《数据(使用和访问)法案 2025》(DUAA)为英国《通用数据保护条例》(GDPR)下的个人数据处理引入了一项新的合法依据:即公认的合法利益(RLI)。信息专员办公室(ICO)现已发布最终指南。尽管“合法利益”这一法律依据与常见的“合法利益”并列(参见ICO指南),但其与“合法利益”有所区别,且适用范围更为有限。“合法利益”的目的是为特定类型的、被认为符合公共利益的数据处理活动提供更大的法律确定性,而非为常规商业数据使用提供一种广泛的替代方案。目前依赖“合法利益”开展的活动,如果现在符合“合法利益”的条件,相关机构无需更改其法律依据,但如果更改法律依据能够提供更大的确定性或简化治理,则可以选择更改
什么是公认合法权益(RLI)?
当处理数据是出于英国《通用数据保护条例》(GDPR) 明确认可的特定公共利益目的时,适用“合法利益处理”(RLI)。由于这些目的已获得法律预先批准,因此无需权衡个人的权利和自由(因为这项评估已经完成)。但是,仍然必须确保处理数据对于相关的、已认可的合法利益是必要的,并遵守所有其他英国的 GDPR 的要求
RLI 何时可以使用?
RLI 的适用范围刻意设定得比较窄。仅适用于为实现以下五个目的中的一个或多个目的而必须进行数据处理的情况,因此需要明确您的数据处理目的:
- 公共任务披露请求条件 - 这仅适用于与在英国法律中具有公共任务或官方职能的组织共享数据
- 国家安全、公共安全和国防条件—如果需要处理个人信息以维护国家安全、保护公共安全或出于国防目的,则适用
- 紧急情况—如情况符合 2004 年《民事应急法》中规定紧急情况的定义(例如,对人类福祉构成严重威胁),并且使用个人信息是应对该紧急情况所必需的,则此情况适用
- 犯罪情况—如果需要处理个人信息以侦查、调查或预防犯罪,包括抓捕或起诉犯罪分子,则适用
- 保障条件—如果您需要使用个人信息来保护“弱势个人”,则此条件适用
上述五项条件均有各自的要求。只有当一方明确满足所有条件的要求时,方可依赖任何一项条件。如果适用多项条件,则应记录所有条件;依赖其中一项 RLI 时,您还需遵守其他适用规则。此外,该指南明确指出,如果仅通过自动化处理对某人做出重大决定,则不得依赖 RLI
应采取的行动
RLI现已生效。虽然其不适用于大多数常规处理活动,但各组织应意识到,其引发了一些需要在实践中考虑的问题,包括:
- 前是否有一些活动(例如,与预防欺诈或保障措施相关的活动)依赖于合法利益,而这些活动现在可能属于 RLI 的范畴?如果是,继续依赖合法利益是否仍然合适,或者 RLI 是否能提供更清晰的界定和/或减轻内部治理负担?
- 处理记录、内部政策和隐私声明是否清晰区分了合法权益和基于权利的利益冲突 (RLI)?如果选择依赖 RLI,则可能需要更新处理活动记录和任何相关的隐私声明,以反映这些变更
- 相关团队是否意识到 RLI 的适用范围有限以及应用范围过广的风险?
未授权,勿转载
免责声明:洞察仅用于学习目的及向您提供一般信息和法律的一般理解,任何内容都不应被用作您所在司法辖区内进行经营决策的依据及持照法律/监管建议的替代品。