כדי להתבסס על אינטרס לגיטימי של בעל השליטה לשם עיבוד חוקי של מידע, צריכים להתקיים שלושה תנאים מצטברים: (1) קיומו של אינטרס לגיטימי; (2) עיבוד המידע הכרחי למימוש האינטרס הלגיטימי; (3) משקל האינטרסים והחירויות של נושאי המידע לא עולה על משקל האינטרס הלגיטימי. כך לפי הנחיה חדשה של המועצה האירופית להגנה על מידע (ה-EDPB).
אינטרס לגיטימי הוא אחד מששת הבסיסים לעיבוד חוקי של מידע תחת ה-GDPR. לפי סעיף 6(1)(f) ל-GDPR, עיבוד מידע ייחשב לחוקי אם הוא נחוץ למימוש אינטרס לגיטימי של בעל השליטה או צד שלישי, למעט במקרים בהם האינטרסים, הזכויות והחירויות של נושאי המידע גוברים עליו. ההנחיה מפרטת את האופן שבו יש לנתח את קיומו של אינטרס לגיטמי. בנוסף, ההנחיה מנתחת את הקשר בין האינטרס הלגיטימי ובין מספר זכויות נושאי מידע, שבעל השליטה רשאי לפי חוק לסרב למימושן במקרה בו מתקיים אינטרס כאמור.
כדי שבעל השליטה במידע יוכל להישען על בסיס זה לעיבוד המידע, עליו לבחון את התקיימותם של שלושה תנאים מצטברים:
- קיומו של אינטרס לגיטימי, שבעל השליטה (או צד שלישי) פועל למימושו – ה-EDPB מדגיש כי לא כל אינטרס של בעל השליטה או של צד שלישי ייחשב לאינטרס לגיטימי לעיבוד מידע. אמנם לא קיימת רשימה ממצה של אינטרסים שעשויים להיחשב לגיטימיים; אך יש אינטרסים שהוכרו כלגיטימיים בחוק או בפסיקת ה-CJEU, כגון הבטחת המשך תפקודו של אתר אינטרנט נגיש לציבור, השגת מידע אישי של אדם שפגע ברכוש של אחר לשם תביעת הנזקים ממנו, או שיפור מוצר. לפי ההנחיה, ניתן לראות אינטרס כ"לגיטימי" אם מתקיימים הקריטריונים המצטברים הבאים:
- האינטרס אינו מנוגד לדיני האיחוד האירופי או המדינות החברות באיחוד (אם כי אין חובה שיהיה אינטרס המעוגן בחוק).
- האינטרס מוגדר באופן ברור ומדויק, כך שניתן לאזנו כראוי מול האינטרסים או הזכויות והחירויות הבסיסיות של נושאי המידע.
- האינטרס אינו תיאורטי או היפותטי, אלא קיים בפועל במועד עיבוד המידע.
מעבר להיותו של האינטרס לגיטימי, עליו להיות קשור לתחום הפעילות של בעל השליטה (או הצד השלישי). כך לדוגמה, האינטרס של שיתוף מידע עם רשויות אכיפת החוק לשם איתור עבירות פליליות עשוי להיות, כשלעצמו, לגיטימי – איך אם פעילותו של בעל השליטה היא מסחרית במהותו, האינטרס לא יהיה לגיטימי משום שהוא לא קשור לפעילותו השוטפת של בעל השליטה.
- עיבוד המידע הכרחי למימוש האינטרס הלגיטימי – ההערכה של הכרחיות עיבוד המידע כרוכה בבירור השאלה האם ניתן בפועל לממש את האינטרס הלגיטימי באופן סביר באמצעים אחרים, שפחות פוגעים בזכויות ובחירויות היסוד של נושאי המידע. ה-CJEU קבע בהקשר זה כי הבחינה האמורה צריכה להתבצע בשים לב לעקרון צמצום המידע המעוגן בסעיף 5(1)(c) ל-GDPR.
- איזון בין האינטרס הלגיטימי ובין זכויות וחירויות היסוד של נושאי המידע – לביצוע מבחן האיזון, על בעל השליטה לזהות מהם האינטרסים, הזכויות והחירויות הבסיסיות של נושאי המידע; כיצד ישפיע העיבוד על נושאי המידע, בשים לב לאופי המידע שיעובד וההקשר בו יבוצע; ומהן הציפיות הסבירות של נושאי המידע ביחס לעיבוד המידע שלהם. על בסיס האמור, יש לבחון את האינטרסים והזכויות של נושאי המידע שזוהו מול האינטרס הלגיטימי של בעל השליטה, ולאזן ביניהם. ההנחיה מדגישה כי אין מניעה שתהיה השפעה מסוימת על האינטרסים והזכויות של נושאי המידע. המטרה היא למנוע השפעה בלתי מידתית עליהם.