2025-02-17

ევროპის მონაცემთა დაცვის საბჭოს („EDPB”) გზამკვლევის პროექტი „მონაცემთა დამუშავების ლეგიტიმურ ინტერესის შესახებ“

2024 წლის 7 ოქტომბერს „ევროპის მონაცემთა დაცვის საბჭომ“ გამოსცა რეკომენდაციის პროექტი[1] მონაცემთა დამუშავების ლეგიტიმურ ინტერესთან დაკავშირებით.

პროექტის თანახმად, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირების მიერ მონაცემთა კანონიერების ფარგლებში, დასამუშავებლად აუცილებელია შესაბამისი სამართლებრივი საფუძველის არსებობა. ლეგიტიმური ინტერესი კი ერთ-ერთ სამართლებრივ საფუძველს წარმოადგენს. შესაბამისად, გზამკვლევის პროექტი ეხება დამუშავებისთვის პასუხისმგებელ პირების მიერ ლეგიტიმური ინტერესის საფუძველზე მონაცემთა დამუშავებას.

ინტერესის ლეგიტიმურობის შესახებ:

ლეგიტიმურად შესაძლოა მიჩნეულ იქნას მხოლოდ კანონიერი ინტერესი, რომელიც ჩამოყალიბებულია ნათლად და გარკვევით, არის რეალური და ამჟამინდელი, რეალურ დროში არსებული. მაგალითად, კომპანიას, რომელიც მონაცემთა დამუშავებისთვის პასუხისმგებელი პირია და მონაცემთა სუბიექტს მომსახურებას უწევს შესაძლოა ჰქონდეს მონაცემთა სუბიექტის პერსონალური მონაცემების დამუშავების ლეგიტიმური ინტერესი.

მონაცემთა დამუშავების „აუცილებლობის“ სტანდარტი:

თუ მონაცემთა დამუშავების მიზნის მიღწევა შესაძლებელია სხვა უფრო ადეკვატური და ეფექტიანი ალტერნატივის მეშვეობით, დამუშავება ვერ მიიჩნევა აუცილებელ მეთოდად. დამუშავების აუცილებლობის სტანდარტი უნდა შეფასდეს მონაცემთა მინიმიზაციის პრინციპის გათვალისწინებით.

ინტერესთა ურთიერთბალანსი:

დაუშვებელია დამუშავებისთვის პასუხისმგებელი პირის იმგვარი ლეგიტიმური ინტერესით პერსონალური მონაცემების დამუშავება, რომელიც ხელყოფს მონაცემთა სუბიექტის უფლებებსა და თავისუფლებებს. ლეგიტიმური ინტერესის განსაზღვრისას მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია გაითვალისწინოს მონაცემთა სუბიექტის გონივრული მოლოდინები და უზრუნველყოს დამუშავების რისკთან შესაბამისი მონაცემთა უსაფრთხოების ზომების გატარება.

რეკომენდაცია მიმოიხილავს მონაცემთა დამუშავებისთვის პასუხისმგებელი პირების მიერ მონაცემთა დამუშავების ლეგიტიმური ინტერესის არსებობის შეფასების საკითხს. კერძოდ, რეკომენდაციებში წარმოდგენილია მონაცემთა დამუშავების სხვადასხვა კონტექსტი და მიზანი, როგორიცაა: თაღლითობის პრევენცია, პირდაპირი მარკეტინგი და ინფორმაციის უსაფრთხოება. დოკუმენტი, განიხილავს კავშირს მონაცემთა დამუშავების სამართლებრივ საფუძველსა და ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ გათვალისწინებულ მონაცემთა სუბიექტის უფლებებს შორის.

მონაცემთა ლეგიტიმური დამუშავების განმსაზღვრელი კრიტერიუმები:

რეკომენდაციებში წარმოდგენილია მონაცემთა დაცვის კანონიერად, ლეგიტიმური ინტერესის საფუძველზე დამუშავების კრიტერიუმების[2] ანალიზი.[3]იმისათვის, რომ მონაცემთა დამუშავების სამართლებრივ საფუძველად ლეგიტიმური ინტერესი ჩაითვალოს, ერთდოულად უნდა დაკმაყოფილდეს შემდეგი სამი ძირითადი პირობა:

პერსონალურ მონაცემთა დამუშავების ლეგიტიმური ინტერესის არსებობა;
მონაცემთა დამუშავების ინტერესის მკაფიოდ და გარკვევით ჩამოყალიბება;
დამუშავების ინტერესის რეალურ დროში არსებობა.

