Легитимен интерес — кога и как да го приложите (LIA тест)
Кратък отговор: Легитимният интерес по чл. 6(1)(f) GDPR е правно основание, което позволява обработка на лични данни, когато администраторът има реален и конкретен интерес (напр. сигурност, маркетинг, предотвратяване на измами), обработката е необходима за постигането на този интерес и интересът не се надделява от правата на субекта на данни. Преди да го приложите, трябва да извършите и документирате тристепенен тест, известен като LIA (Legitimate Interest Assessment).
Съдържание
- Какво е легитимен интерес
- Тристепенният LIA тест
- Стъпка 1: Идентифициране на интереса (Purpose Test)
- Стъпка 2: Необходимост (Necessity Test)
- Стъпка 3: Балансиране (Balancing Test)
- Практически примери с LIA анализ
- Право на възражение (чл. 21 GDPR)
- Практика на КЗЛД
- LIA и DPIA — каква е разликата
- Шаблон за LIA документация
- Често задавани въпроси
Легитимният интерес е едно от шестте правни основания за обработка на лични данни по GDPR. То е най-гъвкавото и най-използваното основание от частния сектор, но изисква задълбочена оценка и документиране. В тази статия разглеждаме стъпка по стъпка как да извършите LIA тест, какви са изискванията на EDPB и каква е практиката на КЗЛД в България.
Какво е легитимен интерес
Чл. 6(1)(f) GDPR предвижда, че обработването е законосъобразно, когато е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данни.
С други думи, легитимният интерес не е „бланков чек" за произволна обработка. Той изисква:
- Ясно определен, реален (а не хипотетичен) интерес
- Обработката да е необходима за неговото постигане
- Правата на субектите да не надделяват над Вашия интерес
EDPB Guidelines 1/2024 (октомври 2024 г.) потвърждават, че легитимният интерес не е „крайна мярка". Той може да се използва наравно с останалите основания, когато е подходящ. Комерсиалните интереси (печалба, конкурентно предимство) са легитимни наравно с правните и обществено полезните.
Ограничение: Публичните органи не могат да използват легитимен интерес за обработване при изпълнение на служебните си функции (чл. 6(1), последно изречение). Те трябва да се позовават на обществен интерес (чл. 6(1)(e)) или законово задължение (чл. 6(1)(c)).
Тристепенният LIA тест
LIA (Legitimate Interest Assessment) е задължителната оценка, която трябва да извършите и документирате, преди да започнете обработване на основание легитимен интерес. Тестът се състои от три кумулативни стъпки:
Ако която и да е стъпка не е покрита, не можете да се позовете на легитимен интерес и трябва да потърсите друго правно основание.
Стъпка 1: Идентифициране на интереса (Purpose Test)
На тази стъпка трябва да отговорите на въпроса: Какъв конкретен интерес преследвам?
Изисквания към интереса
- Законен: не може да е в противоречие с действащото законодателство
- Ясно формулиран: конкретен, а не абстрактен (не „подобряване на бизнеса", а „предотвратяване на кражби в магазин чрез видеонаблюдение на входа")
- Реален: действителен, а не хипотетичен или бъдещ
- Достатъчно значим: не тривиален
Примери за признати легитимни интереси
| Интерес | Нормативна опора | Практически пример |
|---|---|---|
| Директен маркетинг | Съображение 47 GDPR | Изпращане на оферти на съществуващи клиенти |
| Мрежова и IT сигурност | Съображение 49 GDPR | Логове за достъп, мониторинг за кибератаки |
| Вътрешногрупово споделяне | Съображение 48 GDPR | Централизирано управление на HR в холдинг |
| Предотвратяване на измами | Съображение 47 GDPR | Антифрод системи в банки и онлайн търговия |
| Защита на имущество | КЗЛД практика | Видеонаблюдение на вход и паркинг |
| Правна защита | CJEU практика | Съхранение на документация за потенциални правни спорове |
Стъпка 2: Необходимост (Necessity Test)
На тази стъпка трябва да отговорите: Обработката необходима ли е за постигане на интереса?
Понятието „необходимост" тук е строго. Не е достатъчно обработката да е „полезна" или „удобна". Тя трябва да е обективно необходима, т.е. интересът не може да бъде постигнат по равно ефективен начин с по-малко навлизане в правата на субектите.
