Legitimate interest у маркетингу: правова підстава чи прямий шлях до скарг? 

Під час здійсненння маркетингових активностей багато компаній розглядають законний інтерес як універсальну правову підставу для роботи з персональними даними. На відміну від згоди, ця підстава не потребує окремого підтвердження від користувача і саме тому її часто можуть використовувати для email-розсилок, аналітики, ремаркетингу або передачі даних рекламним платформам. 

Проте регулятори часто підкреслюють, що законний інтерес не є “last resort” замість згоди, а є правовою підставою, яка вимагає складної попередньої оцінки та повинна бути належним чином задокументова. В іншому випадку посилання на legitimate interest може стати причиною скарг користувачів і перевірок регуляторів.

У цій статті розглянемо, коли legitimate interest може використовуватися у маркетингу, які вимоги ставить GDPR, як правильно проводити Legitimate Interest Assessment (LIA) та які помилки найчастіше допускає бізнес.

Що таке legitimate interest за ​​GDPR

GDPR передбачає шість правових підстав для обробки персональних даних. Однією з них є legitimate interest, тобто законний інтерес контролера або третьої сторони.

Відповідно до статті 6(1)(f) GDPR, обробка даних є законною, якщо вона необхідна для реалізації законного інтересу контролера, за умови що такі інтереси не переважають права та свободи суб’єкта даних. Це одна з найбільш гнучких правових підстав, оскільки вона не прив’язана до конкретної категорії даних чи ситуації. На відміну від згоди або виконання договору, legitimate interest передбачає індивідуальну оцінку обставин конкретної обробки.

Законний інтерес дозволяє обробляти дані без згоди користувача, але лише тоді, коли:

• компанія має реальний та обґрунтований інтерес;
• обробка є необхідною для досягнення цієї мети;
• інтереси компанії не переважають права та свободи користувача.

GDPR прямо визнає, що обробка даних для прямого маркетингу може ґрунтуватись на законному інтересі. Однак це не означає, що будь-яка маркетингова активність автоматично відповідає цій підставі. Використання legitimate interest можливе лише після проведення тесту баланасування інтересів, який демонструє, що інтереси бізнесу не порушують права суб’єктів даних.

У 2024 році Європейська рада із захисту даних (EDPB) опублікувала Guidelines on processing of personal data based on 6(1)(f) GDPR (Guidelines 1/2024), які значно деталізують підхід до використання законного інтересу та підкреслюють необхідність ретельної оцінки балансу між інтересами бізнесу та правами суб’єктів даних. 

Що саме змінили рекомендації EDPB 2024 року

Guidelines 1/2024 фактично стали найдетальнішим тлумаченням legitimate interest з моменту прийняття GDPR.

По-перше, EDPB підкреслив, що інтерес має бути чітко сформульованим і реальним, а не абстрактним бізнес-інтересом. Наприклад, формулювання “маркетингова діяльність” або “розвиток бізнесу” не є достатнім. Компанія повинна пояснити конкретну мету обробки.

По-друге, EDPB наголошує на суворому застосуванні necessity test. Обробка персональних даних повинна бути дійсно необхідною для досягнення мети. Якщо тієї ж мети можна досягнути менш інвазивним способом (наприклад, анонімною аналітикою), reliance на legitimate interest може бути визнаний непропорційним.

По-третє, центральним елементом оцінки є reasonable expectations суб’єкта даних. Якщо людина не могла розумно очікувати таку обробку в момент збору даних, баланс інтересів, швидше за все, буде не на користь компанії. Особливо це стосується маркетингових кампаній, де дані передаються третім сторонам, використовуються для таргетованої реклами, або ж комбінуються з іншими джерелами.

Практика регуляторів підтверджує, що саме такі сценарії найчастіше викликають сумніви щодо reasonable expectations суб’єктів даних. Наприклад:

Case study CNIL: Компанія передавала персональні дані користувачів третій стороні для проведення маркетингових кампаній, обґрунтовуючи таку обробку legitimate interest. Проте регулятор встановив, що суб’єкти даних не були належним чином поінформовані про можливість передачі їхніх даних іншим компаніям. У результаті CNIL дійшов висновку, що користувачі не могли розумно очікувати подальшого використання своїх даних у маркетингових цілях третьої сторони, а отже баланс інтересів не був дотриманий.

Цей кейс добре ілюструє позицію EDPB: якщо обробка виходить за межі того, що користувач може обґрунтовано очікувати під час надання своїх даних, reliance на legitimate interest стає проблематичним.