პირობა I. მონაცემთა დამუშავების ლეგიტიმური ინტერესის არსებობა:

უპირველეს ყოვლისა, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი უნდა დარწმუნდეს, რომ მისი ინტერესი „ლეგიტიმურია“. აქვე, უნდა აღინიშნოს, რომ არ არსებობს დამუშავების ლეგიტიმური ინტერესების ამოწურვადი ჩამონათვალი და „მონაცემთა დაცვის ძირითადი რეგულაცია“ ლეგიტიმური ინტერესის კონკრეტულ განმარტებას არ შეიცავს.

აგრეთვე, საგულისხმოა, რომ დამუშავებისთვის პასუხისმგებელი პირის ლეგიტიმური „ინტერესი“ მონაცემთა დამუშავებისათვის განსხვავდება მონაცემთა დამუშავების „მიზნისაგან“.[4] დამუშავებისთვის პასუხისმგებელ პირს, შესაძლოა ჰქონდეს მის მიერ წარმოებული პროდუქტის ან მომსახურეობის რეკლამირების ინტერესი, რაც შესაძლოა, პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების გზით განხორციელდეს.

GDPR-ის, აგრეთვე, ევროპის მართლმსაჯულების სასამართლოს პრაქტიკის ანალიზზე დაყრდნობით, ლეგიტიმური ინტერესების მაგალითებია:

ინტერნეტში არსებულ ინფორმაციაზე ხელმისაწვდომობა;
საჯარო ვებგვერდებზე წვდომა;
ქონებრივი ზიანის მიმყენებელი პირის მონაცემებზე წვდომა, ზიანის ანაზღაურების მიზნით.
მაცხოვრებელთა უძრავი ქონების, ჯანმრთელობის და სიცოცხლის დაცვის ინტერესი;
პროდუქტის გაუმჯობესების ინტერესი, მონაცემთა სუბიექტების კრედიტის გადახდის უნარიანობის შემოწმება, და სხვა.

პირობა II. კანონიერია, ჩამოყალიბებულია „ნათლად“ და „გარკვევით“:

ლეგიტიმურად მიიჩნევა ინტერესი, რომელიც კანონიერია, ჩამოყალიბებულია ნათლად და გარკვევით, არის რეალური და ამჟამინდელი (ახლანდელ დროში არსებული). მაგალითად, მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს, როგორც მომსახურების გამწევს, უნდა გააჩნდეს მონაცემთა დამუშავების ლეგიტიმური ინტერესი.

„კანონიერების“ კრიტერიუმი მაგალითი:

კრიტერიუმი მაგალიბამესის საფუხელწოდებაელექტრო სიგარეტის მწარმოებელ ევროპულ კომპანიას სურს წარმოებული პროდუქციის რეკლამირება, რისთვისაც ესაჭიროება, ევროპაში მცხოვრებ მომხმარებლებთან სარეკლამო შეტყობინებების გაგზავნა. აღნიშნული მიზნის განსახორციელებლად, იგი ამუშავებს მომხმარებელთა პერსონალურ მონაცემებს. პირდაპირი მარკეტინგის მიზნებისათვის პერსონალურ მონაცემთა დამუშავების ინტერესი შესაძლოა, ზოგიერთ შემთხვევაში, მონაცემთა დამუშავების ლეგიტიმურ ინტერესად ჩაითვალოს, თუმცა აუცილებელია მონაცემთა დამუშავების კონტექსტის გათვალისწინება.