Какво да проверите
- ✓ Съществуват ли алтернативи, които постигат същата цел с по-малко данни?
- ✓ Може ли да използвате анонимизирани или псевдонимизирани данни вместо лични?
- ✓ Обработвате ли само минимално необходимите данни (принцип за минимизиране, чл. 5(1)(c))?
- ✓ Пропорционална ли е обработката на преследвания интерес?
- ✗ „Събираме всички данни, които можем, за всеки случай" — нарушава минимизирането
- ✗ „Видеонаблюдение с лицево разпознаване, макар че и обикновени камери биха свършили работа" — непропорционално
- ✗ „Профилиране на целия уебсайт трафик, макар че достатъчно е агрегирана статистика" — няма необходимост
Стъпка 3: Балансиране (Balancing Test)
Това е най-сложната и решаваща стъпка. Дори ако имате легитимен интерес и обработката е необходима, тя е недопустима, ако правата и свободите на субекта преимуществат.
Фактори за оценка
| Фактор | В полза на администратора | В полза на субекта |
|---|---|---|
| Естество на данните | Обикновени данни (име, имейл) | Чувствителни данни, ЕГН, здравни данни |
| Очаквания на субекта | Субектът очаква обработката (напр. клиент очаква маркетинг) | Субектът не очаква обработката (скрито наблюдение) |
| Въздействие | Минимално въздействие върху субекта | Значително въздействие (профилиране, автоматизирани решения) |
| Гаранции | Приложени допълнителни мерки (псевдонимизация, ограничен достъп) | Липсват гаранции |
| Уязвими групи | Субектите са възрастни с ясно разбиране | Деца, служители, пациенти |
| Обем | Ограничен обем данни | Масово обработване на данни |
EDPB Guidelines 1/2024: „Разумните очаквания на субекта на данни са ключов фактор при балансирането. Ако субектът по никакъв начин не може да очаква конкретната обработка, балансът вероятно ще бъде в негова полза."
Трудно Ви е да извършите LIA?
- Нашите специалисти ще оценят дали легитимният интерес е приложим за Вашия случай
- Изготвяне на пълна LIA документация, готова за представяне пред КЗЛД
- Преглед на съществуваща LIA и препоръки за подобрение
Практически примери с LIA анализ
Пример 1: Видеонаблюдение (CCTV) на търговски обект
LIA за видеонаблюдение
Стъпка 1 (Интерес): Защита на имуществото на магазина от кражби и вандализъм. Реален, конкретен и законен интерес.
Стъпка 2 (Необходимост): Камери са насочени само към входа, касата и складовото помещение. Камери в съблекалните и тоалетните са изрично забранени. Алтернативи (само охранител) не осигуряват 24-часово покритие.
Стъпка 3 (Баланс): Обработват се видеозаписи (обикновени данни). Информационни табели уведомяват посетителите. Запис се съхранява 30 дни. Достъпът е ограничен до 2 лица. Субектите (посетители на магазин) разумно очакват наблюдение в търговски обект.
Резултат: ✓ Легитимен интерес е приложим. Интересът на администратора не се надделява от правата на субектите.
Пример 2: Директен маркетинг към съществуващи клиенти
LIA за маркетинг на съществуващи клиенти
Стъпка 1 (Интерес): Комерсиален интерес за увеличаване на продажбите чрез информиране на съществуващи клиенти за нови продукти. Признат от Съображение 47.
Стъпка 2 (Необходимост): Използват се само име и имейл. Изпращане на оферти за продукти от категорията, в която клиентът вече е пазарувал.
Стъпка 3 (Баланс): Клиентът разумно очаква маркетинг от магазин, от който е купувал. Предоставена е лесна опция за отписване (unsubscribe). Данните не се предоставят на трети страни. Без профилиране.
Резултат: ✓ Приложим. Но вижте ограниченията от ePrivacy Директивата и ЗЕС (Закон за електронните съобщения), които изискват opt-out механизъм и идентификация като маркетингово съобщение.
Пример 3: Мониторинг на служителски имейл
LIA за мониторинг на имейл
Стъпка 1 (Интерес): Предотвратяване на изтичане на търговски тайни и конфиденциална информация.
