лични данни, privacy

Петър Николов

Легитимният интерес на администратора на лични данни или на трето лице е може би най-гъвкавото от шестте основания за обработване на лични данни съгласно Общия регламент за защита на лични данни (GDPR).

Все още в практиката се наблюдава известна предпазливост при използването му, която вероятно е свързана с необходимо да се обоснове защо се прибягва до това основание, а не например до съгласие. Но ако организацията веднъж е обосновала легитимен интерес и няма възражения от страна на субектите на данни, това основание може да е по-устойчиво от законовите изисквания.

Регламентът посочва няколко примера за използване на легитимен интерес, което оставя погрешното впечатление, че това основание има тясно приложение. Но в редица случаи то е алтернатива на съгласието, особено когато съществуват трудности с получаването и документирането на валидно съгласие.

Тази възможност присъстваше и в досегашното законодателство, но значението й нарасна, след като изискванията за валидност на съгласието като основание за обработване се повишиха.

Какво е легитимен интерес?

При легитимен (законен) интерес организацията едностранно, без да пита за съгласие, решава, че има право да обработва данните на дадени субекти, за да защити своите изконни права и интереси, например, за да защити собствеността или за да може изобщо да осъществява дейността си.

Най-общо използването на легитимен интерес е обосновано в Съображения 47, 48, 49.

#47 Законните интереси на даден администратор, включително на администратор, пред когото може да бъдат разкрити лични данни, или на трета страна могат да предоставят правно основание за обработването, при условие че интересите или основните права и свободи на съответния субект на данни нямат преимущество, като се вземат предвид основателните очаквания на субектите на данни въз основа на техните взаимоотношения с администратора.Такъв законен интерес може да е налице, когато например между субекта на данни и администратора на лични данни съществува съответното определено взаимоотношение, например когато субектът на данни е клиент или подчинен на администратора на лични данни. При всички случаи, за установяването на законен интерес би била необходима внимателна преценка, включително дали субектът на данни може по времето и в контекста на събирането на данни основателно да очаква, че може да се осъществи обработване на личните данни за тази цел. Интересите и основните права на субекта на данни биха могли по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват по-нататъшна обработка. Като се има предвид, че е задължение на законодателя да уреди със закон правното основание за обработването на лични данни от публичните органи, това правно основание не следва да се прилага спрямо обработването на данни от публичните органи при изпълнението на техните задачи. Обработването на лични данни, строго необходимо за целите на предотвратяването на измами, също представлява законен интерес на съответния администратор на данни. Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес.

В следващите съображения се посочва, че това основание е приложимо при вътрешногруповите трансфери, както и за осигуряване на мрежовата и информационната сигурност, включително от доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност.

Съгласно член 6, ал. 1, буква е се допуска обработване на лични данни, което е “необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете”.

Съображение 111 и 113 се концентрират върху предаването на данни, по-специално  с цел справка от лица, които имат законен интерес. Според Съображение 113 “Предаване на данни, което може да се окачестви като неповтарящо се и засягащо само ограничен брой субекти на данни, също може да бъде възможно за целите на неоспоримите законни интереси на администратора, когато пред тези интереси нямат преимущество интересите или правата и свободите на субекта на данни и когато администраторът е оценил всички обстоятелства около предаването на данните….”

Организацията информира лицата, чиито данни се обработват на това основание, при събиране на данните (чл. 13). Те имат право на възражение срещу използването на легитимен интерес. В този случай организацията трябва да доказва, че нейният интерес има предимство или да приеме възражението и да прекрати обработването на това основание. За да докаже, че легитимният й интерес има предимство спрямо правата и свободите на субектите на данни, организацията трябва да е изготвила т. нар. балансиращ тест.

(Обърнете внимание, че в българския превод се използват както законен интерес – в съображенията, чл. 35 и текстовете относно предаване на данни, така и легитимен интерес – в чл. 6. Това може да създаде объркване. В английския текст на GDPR терминът е legitimate interest.)

Примери

Примери за обработване на лични данни на основание легитимен интерес може да включват видеонаблюдението ( но зависи от това какво се наблюдава и дали се нарушава личното пространство и конституционното право на неприкосновеност на личния живот), предоставянето на данни за потребителите на уебсайт на хостинг компания, директен маркетинг, проверка на информация, предоставена от субекта на данни във връзка с бъдещ договор.

Обърнете внимание, че нито обработването на данни на клиенти и служители, нито директният маркетинг попадат при всички случаи в обхвата на легитимния интерес. По отношение на клиентите, например, голяма част от данните се обработват за изпълнението на договора, а легитимният интерес е допълнително основание, свързано, например, с подобряване на обслужването. Организацията трябва да е в състояние да докаже, че обработването е необходимо и пропорционално на целта и да извърши споменатия балансиращ тест.

Балансиращ тест

Регламентът предполага да извършите оценка за приложимостта на това основание и да уведомите засегнатите субекти на данни (според чл. 13 и 14). Въпреки че изискването за документиране на оценката не е записано изрично, то се подразбира с оглед на принципа на отчетност и за целите на отговора на възражение от субекта на данни.

В практиката на британския орган за защита на личните данни (ICO), който се утвърди като най-добър източник на разяснения по регламента, се е наложила оценка от три части за приложимостта на легитимен интерес – обосновка на целта, обосновка на необходимостта и балансиращ тест. (Шаблон на такъв тест е в включен в комплекта GDPR документи.)

Легитимният интерес трябва да е конкретен, като в обосновката трябва ясно да е посочено какво конкретно налага точно този вид обработване (например, видеонаблюдение).

Обработването трябва да е пропорционално и свързано със зададената цел. Когато използвате като основание легитимен интерес, е възможно да събирате по-малко данни и да ги използвате за по-малко дейности (например, да не ги предавате на трети лица), отколкото ако разчитате на съгласие.

Интересът трябва да е основателен. Директният маркетинг по принцип е основателна причина (организацията трябва да достигне до клиентите си, за да осъществи целта си), но обърнете внимание на точните думи в регламента, които предполагат условност. Неудобството от нежелани маркетингови съобщения и честотата на комуникация са фактор.

Изпращането на спам към лица, които не са били клиенти, може да не е легитимно. (Следва да се има предвид, че британският орган, от чиито указания се възползваха мнозина, все пак се позовава на местното законодателство за защита на електронните комуникации, което налага повече изисквания за съгласие при директния маркетинг чрез електронни канали.) Предстоящият общоевропейски регламент за електронните комуникации може да внесе допълнителна яснота за директния маркетинг чрез електронни канали за комуникация.

Част от балансиращия тест е преценката дали лицата очакват, че ще обработвате техните данни. Това до голяма степен зависи от наложилата се практика – например, посетитителите на хипермаркети очакват да има видеонаблюдение. В други случаи определящи са отношенията, които имате със субектите на данни. Като общ принцип съществуващите клиенти е по-вероятно да очакват обработване на данните им.

Ако тестът покаже, че преценката дали обработването е необходимо и пропорционално зависи от субекта на данни, а не от организацията, тогава вероятно правилното основание за обработването е съгласие, а не легитимен интерес.