Legitiman interes je postao nova privola stoga ne čudi da svi s velikim iščekivanjem čekamo neku presudu ili odluku nadzornog tijela koja će reći nešto "što bi mi htjeli" po pitanju legitimnog interesa i kada se na njega možemo pozvati.
CJEU ne isključuje da se komercijalni interes može smatrati legitimnim interesom za obradu osobnih podataka - jeste li iznenađeni?
Opća uredba o zaštiti podataka (GDPR) prepoznaje legitiman interes kao jednu od pravnih osnova za obradu osobnih podataka. Međutim, ne definira ga iscrpno, i ostavlja prostora za tumačenje, o čemu se naveliko raspravlja i analizira.
Laički rečeno, legitiman interes odnosi se na korist ili prednost ili interes koju organizacija ili treća strana može ostvariti obradom osobnih podataka, sve dok (čitaj pod uvjetom da) ta korist ne krši prava i slobode ispitanika. Kod legitimnog interesa uvelike morate paziti na ključna pitanja koja bi vam ga mogla "srušiti", a nikako ne smijete zaboraviti kada govorimo iz aspekta našeg zakonodavstva i na Ustavne kategorije ne/ograničenih prava.
Uobičajeni primjeri legitimnog interesa uključuju sprječavanje prijevara, zaštitu od kibernetičkih napada odnosno sigurnost podataka, očuvanje sigurnosti u prostorijama ili optimizaciju korisničkih usluga, zaštitu imovine i osoba itd.
Iako se koncept legitimnog interesa može činiti fleksibilnim, njegovo pozivanje nije niti automatsko niti jednostavno jer mora proći analizu uključenih interesa (s jedne strane, prava voditelja obrade podataka i, s druge strane, prava ispitanika).
Kako bi se utvrdilo je li interes legitiman, mora biti zakonit, stvaran i stvarno prisutan. Osim toga, GDPR nameće obvezu provođenja balansiranja interesa koji pokazuje da legitimni interes prevladava nad pravima i slobodama ispitanika.
Nadalje, obrada podataka mora biti stvarno nužna za postizanje namjeravane svrhe: ako se to može postići drugim sredstvima koja manje zadiru u privatnost i prava ispitanika, legitiman interes se ne primjenjuje, osobito ako prilikom provođenja LIA "pada" na ključnim pitanjima. Stoga podaci koji se obrađuju moraju biti izravno povezani i razmjerni svrsi kojoj se teži, a na pitanja na koja morate odgovoriti provodeći test legitimnosti (razmjernosti) morate odgovarati tako da odražava stvarno stanje obje strane (voditelja obrade i ispitanika), dakle ne smijete samo provoditi LIA koja prikazuje samo "vaše interese". Također, ne smijete zaboraviti na obvezni sadržaj LIA-e.
Ako nemate svoj template možete se poslužiti alatima koje pruža Agencija za zaštitu osobnih podataka u RH (AZOP)
Komercijalni interes, shvaćen kao "traganje" za ekonomskim ili drugim koristima ili konkurentskom prednošću, može se, u načelu, smatrati legitimnim interesom prema GDPR-u ako su ti zahtjevi stvarno ispunjeni. Međutim, i Španjolska agencija za zaštitu podataka (AEPD) i španjolski Vrhovni sud iskazali su rezerve u pogledu prednosti komercijalnih interesa kada su oni u sukobu s temeljnim pravima pojedinaca (ništa neočekivano). AEPD je posebno istaknuo da, iako se stjecanje ekonomske koristi kroz poslovne aktivnosti može smatrati legitimnim interesom, ono nikada ne bi trebalo prevladati nad temeljnim pravom na zaštitu podataka. Druga tijela za zaštitu podataka bila su još restriktivnija, poput nizozemskog tijela za zaštitu podataka.
Međutim, druga tijela za zaštitu podataka, poput britanskog Ureda povjerenika za informiranje, usvojila su fleksibilniji pristup, dopuštajući obradu osobnih podataka u komercijalne svrhe na temelju legitimnog interesa pod određenim uvjetima.
Ovo odstupanje kriterija dovelo je do određene pravne nesigurnosti i istaknulo potrebu za usklađenim tumačenjem na europskoj razini. S tim u vezi, Sud pravde Europske unije (CJEU) donio je presudu 4. listopada 2024. kojom je razjašnjeno tumačenje legitimnog interesa u području marketinga.
