„Neaiškumo“ spąstai: ko mus moko naujoji EDAV bylų apžvalga apie teisėtą interesą

Ar kada nors susimąstėte, kas iš tikrųjų vyksta už uždarų Europos duomenų apsaugos institucijų durų, kai jos diskutuoja apie „teisėto intereso“ spragą? Metų metus šis konkretus teisinis pagrindas kai kurių buvo vertinamas kaip „išėjimo iš kalėjimo kortelė“ – būdas tvarkyti duomenis, kai sutikimas atrodo per daug apsunkinantis. Tačiau nauja svarbi Europos duomenų apsaugos valdybos (EDAV) ataskaita rodo, kad neaiškių pateisinimų era oficialiai baigėsi.

2026 m. kovo 26 d. EDAV paskelbė savo „vieno langelio“ principu parengtą bylų apžvalgą (angl. Case Digest) apie teisėtą interesą. Kaip skaitmeninis detektyvas, leidžiantis dienas analizuodamas privatumo politikas, šią ataskaitą matau kaip gyvybiškai svarbų kompasą visiems, klaidžiojantiems reguliavimo labirintuose. Tai nėra tik senų bylų rinkinys; tai aiškus signalas, kad reguliuotojai pavargo matyti „verslo interesus“, naudojamus kaip skydą invazinei duomenų tvarkymo praktikai.

Tikslas prieš interesą: plona riba

Viena įspūdingiausių ataskaitos dalių yra tai, kaip EDAV nubrėžia ribą tarp „tikslo“ ir „intereso“. Kitaip tariant, „tikslas“ yra jūsų konkretus siekis – pavyzdžiui, naujienlaiškio siuntimas, o „interesas“ yra platesnė nauda, pavyzdžiui, pardavimų didinimas.

Savo darbe dažnai matau, kaip įmonės painioja šias dvi sąvokas. Jos gali teigti, kad jų teisėtas interesas yra „duomenų tvarkymas rinkodaros tikslais“. EDAV sako, kad to nepakanka. Turite nustatyti pagrindinį interesą, kurį turite vykdydami tą tvarkymą. Įsivaizduokite tai kaip namo statybą: tikslas yra brėžinys, o interesas – priežastis, kodėl apskritai statote namą. Jei pamatas netvirtas arba neapibrėžtas, sugriūva visa teisinė struktūra.

Trys dažniausios klaidos

Analizuodamas duomenų saugumo pažeidimus ar reguliavimo auditus, ieškau dėsningumų. EDAV padarė tą patį, nustatydama tris pasikartojančias klaidas, dėl kurių duomenų tvarkymas tampa neatitinkantis reikalavimų.

Pirma, daugelis duomenų valdytojų nesugeba tiksliai suformuluoti savo intereso. Abstrakčių terminų, tokių kaip „naudotojų patirties gerinimas“, naudojimas be išsamesnės informacijos yra pavojaus signalas. Antra, įmonės neatlieka teisėto intereso vertinimo (angl. Legitimate Interest Assessment, LIA) prieš pradėdamos rinkti duomenis. Praktiškai LIA neturėtų būti pateisinimas po fakto; tai turėtų būti griežtas, dokumentuotas testas, ar jūsų poreikiai nusveria naudotojo teises. Galiausiai ataskaitoje pabrėžiama būtinumo testo nesėkmė. Jei savo tikslą galite pasiekti mažiau invazinėmis, privatumą tausojančiomis priemonėmis, pavyzdžiui, naudodami pseudonimizuotus duomenis, jūsų dabartinis metodas tikriausiai yra neteisėtas.

„Įprastos praktikos“ mitas

Technologijų pasaulyje vyrauja gajus mitas, kad jei visi kiti jūsų pramonės šakoje taip daro, vadinasi, viskas gerai. EDAV ataskaita sugriauna šią iliuziją. Reguliuotojai nustatė, kad vien tai, jog duomenų tvarkymo praktika yra „įprasta“ tam tikrame sektoriuje, nereiškia, kad naudotojas turėtų pagrįstai jos tikėtis.