Стъпка 2 (Необходимост): Систематичният мониторинг на цялата кореспонденция е непропорционален. Алтернативи: DLP системи с автоматизирано разпознаване на ключови думи (без четене на съдържанието) или политика за допустимо използване.
Стъпка 3 (Баланс): Служителите са уязвима група (дисбаланс на силата). Имейлите могат да съдържат лични съобщения. КЗЛД е последователно скептична към систематичен мониторинг на имейл.
Резултат: ✗ В повечето случаи легитимен интерес не е приложим за пълен мониторинг. По-ограничени мерки (DLP) могат да бъдат обосновани.
Право на възражение (чл. 21 GDPR)
Когато обработката е основана на легитимен интерес, субектът на данни има право по всяко време да възрази срещу обработването. При получаване на възражение администраторът е длъжен:
- Да спре обработването временно
- Да извърши повторна оценка на баланса, като отчете конкретните обстоятелства на субекта
- Да продължи обработването само ако докаже, че неговите интереси са „убедителни" (compelling) и надделяват над правата на субекта
- Да информира субекта за решението си с мотиви
Специално правило за директен маркетинг: Съгласно чл. 21(2) и (3) GDPR, при обработка на лични данни за целите на директен маркетинг субектът има абсолютно право на възражение. При упражняване на това право обработването за маркетинг цели трябва да бъде прекратено незабавно, без оценка на „убедителни интереси".
Практика на КЗЛД
Комисията за защита на личните данни е разгледала множество случаи, свързани с легитимен интерес. Ето основните изводи от нейната практика:
Видеонаблюдение
- Допустимо: входове на сгради, паркинги, обща зона в офис, каса в магазин
- Недопустимо: класни стаи в училища (непропорционално), тоалетни и съблекални, жилищен вход без съгласие на етажната собственост
- Задължително: информационни табели, ограничен срок на съхранение (обичайно 30 дни), ограничен достъп до записите
Лицево разпознаване
КЗЛД е изразила позиция, че системите за лицево разпознаване в магазини са непропорционални. Обработката на биометрични данни (чл. 9) изисква отделно основание по чл. 9(2), а легитимният интерес не е сред изброените изключения.
Етажна собственост
КЗЛД е разглеждала жалби за видеонаблюдение в етажна собственост. Позицията е, че е необходимо решение на Общото събрание на етажната собственост, информиране на живущите и пропорционалност на мерките.
LIA и DPIA — каква е разликата
| Характеристика | LIA (Legitimate Interest Assessment) | DPIA (Data Protection Impact Assessment) |
|---|---|---|
| Правно основание | Чл. 6(1)(f) GDPR | Чл. 35 GDPR |
| Цел | Обосноваване на легитимен интерес като правно основание | Оценка на рисковете за правата на субектите |
| Кога е задължителна | Винаги, когато се позовавате на легитимен интерес | При обработка с висок риск (профилиране, масово наблюдение, чувствителни данни) |
| Обхват | Баланс между интереса на администратора и правата на субекта | Цялостна оценка на рискове и мерки за намаляването им |
| Може ли да се комбинират | Да. Ако обработката е на основание легитимен интерес и е високорискова, трябва да извършите и двете. | |
Шаблон за LIA документация
Всяка LIA трябва да бъде документирана в писмена форма, за да бъде представена при поискване от КЗЛД. Предлагаме следната структура:
| Раздел | Съдържание |
|---|---|
| 1. Описание на обработването | Какви данни, на кого, за какво, колко дълго |
| 2. Легитимен интерес | Конкретно описание на интереса с обосновка защо е реален и законен |
| 3. Необходимост | Защо обработката е необходима; разгледани и отхвърлени алтернативи |
| 4. Балансиране | Анализ по факторите: естество на данните, очаквания, въздействие, гаранции, уязвими групи |
| 5. Приложени гаранции | Мерки за минимизиране на въздействието (криптиране, ограничен достъп, opt-out) |
| 6. Заключение | Резултат от балансирането: легитимният интерес надделява / не надделява |
| 7. Преглед | Дата на изготвяне, автор, дата на следващ планиран преглед |
Съвет: Съхранявайте LIA документацията заедно с ROPA. При проверка от КЗЛД наличието на подробна и актуална LIA значително намалява риска от санкция.
