De Europese privacytoezichthouders verenigd in de EDPB hebben een richtlijn aangenomen over het gerechtvaardigd belang bij de verwerking van persoonlijke data. Daarbij is rekening gehouden met de recente uitspraak van het Hof van Justitie van de Europese Unie dat een commercieel belang bij de verkoop van klantgegevens in sommige gevallen een gerechtvaardigd belang kan zijn.

Om de gegevensverwerking op een gerechtvaardigd belang te kunnen baseren moet de dataverwerker aan drie voorwaarden voldoen. Zo mogen alleen belangen die rechtmatig, duidelijk en nauwkeurig omschreven zijn, reëel en bestaand als legitiem worden beschouwd. Ten tweede moet er een noodzaak zijn om persoonsgegevens voor het genoemde belang te verwerken. Daarbij moet ook worden gekeken of er geen minder ingrijpende alternatieven voorhanden zijn. Daarbij moet ook het principe van dataminimalisatie worden meegenomen bij de beoordeling of de gegevensverwerking noodzakelijk is.

Als laatste moet er een afweging tussen de rechten en vrijheden van het individu en de belangen van de dataverwerker worden gemaakt. Dit noemen de toezichthouders een 'balanceeract', waarbij de dataverwerker rekening moet houden met de belangen van het individu, de impact van de gegevensverwerking en de redelijke verwachtingen, alsmede aanvullende waarborgen om de impact op het individu te beperken. De richtlijnen van de EDPD leggen ook uit hoe deze beoordeling in de praktijk moet worden uitgevoerd, waaronder in een aantal specifieke contexten, zoals fraudepreventie, direct marketing en informatiebeveiliging. Het publiek kan tot 20 november op de richtlijn reageren.