Iš esmės duomenų subjekto „pagrįsti lūkesčiai“ yra susiję su skaidrumu. Jei naudotojas atidaro orų programėlę, jis tikisi, kad jo buvimo vieta bus naudojama prognozei, o ne parduota rizikos draudimo fondui rinkos analizei. Net jei kiekviena rinkoje esanti orų programėlė tai daro, tai vis tiek išlieka pažeidimu, jei tai nėra tai, ko asmuo natūraliai tikėtųsi remdamasis teikiama paslauga.

Nauji interesai: nuo taksi iki oro eismo

Nors dauguma ataskaitoje pateiktų sprendimų laikosi nusistovėjusių pozicijų, keli „nauji“ interesai patraukė mano dėmesį. Pavyzdžiui, kai kurios institucijos pripažino, kad taksi keleivių vertinimas siekiant užtikrinti vairuotojų saugumą yra teisėtas interesas. Panašiai, pasaulinių oro eismo duomenų įrašymas trečiųjų šalių naudojimui buvo laikomas priimtinu tam tikromis sąlygomis.

Šie pavyzdžiai rodo, kad BDAR nėra statiška siena; tai lanksti sistema. Tačiau ši sėkmė buvo įmanoma tik todėl, kad dalyvaujančios įmonės pateikė itin detalius aprašymus ir įdiegė tvirtas saugumo priemones. Jos ne tik prašė leidimo; jos įrodė, kad jų konkretus metodas buvo vienintelis būdas pasiekti gyvybiškai svarbų saugumo ar veiklos tikslą.

Laiko atgal neatsuksi

Paskutinė svarbi išvada: negalite atgaline data pakeisti savo teisinio pagrindo. Jei pradėjote tvarkyti duomenis remdamiesi sutikimu ir tas sutikimas atšaukiamas, negalite staiga pareikšti apie „teisėtą interesą“, kad pasiliktumėte duomenis. Mačiau įmones, bandančias keisti savo teisinius pagrindus eigoje, kai supranta padariusios klaidą. „Vieno langelio“ principo sprendimai yra aiškūs: pasirinkę kelią, privalote jo laikytis. Dėl to pradinė projektavimo fazė – privatumas projektuojant (angl. Privacy by Design) – tampa svarbesnė nei bet kada anksčiau.

Veiksmai kitam jūsų auditui

Nesvarbu, ar esate duomenų apsaugos pareigūnas, veikiantis kaip vertėjas savo inžinierių komandai, ar verslo savininkas, bandantis laikytis reikalavimų, štai kontrolinis sąrašas, padėsiantis užtikrinti, kad jūsų teisėtas interesas atlaikytų patikrą:

• Apibrėžkite „kodėl“ ir „ką“: Dokumentacijoje aiškiai atskirkite savo verslo interesą nuo konkretaus duomenų tvarkymo tikslo.
• „Mažiau invazinio“ būdo testas: Prieš diegdami naują funkciją, paklauskite: „Ar yra būdas tai padaryti su mažiau duomenų?“. Jei atsakymas yra „taip“, privalote naudoti tą metodą.
• Atnaujinkite savo pranešimą apie privatumą: Atsisakykite bendrinės teisinės kalbos. Paaiškinkite konkrečią naudą, kurios siekiate, kad naudotojai nebūtų nustebinti.
• Dokumentuokite pusiausvyros vertinimą: Jūsų LIA turėtų būti gyvas dokumentas, kuriame jūsų interesai lyginami su galimomis rizikomis asmeniui.

Galiausiai, privatumas yra pagrindinė žmogaus teisė, o ne tik atitikties varnelė. Būdami skaidrūs ir proporcingi, į duomenis žiūrite ne kaip į toksišką turtą, o kaip į bendrą atsakomybę.

Šaltiniai

• Bendrasis duomenų apsaugos reglamentas (BDAR), 6 straipsnio 1 dalies f punktas
• Bendrasis duomenų apsaugos reglamentas (BDAR), 13, 14 ir 60 straipsniai
• EDPB One-stop-shop Case Digest - Legitimate Interest (March 2026)
• EDPB Guidelines 1/2024 on the processing of personal data based on Article 6(1)(f) GDPR

Atsakomybės apribojimas: šis straipsnis yra tik informacinio ir žurnalistinio pobūdžio ir nėra oficiali teisinė konsultacija. Jei susiduriate su konkrečia reguliavimo problema, pasikonsultuokite su kvalifikuotu teisės specialistu.