Кога легитимният интерес НЕ е подходящ
- ✗ Публични органи при изпълнение на функциите си (забрана по чл. 6(1))
- ✗ Обработка на данни от чл. 9 (специални категории) без отделно основание по чл. 9(2)
- ✗ Систематичен мониторинг на служители без доказана необходимост
- ✗ Продажба на бази данни с лични данни на трети страни
- ✗ Масово профилиране без ясен и конкретен интерес
- ✗ Обработка на данни на деца без засилени гаранции
- ✓ Видеонаблюдение с информационни табели и ограничен срок на запис
- ✓ Директен маркетинг към съществуващи клиенти с лесен opt-out
- ✓ IT логове за сигурност (Съображение 49)
- ✓ Вътрешногрупово споделяне на HR данни за административни цели (Съображение 48)
- ✓ Антифрод мерки в електронната търговия
- ✓ Съхранение на документация за защита при правни спорове
Често задавани въпроси
Какво е легитимен интерес и кога мога да го използвам?
Легитимният интерес е правно основание по чл. 6(1)(f) GDPR, което позволява обработка, когато администраторът има реален и конкретен интерес (сигурност, маркетинг, fraud prevention и др.), обработката е необходима за този интерес и правата на субектите не преимуществат. Преди прилагане трябва да извършите тристепенен LIA тест.
Как се прави оценка на легитимния интерес (LIA) на практика?
LIA се състои от три стъпки: (1) идентифициране на конкретен, реален и законен интерес; (2) доказване, че обработката е необходима и не може да бъде постигната с по-малко данни; (3) балансиране между Вашия интерес и правата на субектите, като се отчитат естеството на данните, очакванията, въздействието и приложените гаранции.
Мога ли да използвам легитимен интерес за директен маркетинг?
Да, Съображение 47 GDPR изрично признава директния маркетинг като легитимен интерес. Но трябва да осигурите лесен opt-out механизъм и да спазвате допълнителните изисквания на ePrivacy Директивата и ЗЕС. При възражение на субекта маркетингът трябва да бъде прекратен незабавно (чл. 21(2)-(3)).
Легитимен интерес ли е основание за видеонаблюдение?
Да, защитата на имущество е признат легитимен интерес. КЗЛД допуска камери на входове, общи зони и паркинги, при условие че има информационни табели, срокът на съхранение е ограничен (обичайно 30 дни) и достъпът е контролиран. Камери в класни стаи, тоалетни и съблекални са недопустими.
Какво трябва да съдържа LIA документацията?
LIA трябва да включва: описание на обработването, конкретен легитимен интерес, анализ на необходимостта (включително разгледани алтернативи), балансиране (естество на данните, очаквания, въздействие, гаранции), приложени мерки за защита и заключение. Документирайте датата на изготвяне и планиран следващ преглед.
Как субектът на данни може да възрази срещу обработката?
Субектът може по всяко време да възрази срещу обработка, основана на легитимен интерес (чл. 21). Администраторът трябва да спре обработването и да извърши повторна оценка. При директен маркетинг правото на възражение е абсолютно и обработването трябва да бъде прекратено незабавно.
Може ли легитимен интерес да се използва за обработка на данни на деца?
Теоретично да, но Съображение 38 подчертава, че децата заслужават специална защита. При балансирането правата на децата тежат значително повече. На практика за обработка на данни на деца (особено за маркетинг или профилиране) легитимен интерес рядко е приложим. Вижте GDPR за училища за повече информация.
Каква е разликата между LIA и DPIA?
LIA обосновава легитимния интерес като правно основание (задължителна при всяко позоваване на чл. 6(1)(f)). DPIA (чл. 35) оценява рисковете от обработването за правата на субектите (задължителна при високорисково обработване). Ако обработката е на основание легитимен интерес и е високорискова, трябва да извършите и двете оценки.
Нуждаете се от помощ с LIA или легитимен интерес?
- Оценка дали легитимният интерес е приложим за Вашия конкретен случай
- Изготвяне на пълна LIA документация на български език
- Преглед на видеонаблюдение, маркетинг или IT сигурност от GDPR гледна точка
- Подготовка за проверка от КЗЛД
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретни въпроси относно Вашата организация се обърнете към квалифициран специалист по защита на личните данни.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.