Чому бізнес часто обирає legitimate interest

На практиці legitimate interest виглядає привабливою підставою для маркетингу, адже порівняно зі згодою він має кілька очевидних переваг:

1. Компанії не потрібно отримувати окрему згоду користувача, що може значно спрощувати реєстраційні форми та маркетингові процеси.
2. Законний інтерес не можна відкликати так само легко, як згоду. Якщо користувач відкликає consent, компанія повинна негайно припинити відповідну обробку.
3. Бізнес часто вважає законний інтерес більш стабільною правовою підставою у довгостроковій перспективі.

Проте, розглядати законний інтерес як “спрощену” підставу для обробки персональних даних є помилкою. Навпаки, він вимагає більш ретельного аналізу і документування. Крім того, у більшості маркетингових сценаріїв застосовується також ePrivacy Directive, яка регулює електронні комунікації. У багатьох країнах ЄС вона вимагає отримання згоди для email-маркетингу або SMS-розсилок, за винятком окремих ситуацій (наприклад, soft opt-in для існуючих клієнтів).

Суди також підтверджують, що reliance на legitimate interest у маркетингових процесах має обмеження, особливо коли застосовуються спеціальні правила електронних комунікацій. У рішенні Федерального адміністративного суду Німеччини (BVerwG 6 C 3.23) компанія збирала контактні дані стоматологічних клінік із публічних довідників і використовувала їх для телефонної реклами. Контролер стверджував, що така обробка може базуватися на legitimate interest відповідно до статті 6(1)(f) GDPR. Однак суд зазначив, що правила ePrivacy щодо телефонного маркетингу встановлюють суворіші вимоги. Зокрема, для таких комунікацій необхідна попередня згода або наявність існуючих ділових відносин. Тому навіть потенційна можливість застосування legitimate interest не могла виправдати таку обробку.

Читайте більше: Marketing compliance очима регулятора: ТОП-5 помилок, що можуть призвести до штрафів за GDPR

Legitimate Interest Assessment: що це і навіщо він потрібен

Щоб використовувати законний інтерес як правову підставу, компанія повинна провести Legitimate Interest Assessment (LIA), тобто оцінку законного інтересу. Це внутрішній документ, який пояснює, чому саме ця правова підстава є обґрунтованою.

LIA зазвичай включає три ключові етапи.

1. Purpose test (визначення законного інтересу)

На першому етапі компанія повинна чітко сформулювати, який саме інтерес вона переслідує. У маркетингу таким інтересом може бути, наприклад:

• просування власних товарів або послуг;
• підтримка відносин з існуючими клієнтами;
• аналіз ефективності маркетингових кампаній.

Як вже було сказано раніше, EDPB підкреслює, що такий інтерес має бути чітко визначеним, а не сформульованим надто загально (наприклад, “покращення бізнесу”).

2. Necessity test (необхідність обробки)

Другий етап передбачає оцінку того, чи є обробка даних дійсно необхідною для досягнення цієї мети.

Компанія повинна відповісти на запитання: чи можна досягти тієї ж мети без використання персональних даних, чи можна використовувати менший обсяг даних, чи існують менш інвазивні альтернативи.

Наприклад, якщо маркетингова аналітика може проводитися на основі агрегованих або анонімізованих даних, використання повних персональних профілів може бути визнано непропорційним. Наприклад:

Case stuty AEPD: Компанія здійснювала поштову рекламну розсилку та обґрунтовувала обробку законним інтересом, а саме залученням нових клієнтів і підвищенням впізнаваності бренду. Контролер навіть надав регулятору LIA, у якому зазначалося, що вплив на приватність мінімальний, оскільки поштові листи є менш інвазивними, ніж телефонні дзвінки. Проте AEPD визнала таку оцінку недостатньою і встановила порушення статті 6 GDPR. Регулятор звернув увагу на те, що так звані “додаткові гарантії”, на які посилалася компанія, фактично були лише базовими вимогами законодавства, а не реальними заходами для зменшення ризиків для суб’єктів даних.

З цього рішення ми можемо зробити висновок, що necessity test не зводиться до формального обґрунтування зручності обробки для бізнесу.

3. Balancing test (балансування інтересів)

На третьому етапі оцінюється баланс між інтересами компанії та правами користувача.

У цьому контексті особливу роль відіграє поняття “розумних очікувань” суб’єкта даних.

Серед ключових факторів, які враховують регулятори:

1. Очікування користувача, наприклад, чи міг користувач розумно очікувати таку обробку?
2. Контекст взаємодії, наприклад, чи є між компанією і особою існуючі відносини (наприклад, клієнтські)?
3. Інвазивність обробки, наприклад, чи включає вона профілювання, трекінг або комбінування даних з різних джерел?
4. Категорії даних, наприклад, чи використовуються чутливі або особливо захищені дані?
5. Можливість заперечення, наприклад, чи може користувач легко відмовитися від обробки?

