GDPR > Преамбула 47
(47) Законні інтереси контролера, в тому числі інтереси, задля яких можна розкрити персональні дані, або законні інтереси третьої сторони, можуть передбачати необхідність законодавчої бази опрацювання за умови, що інтереси чи фундаментальні права або свободи суб’єкта даних не є пріоритетними, враховуючи розумні очікування суб’єктів даних, засновані на їхніх відносинах з контролером.

Такий законний інтерес може існувати, наприклад, якщо є відповідні та належні відносини між суб’єктом даних і контролером у ситуаціях, наприклад, коли суб’єкт даних є клієнтом або перебуває на службі в контролера.

У будь-якому разі існування законного інтересу потребуватиме ретельного оцінювання, а саме, чи може суб’єкт даних відповідним чином очікувати ймовірного проведення опрацювання для такої цілі, на момент збирання і в контексті збирання персональних даних.

Інтереси та фундаментальні права суб’єкта даних можуть, зокрема, переважати над інтересами контролера даних, якщо опрацювання персональних даних відбувається за обставин, коли суб’єкти даних відповідним чином не очікують на подальше опрацювання.

З огляду на те, що саме законодавець повинен передбачити законом законодавчу базу для опрацювання персональних даних органами публічної влади, таку законодавчу базу не можна застосовувати до опрацювання даних органами публічної влади під час виконання своїх функцій.

Опрацювання персональних даних, що є необхідним винятково для цілей запобігання шахрайству також становить законний інтерес відповідного контролера даних.

Опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller.

Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller.

At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place.

The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing.

Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks.

The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned.

The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.