Як використовувати легітимний інтерес за GDPR: свіжі розʼяснення регулятора

Але чи дорівнює зацікавленість легітимності? Будемо розбиратися за допомогою нового гайдлайну Європейського комітету з захисту даних (EDPB) з легітимного інтересу.

Умови застосування підстави

Стаття 6 GDPR визначає вичерпний перелік підстав, на які можуть покладатися компанії при обробці персональних даних. Легітимний інтерес став популярним, бо він простий в застосуванні, менш обтяжливий в порівнянні, наприклад, зі згодою. А ще він орієнтований на контролера. Беремо бажання бізнесу подбати про безпеку офісів. Поєднуємо його із обробкою даних з камер відеоспостереження – і вуаля, бізнес вже не збирає згоду, а використовує “легітимний інтерес”. Однак у світі захисту даних не все так сяюче, як хотілось би бізнесу. 

EDPB у жовтні 2024 року нагадав, що для обробки даних на підставі легітимного інтересу необхідно виконати три сукупні умови – забезпечити, щоб:

1. Інтерес контролера чи третьої особи був легітимним;
2. Обробка персональних даних була необхідною для цілей легітимного інтересу;
3. Легітимний інтерес переважав над правами субʼєктів даних.

Складність тесту ніби зростає в геометричній прогресії: кожен наступний крок складніший за попередній, і взагалі не гарантований. Адже, наприклад, наявність легітимного інтересу ще не визначає його безумовну необхідність. Кожна умова тесту підлягає належній оцінці з боку компанії, яка застосовує легітимний інтерес. Важливо, що така оцінка має відбуватися до обробки даних, а не пост-фактум. 

Чи є інтерес компанії легітимним?

Просто визначити свій інтерес як легітимний ще не означає, що він таким насправді є. Ні законодавство, ні мʼяке право ЄС не пропонує вичерпного переліку того, що може називатися легітимним інтересом. Відтак, компанії мають самостійно проводити оцінку легітимності. І саме тут EDPB не створює інноваційних підходів, а пропонує звернутися до тесту своїх попередників, Article 29 Data Protection Working Party:

• Інтерес є законним
• Інтерес чітко і точно сформульований
• Інтерес є реальним і наявним, а не спекулятивним

Візьмемо ситуацію, коли компанія займається продажем товарів онлайн і хоче обробляти дані користувачів свого сайту для того, щоб показувати їм товар відповідно до індивідуальних вподобань. Такий інтерес є законним (не суперечить законам), чітким (політика на сайті каже, що через аналіз найчастіше переглядуваних товарів можна адаптувати пропозицію до потреб користувачів) і реальним (так компанія приймає рішення щодо асортименту і маркетингу).

Яка обробка даних є необхідною?

Що воно, та необхідність? Простими словами, потрібно зʼясувати, чи свій інтерес організація може розумно задовольнити так само ефективно, але іншими засобами, менш обмежуючи основні права і свободи суб’єктів даних. Фактично, це є питанням альтернатив. Якщо мети можна досягти через збір меншої кількості даних, то це тотальний win-win. Послуги надаються ефективно, в життя людей ніхто надмірно не втручається, а компанія використовує легітимний інтерес у своїх цілях. Виправдано? Виправдано, і досить навіть необхідно.

Застосувати не можна уникнути. То чиї права чи інтереси переважають?

Нарешті, балансування. Найскладніша і фінальна частина оцінки легітимного інтересу вимагає взяти до уваги ряд критеріїв, як-от:

• права та інтереси субʼєктів даних, 
• їх легітимні очікування, 
• тип даних, 
• вплив та наслідки обробки. 

Таке балансування потрібне, щоб уникнути ситуацій, коли компанії своєю “благою метою” і обробкою даних непропорційно впливають на людей. 

Вплив на права людини може бути і непрямим. Необовʼязково наслідки такого впливу можна визначити відразу через прямий причинно-наслідковий звʼязок. Відповідальні за належну обробку даних мусять докласти трохи більше, ніж посередні зусилля для оцінки впливу обробки. Наприклад, постійний онлайн-моніторинг діяльності на інтернет-платформі може викликати відчуття, що приватне життя людини постійно “під прицілом”.

Компанія, яка вирішує, навіщо обробляти дані, має врахувати всі можливі наслідки, скажімо:

• потенційні рішення третіх осіб щодо даних, 
• юридичні наслідки обробки, 
• фінансові втрати, 
• дискримінацію та інші ризики для прав і свобод людей. 

Це має бути обʼєктивна оцінка реальності. Треба співставити всі потенційно важливі моменти для клієнта чи кінцевого користувача і переконатися, що інтерес організації не зашкодить людям у процесі. Так і досягається справедливість навіть у, здавалось би, технічно невибагливих операціях обробки даних.

Як фіксуємо результати оцінки

Компанії зобовʼязані проводити оцінку легітимного інтересу та звітувати про неї, щоб дотримуватися принципу підзвітності за статтею 5(2) GDPR. Результат формується у вигляді LIA (legitimate interest assessment). При чому оцінку потрібно робити до того, як компанія реально обробляє персональні дані конкретного виду.

Взаємозв’язок між легітимним інтересом та правами суб’єктів даних

Але ще нюанс: просто провести LIA недостатньо, аби застосовувати легітимний інтерес. Компанія повинна дотримуватися усіх прав субʼєктів даних, визначених статтями 12-23 GDPR. Застосування легітимного інтересу має бути зрозумілим пересічній людині (а часом і дитині, якщо її дані обробляються), переконливим і специфічним відносно кожного випадку обробки. 

Компанії повинні чітко комунікувати свої наміри щодо обробки персональних даних. Це передбачає, що треба створити зрозумілі і доступні політики, які пояснюють: 

• які дані збираються, 
• з якою метою вони використовуються та 
• на якій правовій основі відбувається обробка, 
• а також які права мають субʼєкти при обробці їхніх даних. 

Наприклад, людина має розуміти, що може в будь-який момент відмовитися від маркетингових розсилок, виявивши бажання у визначений компанією спосіб. 

Особливі види обробки

Легітимний інтерес не є зручною відмазкою для всіх випадків. Його не можна натягнути на будь-що. Щонайменше, часто застосовуються більш жорсткі і обмежуючі правила щодо обробки даних. Наприклад діти не до кінця можуть усвідомлювати наслідки обробки даних про них, тому треба бути обережнішими при обробці їхніх даних. 

Або ж коли говоримо про обробку з метою запобігання шахрайству, то тут можна обробляти мінімум даних, аби не зашкодити субʼєкту в подальшому. Контролери повинні бути конкретними щодо виду шахрайства, якому вони намагаються запобігти. Тому їм треба чітко розуміти, чи дані їм дійсно потрібні для цієї мети. Наприклад, перевіряти CV потенційних працівників на предмет правдивості сертифікації, яку обіцяє кандидат, є виправданим легітимним інтересом. Але збирати інформацію про особисте життя кандидатів, що аж ніяк не стосується їхньої професійної діяльності, далеко не є виправданим заходом.

Нарешті, при обробці з метою прямого маркетингу треба з’ясовувати, чи маркетингові комунікації переслідують комерційну мету і адресуються безпосередньо споживачеві, а не невизначеному колу осіб.

Any conclusions?

Бізнеси не повинні сприймати легітимний інтерес як крайню зупинку серед інших підстав, які чомусь не вдалося застосувати. Легітимний інтерес вимагає оцінки високого рівня. Вона проводиться не просто щоб переконатися, що компанії відповідально працюють з персональними даними. Її мета – захистити права людей як в момент обробки, так і в перспективі.