理的原則的框架。

避免合法利益陷阱
為了確信合法利益確實存在，組織應在平衡處理的利益與數據主體的權利後分析和記錄特定處理的必要性及其結論。 這被一些人稱為合法利益評估（“LIA”）。 至於處理的必要性，我們建議養成這樣的習慣：不處理個人數據也能達到同樣的目標嗎？ 如果答案是“是”，那麼最佳做法是放棄將合法利益作為處理和獲得同意的基礎。

如果答案是“否”，則目標無法通過其他方式實現，下一步是問：數據主體的利益或權利是否超過了處理的需要？ 在回答這個問題時，重要的是要記住，數據主體有權反對將合法利益作為處理的基礎，只有在處理組織規定的“令人信服的”理由下才能克服這種反對。

鑑於這些限制，當依賴合法利益作為處理基礎時，我們建議制定一個流程來保存必要性和平衡結論的書面記錄。 當數據主體是兒童時，這一點尤其重要。 作為一般做法，它將有助於避免合法利益陷阱，並表明已適當考慮了處理的需要以及正在處理數據的個人的權利和自由。

關於通知的說明
如果組織依賴合法利益作為處理 GDPR 的基礎，則要求該組織讓被收集數據的個人知道合法利益是什麼，他們有權反對。 這可以在數據收集時完成，或者在反對通知的情況下，在處理個人權利的隱私通知部分完成。 與 GDPR 和隱私相關的所有事情一樣，做到這一點的最佳方法是對您的處理活動保持坦率和透明。