EDPB: Zakoniti interes
Evropski odbor za varstvo podatkov je v okviru mehanizma »vse na enem mestu« (ang. One-Stop-Shop ali OOS« preučeval odločbe, ki se ukvarjajo z pravno podlago obdelave osebnih podatkov po 6/1(f) GDPR.
Novica je bila objavljena 26. 3. 2026.
Čeprav legitimni interes ostaja ena izmed najbolj fleksibilnih pravnih podlag, ga EDPB dosledno obravnava restriktivno, zlasti v kontekstu profiliranja, vedenjskega oglaševanja in kompleksnih ekosistemov, kjer sodeluje več upravljavcev. Ključno vprašanje ni več zgolj obstoj zakonitega interesa, temveč dokazljivost njegove nujnosti in tehtanje proti pričakovanjem ter pravicam posameznika.
Struktura presoje legitimnega interesa kot presečišče prava in arhitekture obdelave
Test legitimnega interesa se v praksi vedno začne z identifikacijo zakonitega interesa upravljavca ali tretje osebe. Vendar EDPB poudarja, da mora biti ta interes realen, aktualen in dovolj specifičen, da lahko prestane nadaljnjo presojo nujnosti.
Nujnost pomeni, da obdelava ne sme presegati tistega, kar je objektivno potrebno za dosego cilja. V digitalnih okoljih, kjer se podatki pogosto zbirajo za več sekundarnih namenov, je ta kriterij pogosto spregledan ali preširoko interpretiran.
Šele nato sledi tehtanje, kjer se legitimni interes sooči z interesi in temeljnimi pravicami posameznika. EDPB v smernicah o targetiranju uporabnikov posebej poudarja, da lahko kombinacija opazovanih in izpeljanih podatkov vodi v visoko stopnjo posega v zasebnost, tudi če posamezni podatkovni elementi sami po sebi niso občutljivi.
Pričakovanja posameznika kot materialni standard zakonitosti
Eden ključnih elementov tehtanja je razumno pričakovanje posameznika. Ta koncept ni statičen, temveč odvisen od konteksta storitve, odnosa med strankami in transparentnosti obdelave.
EDPB izpostavlja, da v okoljih družbenih omrežij uporabniki pogosto ne pričakujejo obsežnega profiliranja za namen ciljnega oglaševanja, še posebej kadar gre za kombinacijo podatkov, pridobljenih od različnih virov. To bistveno vpliva na rezultat tehtanja, saj zmanjšuje težo interesa upravljavca in krepi položaj posameznika.
V praksi to pomeni, da formalno sklicevanje na legitimni interes ne more nadomestiti pomanjkljive transparentnosti ali nejasnih informacij o obsegu obdelave.
Veliki ekosistemi in razpršena odgovornost
Poseben izziv predstavlja določitev vlog v ekosistemih digitalnega oglaševanja. EDPB v svojih smernicah o konceptu upravljavca in obdelovalca poudarja, da se vloga ne določa formalno, temveč na podlagi dejanskega vpliva na namene in sredstva obdelave.
To pomeni, da lahko več subjektov hkrati sodeluje pri isti obdelavi kot skupni upravljavci, kar neposredno vpliva na presojo legitimnega interesa. V takšnih primerih ni dovolj, da vsak akter izvede izoliran test, temveč je potrebna usklajena in dokumentirana analiza celotne verige obdelave.
Ta pristop povečuje pomen načela odgovornosti iz člena 5(2) GDPR, saj mora vsak upravljavec dokazati, kako je bil test izveden in kako so bile upoštevane pravice posameznikov.
Dokumentacija kot jedro skladnosti
Legitimni interes je ena redkih pravnih podlag, kjer GDPR ne zahteva formalnega soglasja ali pogodbenega okvira, vendar zato bistveno povečuje pomen dokumentacije.
Organizacije morajo biti sposobne dokazati:
·
·
·
·
V praksi to pomeni, da brez strukturirane LIA (Legitimate Interest Assessment), analiza legitimnega interesa postane težko prestane nadzorne postopke.
Zaključek: legitimni interes kot dinamičen standard, ne statična izjema
Dokument EDPB jasno kaže, da legitimni interes ni “varnostna klavzula”, temveč dinamičen pravni standard, ki zahteva kontekstualno presojo, tehnično razumevanje obdelave in visoko stopnjo organizacijske discipline.
V digitalnih ekosistemih, kjer se podatki neprestano združujejo, profilirajo in prenašajo med različnimi akterji, se težišče presoje vse bolj premika k pričakovanjem posameznika in dejanskemu vplivu obdelave, ne zgolj k formalni pravni kvalifikaciji interesa.
Celotni dokument je dostopen tukaj.
Vir: EDPB
Naslovna fotografija: Unsplash