მოცემულ შემთხვევაში, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, შეამოწმოს მონაცემთა კონკრეტული მიზნით დამუშავების კანონიერება. იმის გათვალისწინებით, რომ ევროკავშირში აკრძალულია ელექტრო სიგარეტის რეკლამა, ევროპული თამბაქოს დირექტივის და მასთან ასოცირებული კანონმდებლობის საფუძველზე, კომპანიას ვერ ექნება ლეგიტიმური ინტერესი პერსონალურ მონაცემთა დამუშავებისათვის, მონაცემთა დამუშავების „კანონიერების ელემენტის“ არარსებობის გამო.

პირობა III. „ნათლად“ და „გარკვევით“ ჩამოყალიბების კრიტერიუმის მაგალითი:

ორგანიზაციას „სამეზობლოს მცველები“ წევრებმა გადაწყვიტეს, რომ სამეზობლოში განათავსონ ვიდეო მეთვალყურეობის სისტემა, საცხოვრებელ პერიმეტრზე პოტენციური კრიმინალური ქმედებების კონტროლის მიზნით.

მიუხედავად იმისა, რომ შესაძლოა ლეგიტიმურ ინტერესად იქნას მიჩნეული ქონების, ჯანმრთელობის და სიცოცხლის დაცვა, ამ კონკრეტულ შემთხვევაში, მეთვალყურეობის სისტემის დასაყენებლად ხსენებული მიზეზი მეტად ზოგადია და არ მიუთითებს კონკრეტული უსაფრთხოების პრობლემაზე, რის საპასუხოდაც პროპორციული იქნებოდა მეთვალყურეობის სისტემის განთავსება. შესაბამისად, ორგანიზაციის ინტერესი ვერ აკმაყოფილებს სამ საფეხურიანი შეფასების კრიტერიუმს.[5]

პირობა III. „რეალურ დროში არსებული“ კრიტერიუმის მაგალითი:

გაზეთის მენეჯმენტს სურს შექმნას მონაცემთა ბაზა, რომელშიც გაერთიანდება ინფორმაცია იმ გამომწერთა შესახებ, რომელთაც შესაბამისი ვადის ამოწურვის შემდგომ, არ მოისურვეს გაზეთის ხელახალი გამოწერა. მონაცემთა ბაზის შექმნის საჭიროებას გაზეთის მენეჯმენტი იმ არგუმენტით ასაბუთებს, რომ მომავალში, ახალი გაზეთის გამოცემის შემთხვევაში, პრაქტიკული იქნება ძველი გამომწერების შესახებ ინფორმაციაზე წვდომა. საგულისხმოა, რომ ახალი გაზეთის ჩამოყალიბების იდეა მხოლოდ ჰიპოთეტური ფორმით არსებობს. მოცემულ შემთხვევაში, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ინტერესი ვერ იქნება აღქმული როგორც „რეალური და ამჟამინდელი“ ინტერესი, ვინაიდან ახალი გაზეთის შექმნის საკითხი მხოლოდ სავარაუდოა. აქედან გამომდინარე, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ინტერესი ლეგიტიმურად ვერ იქნება მიჩნეული.

რეკომენდაციის პრაქტიკული დანიშნულება:

რეკომენდაცია მონაცემთა დამუშავებისთვის პასუხისმგებელ პირებს დაეხმარება ლეგიტიმური ინტერესის საფუძველზე პერსონალური მონაცემების კანონიერად დამუშავებაში.

დამუშავებისთვის პასუხისმგებელი პირები, რეკომენდაციის საშუალებით, დეტალურად გაეცნობიან იმ პირობებსა და კრიტერიუმებს, რომელთა გათვალისწინება და დაკმაყოფილება აუცილებელია პერსონალურ მონაცემთა ლეგიტიმური ინტერესის საფუძველზე დასამუშავებლად.

[1] Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf

[2] GDPR-ის 6(1) (ფ) მუხლში მოცემული კრიტერიუმები

[3] ამავე საკითხს ეხება ევროპული მართლმსაჯულების სასამართლოს ბოლოდროინდელი გადაწყვეტილება (C-621/22, 4 October 2024).

[4] Article 5(1)(b) GDPR.

[5] GDPR-ს მე-6-ე მუხლის (1)(ფ) პუნქტის შესაბამისად.