Przetwarzając dane osobowe w celach marketingowych, administrator może, w niektórych przypadkach, powołać się na konieczność ich przetwarzania w celach wynikających z jego prawnie uzasadnionych interesów. Dzięki temu nie jest konieczne pozyskiwanie zgody na przetwarzanie danych osobowych w celu prowadzenia marketingu.

Podstawą przetwarzania danych osobowych może być prawnie uzasadniony interes administratora jeśli, w danych stosunkach z administratorem, w świetle rozsądnych oczekiwań osoby, której dane dotyczą, jej interes lub podstawowe prawa i wolności nie są nadrzędne w stosunku do uzasadnionego interesu administratora.

Przetwarzanie danych nie powinno nadmiernie ingerować w prywatność osób fizycznych lub wiązać się ze znacznym ryzykiem wyrządzenia im szkody. Dlatego też działania na danych dokonywane w ramach prawnie uzasadnionego interesu należy ograniczyć tylko do tych, których osoby mogą lub powinny się spodziewać, np. ze względu na istniejącą już relację z administratorem. Prawnie uzasadniony interes może istnieć w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem.

Aby stwierdzić istnienie prawnie uzasadnionego interesu, należy w każdym przypadku przeprowadzić dokładną ocenę, w szczególności ocenić czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Dlatego za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Wybór interesu prawnego jako podstawy przetwarzania związany jest z koniecznością poinformowania osób, których dane dotyczą o tym jakie uzasadnione interesy administratora są realizowane oraz umożliwieniem im wyrażenia sprzeciwu wobec przetwarzania danych.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym czasie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z marketingiem bezpośrednim. Wniesienie sprzeciwu powoduje, że danych osobowych nie wolno już przetwarzać do takich celów. Administrator ma obowiązek najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą wyraźnie poinformować ją o prawie, do wniesienia sprzeciwu – informację tę przedstawia się jasno i odrębnie od pozostałych informacji.