GDPR 对个人数据的处理制定了明确的规则:只有满足某些条件才允许处理数据。一种选择是依赖合法利益。但要小心,这必须符合法律要求。
公司可以依赖各种法律依据来处理个人数据。一是当事人的同意。然而,这并不总是最实用的解决方案,因为同意可以被撤销,并且在雇佣关系中,同意可能不是员工 100% 自愿的。
处理个人数据的合法依据始终是最安全的选择,例如在疫情 RCS 数据葡萄牙 控制背景下记录员工的疫苗接种状况时就是如此。特别是在客户管理领域,由于缺乏替代方案,处理器依赖合法利益的可能性相当大。但这里必须满足某些条件。
合法权益
GDPR 为个人数据的处理提供了六个允许的法律依据。基于合法利益的处理受到《GDPR》第 6 (1) (f) 条的管制:“处理对于维护控制者或第三方的合法利益是必要的,除非数据主体的利益或基本权利和自由需要保护个人数据,特别是当数据主体是儿童时。”
(注:第 1 款 (f) 项不适用于公共当局在履行职责时进行的处理。同样,根据 GDPR 第 6 款 (f) 条,对儿童个人数据的处理有特殊要求。)
因此,只有处理器满足以下所有三个要求时才允许处理:
处理者或第三方必须对处理拥有合法权益。
为了保护合法利益,该处理是必要的。
数据主体的利益、基本权利和自由不得优先。
下面我们将更详细地讨论这三个要求。
1.“合法利益”的定义
GDPR 没有对“合法利益”一词进行进一步定义。这意味着它最初涵盖了每一种类型的利益,无论其是否具有法律或经济背景。增加“合法”一词可以看作是一种限制,以排除例如与法律相冲突的利益。
合法利益不一定必须是控制者的利益。也可能是第三方(也称为第三方利益相关方)的利益。