מועצת הרשויות הלאומיות להגנת מידע במדינות האיחוד האירופי פרסמה לאחרונה מסמך סיכום ולקחים על החלטות הרשויות הלאומיות בנושא "אינטרס לגיטימי" כבסיס משפטי לעיבוד מידע לפי ה-GDPR.
כזכור, על מנת להסתמך על אינטרס לגיטימי, על בעל השליטה במידע לעמוד בשלושה תנאים: קיום אינטרס לגיטימי של בעל השליטה עצמו או צד שלישי; הכרח בעיבוד הנתונים למימוש אותו אינטרס; ואיזון בין האינטרס לבין זכויות הפרט והאינטרסים שלו – בתנאי שהאינטרס של הפרט לא גובר.
לפי ממצאי הדו"ח, עיקר הכשלים של ארגונים נבעו משלוש סיבות: ראשית, רבים לא ערכו תיעוד מוקדם ומסודר של הערכת האינטרס הלגיטימי לפני תחילת העיבוד. שנית, ניסוחים עמומים כגון "מדידת ביצועי תוכן" נדחו כלא קונקרטיים דיים. שלישית, גם כאשר אינטרס לגיטימי הוכר עקרונית, נמצא לעיתים קרובות שהעיבוד חרג מהנדרש.
בתחום האשראי הצרכני הרשויות הלאומיות להגנת מידע דנו ששאלות כגון בדיקות אשראי לפני עסקאות, דיווח למאגרי חדלות פירעון, וחשיפה פומבית של חייבים. נמצא כי יש לבצע הערכה פרטנית בכל מקרה, ולא לאמץ מדיניות גורפת.
בתחום מניעת הונאות הרשויות הלאומיות להגנת מידע העניקו גמישות רבה יחסית לארגונים, לרבות העברת נתוני לקוחות לשירותי מניעת הונאה של צד שלישי, ושמירת פרטי משתמשים למניעת שימוש חוזר בניסיונות חינם.
במקרה של ניטור רכבי השכרה, הרשויות קבעו שאיסוף נתוני מיקום מופרז – כגון כל 30 שניות – חורג מהנדרש ואינו עומד במבחן ההכרח.
שתי סוגיות בולטות עלו בנוסף. האחת נוגעת להבדלים בין מדינות חברות בהערכת האינטרס הלגיטימי, מה שמציב אתגרי ברירת דין בפני רשויות הפיקוח. השנייה עוסקת בניסיונות של ארגונים להסתמך על אינטרס לגיטימי בדיעבד. רוב הרשויות דחו גישה זו. כלומר, הסתמכות על אינטרס לגיטימי מחייבת הערכה מוקדמת, מפורטת ושקופה – ואינה יכולה לשמש כ"מוצא אחרון" בדיעבד לאחר כישלון בסיסים משפטיים אחרים.