Dla ustalenia, czy w konkretnym przypadku dopuszczalne jest oparcie przetwarzania danych osobowych na prawnie uzasadnionym interesie administratora danych lub strony trzeciej konieczne jest dokonanie jego wyważenia względem interesów lub podstawowych praw i wolności osoby, której dane dotyczą. W tym celu powinien zostać przeprowadzony oraz udokumentowany tzw. „test równowagi”.
Kiedy przeprowadzić test równowagi?
Ocena dopuszczalności skorzystania z przesłanki prawnie uzasadnionego interesu powinna zasadniczo następować na etapie projektowania konkretnych procesów przetwarzania danych osobowych. Niemniej jednak, jeśli administrator danych nie przeprowadził takiej oceny na tym etapie (co w praktyce niestety zdarza się dosyć często), to zalecane jest, aby taka ocena i tak została przeprowadzona później, nawet jeśli przetwarzanie danych osobowych jest już od dawna realizowane. Wykonanie „spóźnionego” testu równowagi nadal ma sens, ponieważ może pomóc w naprawieniu popełnionych błędów.
Po pierwsze, nawet jeśli skorzystanie z przesłanki prawnie uzasadnionego interesu w konkretnym przypadku nie budzi wątpliwości, to przeprowadzając i dokumentując test równowagi, administrator danych będzie mógł wykazać rozliczalność swoich działań. Tym samym będzie on w stanie wskazać (np. w razie kontroli ze strony organu nadzorczego), że dany proces został właściwie oceniony, a przyjęta podstawa prawna znajduje swoje uzasadnienie w stanie faktycznym. Nie narazi się tym samym na zarzut naruszenia art. 5 ust. 2 RODO.
Po drugie, administrator danych będzie mógł podjąć świadomą decyzję co dalszych działań w sytuacji, w której skorzystanie z przesłanki prawnie uzasadnionego interesu w konkretnym przypadku okaże się wątpliwe lub niedopuszczalne. Nie da się bowiem wykluczyć, że po przeprowadzeniu testu równowagi może okazać się, że w danym przypadku przetwarzanie danych osobowych nie powinno mieć miejsca, ponieważ interesy lub podstawowe prawa i wolności osoby fizycznej przeważają nad prawnie uzasadnionymi interesami administratora danych lub strony trzeciej.
W takiej sytuacji administrator danych może świadomie zdecydować o zakończeniu określonych procesów przetwarzania danych osobowych lub podjąć działania zmierzające do ich odpowiedniego zmodyfikowania, o ile w konkretnym przypadku będzie to możliwe. Odpowiednie zmodyfikowanie procesów przetwarzania danych osobowych może polegać w szczególności na ich takim dostosowaniu (np. poprzez ograniczenie zakresu przetwarzanych danych, zastosowaniu dodatkowych środków zabezpieczenia danych, czy zapewnieniu odpowiedniej przejrzystości, etc.), aby skorzystanie z prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych było możliwe.
Niekiedy odpowiednie zmodyfikowanie procesów przetwarzania danych osobowych może polegać także na zmianie wykorzystywanej podstawy prawnej przetwarzania danych osobowych, w szczególności na przejściu na zgodę podmiotu danych na przetwarzaniu danych osobowych (np. w przypadku wykorzystywania inwazyjnego profilowania do celów marketingowych).
Prawnie uzasadniony interes ADO lub strony trzeciej
Prawnie uzasadniony interes realizowany przez administratora danych lub przez stronę trzecią stanowi jedną z podstaw prawnych przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO. Zgodnie z tym przepisem przetwarzanie danych osobowych jest zgodne z prawem, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Wskazana podstawa prawna nie znajdzie przy tym zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z motywem 47 RODO podstawą prawną przetwarzania danych osobowych mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład, gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należy w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Test równowagi — Wybór odpowiedniego narzędzia
Na rynku dostępne są różnego rodzaju narzędzie pozwalające na przeprowadzenie testu równowagi. Niektóre z nich mają charakter opisowy, inne bazują na mniej lub bardziej przemyślanych rozwiązaniach informatycznych. Większość tego typu narzędzi może być z powodzeniem stosowana, niemniej jednak przed skorzystaniem z konkretnego rozwiązania warto porównać kilka propozycji, ponieważ nie wszystkie są odpowiednio przygotowane.