Якщо людина залишила email для отримання доступу до курсу, вона може очікувати інформаційні повідомлення щодо цього курсу. Проте вона навряд чи очікує регулярних маркетингових листів із пропозиціями інших продуктів.

Така невідповідність між очікуваннями користувача та фактичною обробкою даних часто стає підставою для скарг. Наприклад:

Case study APD/GBA: Компанія здійснювала маркетингові комунікації на основі бази контактів, придбаної у стороннього постачальника. Контролер стверджував, що законність обробки підтверджується контрактом із продавцем даних, який гарантував відповідність збору даних вимогам законодавства. Проте регулятор наголосив, що відповідно до принципу accountability компанія не може покладатися виключно на такі гарантії. Контролер повинен самостійно перевірити, як саме були зібрані персональні дані та чи існувала правова підстава для їх первинної обробки. Сам факт того, що дані були придбані у постачальника, не звільняє контролера від відповідальності за законність подальшої обробки. Оскільки компанія не змогла довести законність походження даних і перевагу свого інтересу над правами суб’єктів даних, обробка була визнана такою, що не має належної правової підстави.

Читайте більше: Cold email-маркетинг і персональні дані. Як законно писати потенційним клієнтам

Як зменшити ризики

Щоб legitimate interest дійсно був законною підставою для маркетингової діяльності, а не джерелом скарг або перевірок регуляторів, компаніям варто інтегрувати privacy-підхід у процес планування маркетингових кампаній.

1. Насамперед необхідно проводити повноцінну Legitimate Interest Assessment (LIA) і документувати її результати. 

Така оцінка повинна містити чітке формулювання законного інтересу компанії, аналіз необхідності обробки персональних даних та балансування інтересів бізнесу і прав суб’єктів даних. Важливо, щоб LIA був не формальним документом, підготовленим постфактум, а реальною оцінкою, проведеною ще на етапі планування обробки даних.

2. Другим ключовим елементом є врахування reasonable expectations користувачів.

Компанія повинна оцінити, чи могла особа обґрунтовано очікувати таку обробку у момент надання своїх даних. Якщо маркетингова активність виходить за межі початкового контексту взаємодії, наприклад, передбачає передачу даних третім сторонам або використання даних для інших продуктів – баланс інтересів може бути порушений. У таких випадках доцільно або отримати згоду користувача, або запровадити додаткові гарантії, що зменшують ризики для приватності.

3. Не менш важливою є мінімізація даних. 

Використання великих масивів персональних даних або побудова детальних профілів користувачів для маркетингових цілей може істотно впливати на баланс інтересів. Тому компаніям варто обмежувати обсяг даних, що використовуються у маркетингових процесах, а також розглядати можливість використання агрегованих або псевдонімізованих даних там, де це можливо.

4. Ще одним важливим фактором є прозорість обробки. 

Користувач повинен чітко розуміти, які саме дані збираються, для яких маркетингових цілей вони використовуються та чи передаються вони іншим компаніям. Недостатня або нечітка інформація у privacy policy часто стає ключовим аргументом регуляторів у справах щодо неправомірного використання legitimate interest.

5. І нарешті, компанії повинні забезпечити простий і зрозумілий механізм заперечення проти обробки. 

Відповідно до статті 21 GDPR суб’єкт даних має право у будь-який момент заперечити проти обробки персональних даних для цілей прямого маркетингу. Це означає, що кожна маркетингова комунікація повинна містити зрозумілий і легкодоступний механізм відмови (opt-out), а компанія повинна оперативно реагувати на такі заперечення.

У результаті ефективне використання legitimate interest у маркетингу залежить не лише від правильного формулювання правової підстави, але й від загального рівня зрілості privacy-практик у компанії. Інтеграція принципів privacy by design у маркетингові процеси дозволяє суттєво зменшити ризики та підвищити довіру користувачів до обробки їхніх персональних даних.

Висновок

Legitimate interest може бути ефективною правовою підставою для маркетингу, але лише за умови правильного застосування. Він не є заміною згоди чи універсальним інструментом для будь-якої обробки даних.

Регулятори все частіше перевіряють, чи проводили компанії балансування інтересів і чи відповідає обробка розумним очікуванням користувачів. В іншому випадку лише посилання на legitimate interest може стати аргументом у скаргах.

Тому перед використанням цієї правової підстави варто не лише оцінити юридичні ризики, але й інтегрувати privacy-підхід у маркетингові процеси компанії.

Читайте більше: ​​Marketing compliance. Як продавати і не порушувати приватність

Якщо у вас залишилися питання про використання законного інтересу, побудову законних маркетингових кампаній чи потрібна допомога з LIA та іншою документацією, звертайтеся до команди privacy-експертів Legal IT Group. Ми допоможемо адаптувати ваш маркетинг до вимог GDPR.