DLACZEGO WYBÓR ODPOWIEDNIEJ PODSTAWY PRZETWARZANIA JEST ISTOTNY?
Zgodnie z RODO przetwarzanie można uznać za legalne tylko w ściśle określonych przypadkach. Dotychczasowa praktyka organów nadzorczych pokazuje, że nie wystarczy, że administrator danych oprze przetwarzanie na jakiejkolwiek przesłance- konieczne jest faktyczne wystąpienie sytuacji warunkującej przetwarzanie. Nawet w sytuacji, w której wszystkie pozostałe zasady określone w art. 5 RODOzostały wdrożone, ale administrator danych osobowych nie oparł przetwarzania danych na jednej z przesłanek wskazanych w art. 6 lub 9 RODO (w przypadku szczególnych kategorii danych osobowych), takiego przetwarzania nie można uznać za uzasadnione, a zatem jest ono z gruntu obarczone błędem i prowadzi do naruszenia prawa. Każda z sytuacji, która jest podstawą dla przetwarzania danych ma mieć charakter niezależny i autonomiczny – czyli występować odrębnie od pozostałych przesłanek.
Co więcej, wybór nieprawidłowej podstawy przetwarzania danych uniemożliwia prawidłowe zrealizowanie innych obowiązków administratora takich jak np. określony w art. 13 oraz art. 14 obowiązek informacyjny. Jedną z informacji, które bowiem należy przekazać podmiotowi danych jest informacja na temat podstawy przetwarzania danych osobowych. W zależności od wybranej podstawy przetwarzania różnić się mogą również uprawnienia osób, których dane dotyczą. Przepisy określone w RODO stanowią system naczyń połączonych – naruszenie podstawowych z nich, w tym związanych z wyborem przesłanki warunkującej przetwarzanie, niemal jak w przypadku domina- prowadzi do kolejnych naruszeń.
Jednocześnie niezależnie od tego na jakiej podstawie dane są przetwarzane, administrator danych powinien zapewnić ich bezpieczeństwo i zgodność przetwarzania z pozostałymi zasadami określonymi w rozdziale II RODO. Dotyczy to zarówno przetwarzania jedynie minimalnej ilości danych osobowych jak również ograniczenia czasu przetwarzania. Warto również podkreślić, że środki techniczne i organizacyjne stosowane przez administratora dla zapewnienia bezpieczeństwa przetwarzania powinny być dostosowane do kategorii i ilości przetwarzanych danych oraz ryzyka związanego z ich przetwarzaniem.
PRAWNIE UZASADNIONY INTERES- DEFINICJA
Unijny prawodawca nie zamieścił w przepisach RODO definicji prawnie uzasadnionego interesu. Jednocześnie, podobna przesłanka funkcjonowała już na gruncie poprzednio obowiązujących przepisów, zatem można uznać, że wykształciła się w tym zakresie pewna praktyka zarówno po stronie administratorów danych jak również organów nadzorczych.
Pojęcie prawnie uzasadnionego interesu można rozumieć jako interes, który jest zgodny z prawem, a nie interes, który jest stworzony przez prawo i obejmujący zarówno interesy gospodarcze, faktyczne jak i prawne . W przypadku, gdy administrator danych przetwarza dane w celu realizacji nałożonego na niego obowiązku prawnego, przetwarzanie powinno być oparte na przesłance określonej w art. 6 ust. 1 lit. c. Prawnie uzasadniony interes nie znajdzie zatem bezpośredniego oparcie w normie prawnej, jest raczej sumą okoliczności faktycznych i prawnych, które stwarzają sytuację wymagającą przetwarzania danych osobowych dla ochrony wartości bądź interesów administratora danych.
PRAWNIE UZASADNIONY INTERES- KTO I W JAKICH SYTUACJACH MOŻE PRZETWARZAĆ DANE NA TEJ PODSTAWIE?
