Legitimate Interest vs GDPR: Що потрібно знати українському бізнесу

11 Червня 2024

У цифрову епоху, коли обмін даними став неодмінною складовою бізнес-процесів, критично важливо мати чітке розуміння та дотримуватися вимог щодо захисту персональних даних (надалі – “ПД”). Це означає ретельне врахування того, що обробка ПД без належної на те підстави є протизаконною. Ця вимога особливо актуальна для компаній, що мають операційні зв’язки з Європейським Союзом або обробляють дані громадян ЄС.

У Загальному регламенті про захист персональних даних (GDPR), одному з ключових законодавчих актів у цій сфері, встановлені правові основи для обробки особистої інформації. Однією з таких основ є законний інтерес (Legitimate Interest).

Законний інтерес є механізмом, що дозволяє компаніям обробляти ПД без прямої згоди осіб, якщо така обробка ґрунтується на законних інтересах компанії або третьої сторони. Однак, для ефективного та законного використання цього принципу важливо мати глибоке розуміння та дотримуватися правил і вимог, встановлених GDPR.

Коли використовувати Legitimate Interest?

Компанії з України, які мають бізнес-відносини з країнами ЄС або здійснюють обробку ПД громадян Європейського Союзу, можуть використовувати механізм законного інтересу для різноманітних цілей. Наприклад:

  • Маркетингові дії: використання ПД клієнтів для надсилання рекламних матеріалів або інформаційних бюлетенів може бути обґрунтованою дією, особливо якщо ці клієнти вже мають стосунки з вашою компанією та проявляють інтерес до отримання подібної інформації.
  • Аналітика і дослідження: обробка ПД для аналізу та покращення продуктів або послуг, зокрема шляхом вивчення поведінки користувачів на веб-сайтах, може бути справедливим застосуванням механізму законного інтересу.
  • Забезпечення безпеки: моніторинг активності користувачів з метою виявлення та запобігання шахрайству або кібератакам є ще однією областю, де застосування цього принципу є виправданим.

Що передує впровадженню обробки ПД на підставі Legitimate Interest?

Для обґрунтування використання законного інтересу необхідно провести оцінку, що включає три основні етапи:

1. Визначення законного інтересу: на цьому етапі потрібно чітко сформулювати, що саме вважається законним інтересом для вашої компанії, наприклад, захист вашого бізнесу від шахрайства або покращення послуг для клієнтів.
2. Необхідність обробки: переконайтеся, що обробка даних є необхідною для досягнення поставленої мети. Наприклад, вам потрібні дані про поведінку користувачів на веб-сайті для удосконалення навігації та зменшення кількості відмов.
3. Баланс інтересів: зважте інтереси компанії та права суб’єктів даних. Обробка не повинна завдавати шкоди

Приклад оцінки Legitimate Interest.

Уявімо, що ваша компанія займається онлайн-торгівлею і ви хочете використовувати дані покупок для відправлення персоналізованих пропозицій. Ви проводите оцінку законного інтересу:

1. Визначення законного інтересу: покращення обслуговування клієнтів через персоналізовані пропозиції.
2. Необхідність обробки: дані про попередні покупки необхідні для створення релевантних пропозицій.
3. Баланс інтересів: ви зважуєте інтереси вашого бізнесу з правами клієнтів на конфіденційність. Персоналізовані пропозиції покращують досвід клієнтів і не завдають шкоди їхнім правам, особливо якщо клієнти можуть легко відмовитися від таких повідомлень.

Документування та прозорість.

Важливо задокументувати процес оцінки законного інтересу та бути прозорими перед суб’єктами даних. Інформуйте користувачів про те, що їхні дані обробляються на підставі законного інтересу, та надайте можливість заперечити проти такої обробки, якщо вони вважають її неправомірною.

Пропонуємо нижче практичні кроки, які є навігаційною картою при документуванні оцінки законного інтересу:

  • Розробка політики приватності: ваша політика приватності має чітко описувати, як і чому ви обробляєте дані на підставі законного інтересу. Включіть цю інформацію на вашому веб-сайті та в усіх відповідних комунікаціях.
  • Інформація про права: забезпечте, щоб суб’єкти даних знали про свої права. Вони повинні мати можливість легко заперечити проти обробки їхніх даних, якщо вони вважають це необхідним.
  • Процедури відмови: Створіть легкі та зрозумілі способи для користувачів відмовитися від маркетингових повідомлень або інших форм обробки даних. Наприклад, додайте посилання для відмови у всіх маркетингових електронних листах.

Використання сторонніх сервісів.

Багато українських бізнесів використовують сторонні маркетингові платформи та сервіси для збору та обробки даних. Важливо переконатися, що ці постачальники також відповідають вимогам GDPR. Для цього ми рекомендуємо укладати угоди про обробку даних (Data Processing Agreements, DPA) з усіма сторонніми постачальниками. Ці угоди повинні чітко визначати обов’язки постачальника щодо захисту даних. Під час вибору постачальника перевіряйте відповідність їх діяльності вимогам GDPR та їх політикам конфіденційності. Попросіть їх надати докази відповідності, такі як сертифікати або аудиторські звіти. Проводьте моніторинг та аудит виконання угод та регулярно перевіряйте захищеність даних. Це може включати проведення аудиту або запити на звіти про безпеку від постачальників.

Наслідки не дотримання вимог GDPR та вимог Legitimate Interest.

Порушення принципів GDPR, зокрема безпідставна обробка ПД, може мати серйозні наслідки для компаній. Компетентні на те органи з охорони даних мають право накладати адміністративні штрафи, які можуть сягати до 4% від загального річного обороту компанії або до 20 мільйонів євро. Крім того, порушення може призвести до іміджевих втрат та втрати довіри споживачів, що може значно вплинути на репутацію та прибутковість компанії. Оскільки захист ПД стає все більш важливим для споживачів, недотримання вимог GDPR може також призвести до правових позовів та судових розглядів з боку постраждалих осіб. Такі судові справи можуть призвести до великих витрат на відшкодування збитків та витрат на юридичних консультантів.

Отже, законний інтерес може бути потужним інструментом для українських компаній, що працюють у ЄС, але його застосування вимагає ретельного підходу. Дотримання принципів прозорості та оцінки інтересів допоможе уникнути конфліктів і забезпечити відповідність GDPR. Постійний моніторинг та адаптація до змін у законодавстві також є ключовими для успішного та безпечного ведення бізнесу.