Korzystając przy przeprowadzaniu testu równowagi ze wsparcia zewnętrznego usługodawcy, administrator danych powinien w szczególności ocenić, czy dany podmiot dysponuje odpowiednim doświadczeniem i kwalifikacjami w obszarze ochrony danych osobowych.
Należy z dużą ostrożnością podchodzić do rozwiązań oferowanych przez niesprawdzonych usługodawców, w tym takich, którzy przed zapoznaniem się ze szczegółami dotyczącymi przetwarzania danych osobowych zapewniają, że wynik testu równowagi będzie pozytywny (tzn. wskaże na dopuszczalność przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu administratora danych lub strony trzeciej). Wynik testu równowagi niestety nie zawsze można z góry przewidzieć, zwłaszcza jeśli mamy do czynienia ze skomplikowanymi procesami przetwarzania danych osobowych. Poza tym źle przeprowadzony test równowagi może przynieść więcej szkody niż pożytku z uwagi na fałszywe poczucie bezpieczeństwa po stronie administratora danych.
Jak samodzielnie przeprowadzić test równowagi?
Administrator danych może wykonać test równowagi samodzielnie, zwłaszcza przy wsparciu ze strony fachowego inspektora ochrony danych (IOD), niemniej jednak warte rozważenia jest skorzystanie w tym zakresie z profesjonalnego wsparcia zewnętrznego, zwłaszcza w przypadku skomplikowanych procesów przetwarzania danych osobowych lub braku IOD-a w danej organizacji.
Poniżej przedstawiona została propozycja zawierająca 5 kroków, jakie należy uwzględnić, przeprowadzając test równowagi. Nie należy jej traktować jako jedynego możliwego sposobu przeprowadzenia testu równowagi, jednak zawarte poniżej wskazówki powinny okazać się pomocne dla tych, którzy zamierzają samodzielnie zmierzyć się z przeprowadzaniem testu równowagi. Samodzielne przeprowadzenie testu równowagi może być uzasadnione zwłaszcza w przypadku prostych procesów przetwarzania danych osobowych (np. przetwarzania danych osobowych zbieranych przy pomocy formularza kontaktowego, prowadzenia standardowych działań windykacyjnych itp.).
Krok 1. Określenie prawnie uzasadnionego interesu
Jeśli administrator danych zamierza przetwarzać dane osobowe na podstawie prawnie uzasadnionego interesu, to wykonując test równowagi w pierwszym kroku, powinien precyzyjnie określić ten prawnie uzasadniony interes, który w jego ocenie uzasadnia przetwarzanie danych osobowych.
W tym celu warto opowiedzieć sobie na kilka pytań takich jak:
- Jaki jest cel lub cele przetwarzania danych osobowych?
- Na czym polega prawnie uzasadniony interes przy przetwarzaniu danych w określonym celu i czy jest on wystarczająco konkretny?
- Czy prawnie uzasadniony interes jest realny (rzeczywisty) i aktualny?
- Czy prawnie uzasadniony interes jest zgodny z prawem?
- Czy przetwarzanie danych osobowych jest konieczne do osiągnięcia założonego celu?
- Czy administrator danych lub inne podmioty mogą ponieść negatywne konsekwencje, jeśli dane osobowe nie byłyby przetwarzane?
Występowanie prawnie uzasadnionych interesów — Przykłady
Przykłady występowania prawnie uzasadnionych interesów przy przetwarzaniu danych osobowych można odnaleźć w przepisach oraz motywach RODO. Są to m.in.:
- przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom
- przetwarzanie danych osobowych do celów marketingu bezpośredniego
- przesyłanie danych osobowych pomiędzy administratorami, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych
- przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji
W związku z art. 17 ust. 3 lit. 3 RODO przyjmuje się także, że prawnie uzasadniony interes znajduje ponadto zastosowanie w przypadku przetwarzania danych osobowych do celów ustalenia, dochodzenia lub obrony roszczeń.
Powyższy katalog nie ma jednak charakteru zamkniętego, tym samym możliwe jest wskazanie także innych przykładów, w których przetwarzanie danych osobowych mogłoby opierać się na prawnie uzasadnionym interesie. Typowym przykładem, w którym przyjmuje się istnienie prawnie uzasadnionego interesu po stronie administratora danych, jest m.in. sytuacja, w której istnieje potrzeba wprowadzenia monitoringu wizyjnego na określonym obszarze w celu zabezpieczenia osób lub mienia.