Motywy 46 i 47 RODO zawierają pewne wskazówki co do tego, w jakich sytuacjach można powołać się na prawnie uzasadniony interes. We wskazanych motywach prawodawca unijny zawarł przykładowy katalog czynności, które można uznać za prawnie uzasadnione i należą do nich między innymi przeciwdziałanie oszustwom (wskazane jako przesłanka bezwzględna), marketing bezpośredni (ale nie w przypadku, gdy podmiot danych odmówił wyrażenia zgody na przetwarzanie danych w celach marketingowych), przekazywanie danych osobowych przez administratorów pozostających w jednej grupie przedsiębiorstwa w celach administracyjnych (z zastrzeżeniem, że w przypadku transgranicznego przekazywania danych mają zastosowanie odpowiednie przepisy). Uznaje się, że za prawnie uzasadnione można uznać przetwarzanie danych osobowych, które ma służyć bezpieczeństwu sieci i informacji.
Istotne jest, że w przypadku gdy przetwarzanie jest niezbędne w celu ochrony prawnie uzasadnionego interesu, nie ma potrzeby pozyskiwania zgody na przetwarzanie od podmiotu danych. Wspomniana niezbędność oznacza, że biorąc po uwagę względy prawne, społeczne i ekonomiczne, tylko poprzez przetwarzanie danych administrator może chronić prawnie uzasadniony interes. Chodzi o takie sytuacje, w których bez nadmiernych kosztów finansowych i organizacyjnych, nie ma innej drogi do ochrony założonego interesu.
Przetwarzanie na tej podstawie jest dopuszczalne tylko wtedy, gdy prawnie uzasadniony interes ma charakter nadrzędny wobec interesów podmiotu danych. Konieczne jest, aby administrator przeanalizował, czy jego prawnie uzasadniony interes jest nadrzędny wobec interesów, praw i wolności osoby fizycznej. Mówiąc prościej- należy sprawdzić, czy interes administratora jest bardziej istotny niż ochrona prywatności jednostki. Taka analiza powinna mieć charakter obiektywny i zostać przeprowadzona biorąc pod uwagę zarówno punkt widzenia administratora, jak i podmiotu danych. Jest to szczególnie istotne w przypadku przetwarzania danych dzieci. W oparciu o tę przesłankę nie można jednak przetwarzać danych osobowych szczególnych kategorii (zaliczamy do nich informacje na temat zdrowia, wyznania, poglądów politycznych, orientacji seksualnej i inne).
Warto udokumentować przeprowadzenie wspomnianej analizy. W przypadku postępowania z udziałem organu nadzorczego taki dokument będzie stanowił dowód dopełnienia przez administratora obowiązków wynikających z RODO, w tym przede wszystkim związanych z wyborem odpowiedniej przesłanki przetwarzania danych.
Na przesłance prawnie uzasadnionego interesu przetwarzania nie może oprzeć organ administracji publicznej bądź inny podmiot, który przetwarza dane osobowe w celu wykonania zadania publicznego. Takie przetwarzanie znajdzie bowiem podstawę prawną w innych przepisach rozporządzenia tj. w art. 6 ust. 1 lit. c. Każdy inny administrator danych osobowych może wykorzystać omawianą przesłankę o ile zajdą ku temu warunki.
PRAWA PODMIOTÓW DANYCH PRZETWARZANYCH NA PODSTAWIE PRAWNIE UZASADNIONEGO INTERESU
Administrator, który przetwarza dane osobowe w oparciu o przesłankę prawnie uzasadnionego interesu jest zobowiązany do realizacji niemal wszystkich wskazanych w rozdziale III RODO praw osób, których dane dotyczą. Należą do nich prawo do otrzymania przejrzystej informacji na temat przetwarzania danych osobowych, prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych (ale tylko w przypadku wniesienia sprzeciwu) i prawo do ograniczenia przetwarzania (również w przypadku złożenia sprzeciwu. W przypadku przetwarzania danych w celu ochrony prawnie uzasadnionego interesu niemożliwe jest skorzystanie przez podmiot danych z prawa do przenoszenia danych.
