CJEU 判決擴大合法利益範疇，純商業利益可作為 GDPR 數據處理依據

歐洲聯盟法院（Court of Justice of the European Union, CJEU）近日對 KNLTB 案（C‑621/22）作出重要判決，認可純粹的商業利益可作為歐盟一般資料保護規則（General Data Protection Regulation, GDPR）下資料處理的合法依據。

在對荷蘭地方法院提出的初步問題作出回應時，CJEU 重申了依據 GDPR 第 6 條第 1 項 f 款評估合法利益的三步測試標準：（1）控制者或第三方需追求合法利益；（2）出於追求該合法利益的目的，個人資料處理必須是必要的；（3）資料主體的利益或基本權利與自由不應凌駕於控制者或第三方的合法利益之上。

在評估何種利益可能被視為合法時，CJEU 指出，由於 GDPR 未對合法利益概念進行明確定義，因此多種利益皆有可能被視為合法。根據法院的意見，GDPR 並不要求控制者追求的利益必須由法律明確規定才能構成合法資料處理。因此，CJEU 駁回了荷蘭 DPA 的立場，認可純粹的商業利益也可作為合法的資料處理依據，該機構曾認為只有立法機關明確保護的利益才算合法。

CJEU 明確指出，GDPR 不要求第 6 條第 1 項 f 款所稱之資料處理的合法利益必須受法律明文規定，只要利益不違法並且已是符合資料最小處理原則方式實現，便可視為合法。

此判決對於商業機構在 GDPR 框架下處理個人資料具有重大指導意義，進一步拓展了合法利益的適用範疇。

新聞來源：CJEU Commercial interests of controller can serve as a legitimate interest - A&O Shearman