Kdaj in kako lahko obdelujemo podatke na podlagi zakonitega interesa? Sprejete nove smernice EOVP
+ -Evropski odbor za varstvo podatkov (EOVP) je na oktobrskem plenarnem zasedanju sprejel Smernice št. 1/2024 o obdelavi osebnih podatkov na podlagi zakonitih interesov.
Za vsako obdelavo osebnih podatkov morajo upravljavci zagotoviti ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe o varstvu podatkov. Eno od možnih pravnih podlag predstavljajo tudi zakoniti interesi na podlagi točke (f) prvega odstavka 6. člena Splošne uredbe.
Smernice EOVP analizirajo merila, ki jih morajo upravljavci izpolnjevati za zakonito obdelavo osebnih podatkov na podlagi zakonitih interesov. Da bi se upravljavec lahko oprl na zakoniti interes, mora izpolnjevati tri kumulativne pogoje:
- zasledovanje zakonitega interesa s strani upravljavca ali tretje osebe;
- nujnost obdelave osebnih podatkov za namene zasledovanja zakonitega interesa;
- interesi ali temeljne pravice in svoboščine posameznikov ne prevladajo nad zakonitimi interesi upravljavca ali tretje osebe.
Upravljavci morajo še pred samo obdelavo podatkov skrbno oceniti in dokumentirati, ali so ti trije kumulativni pogoji izpolnjeni. EOVP v smernicah poudarja, da lahko samo zakoniti, jasno in natančno izraženi, resnični in sedanji interesi štejejo za zakonite. Nadalje je treba preveriti, ali obstajajo razumne, enako učinkovite, vendar manj vsiljive alternative za uresničevanje želenih interesov, pri čemer je treba upoštevati tudi t.i. načelo najmanjšega obsega podatkov. Če torej obstajajo druge alternative za dosego istih ciljev (milejši ukrepi), obdelava ne sme temeljiti na zakonitih interesih.
Upravljavec mora prav tako zagotoviti, da njegov zakoniti interes ne prevlada nad interesi, temeljnimi pravicami in svoboščinami posameznika. Pri tem tehtanju mora upravljavec upoštevati interese posameznikov, vpliv obdelave in njihova razumna pričakovanja ter obstoj dodatnih zaščitnih ukrepov, ki bi lahko omejili vpliv na posameznika.
Prav tako mora upravljavec skladno s 13. členom Splošne uredbe posameznike ob pridobitvi njihovih podatkov med drugim obvestiti o zakonitih interesih, za katere se prizadeva upravljavec ali tretja oseba.
Poleg tega je v smernicah pojasnjeno, kako bi bilo treba to oceno izvesti v praksi, tudi v številnih posebnih okoliščinah, kot so preprečevanje goljufij, neposredno trženje in informacijska varnost. V smernicah je pojasnjeno tudi razmerje med to pravno podlago in pravicami posameznikov v skladu s Splošno uredbo.
O smernicah poteka javno posvetovanje do 20. novembra 2024. Smernice so dostopne v angleškem jeziku na tej povezavi.