Dodatkowo, zgodnie z art. 21 RODO administrator, który przetwarza dane osobowe na podstawie prawnie uzasadnionego interesu jest zobowiązany do respektowania prawa do wniesienia sprzeciwu wobec przetwarzania. Uprawnienie to umożliwia podmiotowi danych, w przypadku gdy zaistnieje po jego stronie szczególna sytuacja, sprzeciwienie się wobec przetwarzania danych. Sprzeciw można wnieść w dowolnej formie (pocztą tradycyjną, elektroniczną, telefonicznie lub osobiście), ale to podmiot danych jest zobowiązany do wykazania zajście szczególnej sytuacji, która uzasadnia zaprzestanie przetwarzania danych osobowych. Szczególną sytuacją jest taka, która prowadzi do zachwiania równowagi interesów administratora i podmiotu danych w przypadku dalszego przetwarzania. Mówiąc prościej – potrzeba ochrony prywatności jednostki powinna przeważać nad potrzebą przetwarzania danych przez administratora.
Z momentem wniesienia sprzeciwu, administrator ma obowiązek zaprzestania przetwarzania. Jego skutkiem jest zakaz dalszego przetwarzania danych, chyba, że administrator uzna sprzeciw za nieuzasadniony. W takiej sytuacji, osoba, której dane dotyczą ma prawo do wniesienia skargi do organu nadzorczego, który bądź to zobowiąże administratora do powstrzymania się od dalszego przetwarzania bądź zezwoli mu na przetwarzanie danych do czasu realizacji założonego celu.
Podsumowując należy stwierdzić, że nie ma przeszkód, aby przesłanka ta była wykorzystywana przez podmioty prywatne, które przetwarzają dane osobowe w innym celu niż realizacji zadań publicznych. Istotne jest jednak, aby przetwarzanie było poprzedzone analizą, w której administrator zbada:
1) niezbędność przetwarzania danych dla osiągnięcia wybranego celu, jakim będzie ochrona prawnie uzasadnionego interesu;
2) wpływu przetwarzania na realizację praw i wolności jednostki;
3) nadrzędność prawnie uzasadnionego interesu nad prywatnością jednostki.
Przeprowadzona analiza powinna zostać udokumentowana, a administrator jest zobowiązany do zaprzestania przetwarzania w przypadku złożenia przez podmiot danych sprzeciwu.
FAQ
Prawnie uzasadniony interes przetwarzania danych osobowych nie ma jednoznacznej definicji prawnej. Wychodząc ze wskazówek interpretacyjnych znajdujących się w RODO, można przyjąć, że jest to zbiór okoliczności faktycznych i prawnych, które sprawiają, że przetwarzanie danych jest konieczne. Przykładem prawnie uzasadnionego interesu jest np. realizacja umowy.
Przetwarzanie danych osobowych bez prawnie uzasadnionego interesu jest naruszeniem RODO. Za powyższe grozi sankcja karna (grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch), oraz sankcja administracyjna, którą może nałożyć Prezes UODO (jest to nawet do 20 mln euro lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku).
Przetwarzanie danych zgodnie z prawnie uzasadnionym interesem administratora to tylko jeden z obowiązków, które na przedsiębiorców nakłada RODO. Pełne wdrożenie procedur ukierunkowanych na ochronę danych osobowych może być skomplikowane, dlatego warto na każdym etapie wdrożenia RODO w firmie współpracować z kancelarią prawną.
PM says:
Dzień dobry,
Jak i czy można połączyć przesłankę uzasadnionego interesu administratora z kontrolą trzeźwości pracowników w zakładach pracy?
To pytanie nurtuje pracodawców od dawna, a wciąż nie ma na nie jasnej odpowiedzi.
Nie ma żadnego „oświadczenia”, którym można by się posiłkować podczas zatrudniania pracowników (czyt: zgadzam się na dobrowolne poddanie badaniu na zawartość alkoholu w organiźmie).