Europos duomenų apsaugos valdyba parengė ir paviešino gaires analizuojančias kriterijus, nustatytus Bendrojo duomenų apsaugos reglamento (BDAR) 6 straipsnio 1 dalies f punkte, kuriuos duomenų valdytojai turi atitikti, kad galėtų teisėtai tvarkyti asmens duomenis teisėto intereso pagrindu. Šios gairės parengtos atsižvelgiant į naujausią ESTT sprendimą šiuo klausimu (C-621/22, 2024 m. spalio 4 d.).
Advokatų profesinės bendrijos „NEWTON LAW“ advokatė Asta Kederytė primena, kad pagal BDAR visi duomenų valdytojai turi turėti teisinį pagrindą, kad galėtų teisėtai tvarkyti asmens duomenis. Teisėtas interesas yra tik vienas iš šešių galimų teisinių pagrindų.
Duomenų valdytojas, norėdamas pagrįsti duomenų tvarkymą teisėtu interesu, turi įvykdyti šias tris sąlygas:
1. duomenų valdytojas arba trečioji šalis turi siekti teisėto intereso. Akivaizdu, kad teisėtais interesais gali būti laikomi tik teisėti, aiškiai ir tiksliai suformuluoti, realūs ir esami interesai. Pavyzdžiui, teisėti interesai gali egzistuoti, kai asmuo yra duomenų valdytojo klientas arba jam teikia paslaugas, bei siekia įvykdyti visus tarp jų sudarytoje sutartyje nurodytus įsipareigojimus.
2. yra būtina tvarkyti asmens duomenis siekiant šio teisėto intereso. Jei yra pagrįstų, lygiai taip pat veiksmingų, bet mažiau intervencinių alternatyvų siekiamiems interesams įgyvendinti, duomenų tvarkymas negali būti laikomas būtinu. Duomenų tvarkymo būtinumas taip pat turėtų būti vertinamas atsižvelgiant į duomenų kiekio mažinimo principą.
3. fizinių asmenų interesai ar pagrindinės laisvės ir teisės neturi viršenybės prieš duomenų valdytojo ar trečiosios šalies teisėtą (-us) interesą (-us) (pusiausvyros užtikrinimas). Duomenų valdytojas turi užtikrinti, kad jo teisėtas interesas yra viršesnis už asmens interesus, pagrindines teises ar laisves. Ieškodamas pusiausvyros, duomenų valdytojas turi atsižvelgti į asmenų interesus, duomenų tvarkymo poveikį ir jų pagrįstus lūkesčius, taip pat į tai, ar yra papildomų apsaugos priemonių, kurios galėtų apriboti tą poveikį asmeniui.
Advokatė Asta Kederytė pažymi, kad ši sąlyga reiškia priešingų teisių ir interesų pusiausvyrą, kuri iš esmės priklauso nuo konkrečių tam tikros situacijos aplinkybių. Taigi, duomenų valdytojui kyla pareiga atlikti teisėto intereso pusiausvyros vertinimą, kuriame, be duomenų valdytojo arba trečiosios šalies siekiamo teisėto intereso pobūdžio įvertinimo ir duomenų tvarkymo būtinumo analizės, duomenų valdytojas dar turi nustatyti ir aprašyti:
i) duomenų subjektų interesus, pagrindines teises ir laisves;
ii) duomenų tvarkymo poveikį duomenų subjektams, įskaitant:
a. tvarkytinų duomenų pobūdį,
b. tvarkymo kontekstą ir
c. bet kokias tolesnes duomenų tvarkymo pasekmes;
iii) duomenų subjekto pagrįstus lūkesčius;
iv) galutinę priešingų teisių ir interesų pusiausvyrą, įskaitant galimybę imtis papildomų švelninančių priemonių.
Atlikdamas šį vertinimą duomenų valdytojas turėtų atsižvelgti į tai, kad pagal BDAR jau dabar reikalaujama, jog jis įgyvendintų priemones, kad asmens duomenų tvarkymas ir jo poveikis duomenų subjektams būtų apribotas iki to, kas būtina nurodytam tikslui pasiekti. Advokatė Asta Kederytė pastebi, kad poveikis, įvertintas atliekant teisėto intereso pusiausvyros vertinimą, jau turėtų būti mažiausias galimas poveikis pagal BDAR, nepaisant to, ar priimtos priemonės, kuriomis viršijamos BDAR nustatytos prievolės ir kurios gali būti taikomos kaip švelninančios priemonės.
Be to, jei atliekant šį vertinimą nustatoma didelė rizika, duomenų valdytojas turėtų apsvarstyti galimybę atlikti poveikio duomenų apsaugai vertinimą (PDAV).
Tačiau bet koks duomenų tvarkymas, grindžiamas teisėtu interesu, turi būti būtinas ir suderintas su duomenų subjektų interesais arba pagrindinėmis teisėmis ir laisvėmis. Advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė atkreipia dėmesį, kad duomenų valdytojas privalės įrodyti, kad pusiausvyros nustatymo vertinimas buvo atliktas tinkamai ir kad siekiamas teisėtas interesas yra objektyviai viršesnis už duomenų subjekto interesus, pagrindines teises ir laisves. Jei visgi būtų nustatyta, kad duomenų subjekto interesai, teisės ir laisvės yra viršesni už siekiamus teisėtus interesus bei negalima imtis pakankamų švelninančių priemonių, toks duomenų tvarkymas negali būti grindžiamas teisėto intereso pagrindu ir turėtų būti nutraukiamas.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu: info@newtonlaw.lt arba tel. +370 668 33866