Krok 2. Określenie relacji pomiędzy podmiotem danych a administratorem danych lub stroną trzecią
W ramach oceny prawnie uzasadnionego interesu konieczne jest określenie relacji pomiędzy osobą, której dane dotyczą a podmiotem, którego prawnie uzasadnione interesy mają być realizowane.
W tym celu należy odpowiedzieć sobie na dwa podstawowe pytanie?
- Kim są osoby, których dane mają być przetwarzane?
- Jaka jest ich relacja względem podmiotu, którego interes będzie realizowany w związku z przetwarzaniem danych osobowych?
Krok 3. Określenie wpływu przetwarzania danych osobowych na podmiot danych
Dla określenia wpływu przetwarzania danych osobowych na osobę, której dane dotyczą, warto udzielić odpowiedzi na poniższe pytania:
- Jaki jest zakres przetwarzanych danych osobowych?
- Jaki jest charakter operacji realizowanych na danych osobowych, w tym, czy przetwarzanie danych osobowych obejmuje ich profilowanie?
- Czy podmiot danych może spodziewać się przetwarzania jego danych osobowych w określonym celu? (w tym kontekście kluczowe znaczenie będzie miała właściwa realizacja obowiązku informacyjnego)
- Jaki wpływ na podstawowe prawa lub wolności bądź interesy podmiotu danych (np. prawo do prywatności) może mieć przetwarzanie danych osobowych w konkretnym przypadku?
Krok 4. Określenie środków służących ochronie danych osobowych oraz ochronie praw podmiotu danych
Bardzo istotne znaczenie w kontekście oceny dopuszczalności skorzystania z przesłanki prawnie uzasadnionego interesu ma zapewnienie podmiotowi danych prawa do zgłoszenia sprzeciwu wobec przetwarzania danych osobowych, który powinien być zagwarantowany zgodnie z art. 21 RODO.
W związku z tym administrator danych powinien odpowiedzieć sobie na pytanie:
- Czy podmiot danych będzie miał możliwość złożenia skutecznego sprzeciwu wobec przetwarzania danych osobowych?
- Czy sprzeciw wobec przetwarzania danych osobowych będzie uwzględniany w każdym przypadku (co jest wymagane w przypadku przetwarzania danych osobowych do celów marketingu bezpośredniego, w tym profilowania), czy tylko w razie wykazania przez podmiot danych szczególnej sytuacji (pozostałe przypadki)?
Zasady dotyczące realizacji prawa do sprzeciwu wobec przetwarzania danych osobowych powinny być przy tym uregulowane w ramach wewnętrznej procedury obsługi żądań podmiotów danych.
Należy przyjąć, że brak możliwości zgłoszenia sprzeciwu wobec przetwarzania danych osobowych dyskwalifikuje prawnie uzasadniony interes jako ewentualną podstawę prawną przetwarzania danych osobowych.
Poza tym administrator danych przy przeprowadzaniu testu równowagi powinien uwzględnić wszelkie inne środki służące ochronie danych osobowych (np. pseudonimizację, szyfrowanie, minimalizację, czy ograniczenie przechowywania danych).
Krok 5. Dokonanie ważenia interesów
Dla właściwego przeprowadzenia testu równowagi kluczowe znaczenie ma dokonanie wyważenia prawnie uzasadnionych interesów administratora danych lub strony trzeciej względem interesów lub podstawowych praw i wolności osoby fizycznej. Proces wyważenia tych przeciwstawnych dóbr powinien uwzględniać całokształt okoliczności związanych z planowanym przetwarzaniem danych osobowych, dlatego odpowiedzi uzyskane na pytania zadane w czterech pierwszych krokach będą miały istotne znaczenie.
Należy pamiętać, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO będzie dopuszczalne wyłącznie wówczas, gdy prawnie uzasadnione interesy administratora danych lub strony trzeciej będą co najmniej równoważne względem interesów lub podstawowych praw i wolności osoby fizycznej.
Test równowagi. Podsumowanie
Każdy administrator danych, który zamierza skorzystać z przesłanki prawnie uzasadnionego interesu jako postawy prawnej przetwarzania danych osobowych, powinien dokonać wyważenia swoich prawnie uzasadnionych interesów (lub prawnie uzasadnionych interesów osoby trzeciej) względem interesów lub podstawowych praw i wolności osoby fizycznej. Dla potrzeb wykazania rozliczalności taka ocena powinna zostać udokumentowana.
Jeśli jesteś zainteresowany wsparciem prawnym przy przeprowadzeniu testu równowagi, zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych