首先
,我們來看看GDPR第6 (1)(f)條關於合法權益的相關語言:
只有在至少滿足以下條件之一時,處理才合法:
(f) 為了控制者或第三方追求的合法利益,處理是必要的,除非這些利益被需要保護個人資料的資料主體的利益或基本權利和自由所取代,特別是其中資料主體是兒童。
人們很容易認為合法利益可以用於涵蓋廣泛的情況,從而無需徵得同意。但對本節的廣泛解釋已被公開阻止:「根據 GDPR 第 6 條,特別是第 1 條的規定,存在開放式例外。應避免 GDPR 第 6(f) 條(合法利益依據)。請參閱第 29 條資料保護工作小組,關於《電子隱私條例》擬議條例 (2002/58/EC) 的意見 01/2017,於 2017 年 4 月 4 日通過。
那麼組織的界線在哪裡呢?
合法利益
首先,讓我們考慮什麼是合法利益。 GDPR 提供了一些範例,例如處理個人資料 商業和消費者手機號碼資料庫以防止詐欺、出於與員工和客戶相關的內部管理目的、確保網路和資訊安全以及向主管機關報告可能的犯罪行為或對公共安全的威脅。此外,滿足內部或外部公司治理或相關法律合規要求所需的資料處理可能被視為合法權益。
也許是一個不太明顯的例子, GDPR 的第 47 條說明將「出於直接行銷目的處理個人資料」視為合法權益。我們在這裡遇到的一個常見誤解是,這種語言證明了所有行銷甚至軟選擇加入的合理性。為了更好地理解為什麼情況並非如此,首先考慮一下這個措辭沒有說的內容是有幫助的:這並不是說允許所有電子郵件行銷或所有發送直接行銷資料。
其次,重要的是要記住,GDPR 並不是在真空中運作。為了進行直接行銷,組織和行銷人員必須牢記 GDPR 如何與隱私和電子通訊指令(ePrivacy Directive)配合使用,該指令為透過電話、傳真、電子郵件、簡訊和其他電子通訊管道發送的行銷提供了補充同意規則,目前正在更新中。根據目前的《電子隱私指令》,電子郵件和簡訊行銷需要選擇同意,除非 (i) 收集發生在銷售點,並且 (ii) 當時提供了選擇退出選項。因此,雖然一些一級行銷人員擁有基於銷售和選擇退出的直接行銷的合法依據(目前),但在所有其他情況下,行銷人員必須遵守選擇加入同意要求,無論他們是否擁有合法權益GDPR。
隨著時間的推移,隨著相關機構的更多指導和決定以及即將發布的修訂版電子隱私指令的發布,合法利益的組成將變得更加清晰。同時,我們使用這些範例以及下面討論的 GDPR 建立的參數作為遵守基於合法利益的處理原則的框架。
避免合法利益陷阱
為了確信合法利益確實存在,組織應在平衡處理利益與資料主體的權利後分析並記錄特定處理的必要性及其結論。有些人稱之為合法利益評估(“LIA”)。至於處理的必要性,我們建議養成這樣的習慣:在不處理個人資料的情況下是否可以達到相同的目的? 如果答案是“是”,那麼最佳做法是放棄將合法利益作為處理和獲得同意的基礎。