Nizozemsko tijelo za zaštitu podataka sankcioniralo je Royal Dutch Lawn Tennis Association (KNLTB) zbog priopćavanja osobnih podataka svojih članova dvojici svojih sponzora, tvrtki za sportsku opremu i pružatelju igara na sreću i casino igara, bez prethodnog pristanka ispitanika. Ovaj prijenos podataka izvršen je u svrhu provođenja promotivnih aktivnosti i u zamjenu za financijsku naknadu.
Kao odgovor na tu sankciju, KNLTB je podnio tužbu tvrdeći da se otkrivanje podataka temelji na legitimnom interesu za stvaranje bliske veze između te udruge i njezinih članova te za pružanje dodane vrijednosti svojim članovima u obliku popusta i ponuda. Okružni sud u Amsterdamu odlučio je prekinuti postupak i uputiti niz pitanja Sudu Europske unije na prethodnu odluku kako bi razjasnio može li se prijenos osobnih podataka u komercijalne svrhe, u zamjenu za naknadu, opravdati legitimnim interesom.
U sukusu, CJEU je pojasnio da sama činjenica da interes koji ima komercijalnu svrhu ne isključuje da se smatra legitimnim interesom. Međutim, da bi to bilo tako, bitno je da je taj interes zakonit; odnosno nije u suprotnosti s bilo kojim zakonom odnosno propisom i da su svi ostali zahtjevi navedeni u GDPR-u ispunjeni. Nadalje, u presudi se podsjeća da legitimni interes ne mora biti izričito sadržan u nekom zakonu i upućuje na GDPR gdje se svrhe izravnog marketinga izričito smatraju legitimnim interesima koje može provoditi voditelj obrade podataka.
S obzirom na nužnost obrade podataka kako bi se zadovoljio legitimni interes na koji se poziva, CJEU naglašava važnost analize ovog aspekta u svjetlu načela minimizacije podataka. Ovo načelo zahtijeva da osobni podaci budu primjereni, relevantni i ograničeni na ono što je potrebno za željene svrhe.
U ovom slučaju, CJEU postavlja pitanje je li se legitimni interes udruge mogao jednako učinkovito postići drugim sredstvima koja manje zadiru u prava i slobode ispitanika. Posebno ističe da je voditelj obrade mogao informirati i konzultirati svoje članove o ovoj obradi podataka, što bi rezultiralo manjim zadiranjem u prava i slobode ispitanika.
Što se tiče tzv. balansiranja (vaganja) interesa, ključna točka presude je analiza razumnih očekivanja ispitanika. Teško je za ovaj sud uzeti u obzir da, učlanjenjem u sportski klub, njegovi članovi mogu očekivati da će se njihovi osobni podaci plasirati u reklamne i marketinške svrhe, posebno kada je riječ o sektorima kao što je kockanje. Te se aktivnosti, iako a priori zakonite, odvijaju u kontekstu koji nije izravno povezan sa svrhom za koju su podaci prikupljeni (bavljenje sportom).
Zaključno, iako CJEU ne isključuje mogućnost razmatranja komercijalnog interesa kao legitimnog interesa, naglašava potrebu za rigoroznom procjenom nužnosti i razmjernosti obrade osobnih podataka, uzimajući u obzir specifične okolnosti poseban slučaj.
Nužno je da provedene dobar, točan i precizan test razmjernosti (legitimnog interesa)
Ova presuda, iako nije revolucionarna, daje jasnoću i pravnu sigurnost u poslovnoj sferi. Kada uz istu znamo da su usvojene i nove smjernice EDPB-a o legitimnom interesu, mnogima će puno toga biti jasnije (ako im nije do sada bilo jasno).
Njegova glavnina leži u činjenici da je najviši europski sud izričito potvrdio da se isključivo komercijalni interesi mogu smatrati legitimnim i naglašava da je tumačenje nizozemskog tijela za zaštitu podataka i AEPD-a, kao i španjolskog Vrhovnog suda, pretjerano restriktivno.
Poduzeća koja posluju u Europskoj uniji cijenit će pravnu sigurnost koju pruža ova presuda, omogućujući im da obavljaju svoje aktivnosti s većom sigurnošću u pogledu ograničenja i opsega obrade podataka u komercijalne svrhe na temelju legitimnog interesa. Međutim, bitno je zapamtiti da ovaj koncept nije apsolutan i da se mora primjenjivati od slučaja do slučaja. Ravnoteža interesa i dalje je ključna za utvrđivanje je li obrada podataka razmjerna i potrebna za namjeravanu svrhu. Zato, ako vam je jako važno pozvati se na legitiman interes kao pravnu osnova i ne znate ili niste sigurni jeste li ga dobro proveli javite se stručnjaku kako ne biste strahovali od nadzora, nezakonite obrade i svega što kršenje GDPR-a nosi sa sobom.