Test równowagi RODO. Kiedy i jak trzeba go przeprowadzić?

Na początku warto przyjrzeć się hierarchii podstaw legalizujących przetwarzanie danych osobowych. Zostały one wskazane w art. 6 rozporządzenia RODO i obejmują:

• zgodę osoby, której dane dotyczą, na przetwarzanie jej danych osobowych;
• przetwarzanie danych, które jest niezbędne do realizacji umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• realizację obowiązku prawnego ciążącego na administratorze;
• przetwarzanie, które jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
• przetwarzanie danych niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi;
• przetwarzanie, które jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Nieprzypadkowo uzasadniony interes figuruje na końcu tej listy. Unijny ustawodawca sugeruje, aby powoływać się na niego jako swego rodzaju rozwiązanie ostateczne w sytuacji, kiedy nie jest możliwe wskazanie innej, bardziej skonkretyzowanej podstawy przetwarzania danych. Nie oznacza to oczywiście, że uzasadniony interes jest przesłanką na tyle elastyczną, że można odwołać się nie niej zawsze w oparciu o podstawowe prawa czy na podstawie prawnie uzasadnionego interesu lub wolności podmiotu danych i wstępnego ustalenia równowagi interesów i podstawowych praw. Opracowanie Grupy Roboczej Art. 29 ds. Ochrony Danych wskazuje, że zastosowania przesłanki uzasadnionych interesów należy dokonać w sposób zrównoważony, czyli bez nadmiernego jej rozszerzania, ale też zawężania.

Aby określić, czy w danej sytuacji administrator może powołać się na ostatnią z przesłanek, niezbędne jest przeprowadzenie testu równowagi.

Pojęcie interesu w kontekście art. 6 lit f RODO można tłumaczyć jako korzyść odniesioną przez administratora w wyniku przetwarzania danych osobowych lub powód dla którego powinien te dane posiadać. Nie należy utożsamiać pojęcia celu przetwarzania w pojęciem interesu w przetwarzaniu danych. Pierwsze pojęcie ma węższy zakres znaczeniowy.

Grupa Robocza wskazuje, że interes administratora musi być odpowiednio konkretny i aktualny. Nie można powołać się na interes, który powstanie w przyszłości lub też – być może – nie powstanie nigdy. Warto wspomnieć, że interes administratora może mieć mniej lub bardziej „społeczny” wymiar i nie zawsze będzie łatwo go wskazać. Interesem instytutu badawczego może być pozyskanie danych osobowych uczestników do celu przeprowadzenia ankiety dla dobra nauki. Będzie nim jednak także dążenie sklepu do przetwarzania danych osobowych swoich klientów do celów związanych z kampanią reklamową i bardziej trafnym jej adresowaniem.

Kiedy można mówić o interesie prawnie uzasadnionym?

Nie wystarczy sam fakt zaistnienia interesu prawnego po stronie administratora. Musi on być także uzasadniony. Czy można zmierzyć, w którym momencie interes z nieuzasadnionego staje się uzasadniony? Niestety nie można na takie pytanie udzielić twierdzącej odpowiedzi. Odwołując się po raz kolejny do ustaleń Grupy Roboczej, za interes uzasadniony uznaje się m.in.:

• bezpieczeństwo fizyczne, informatyczne oraz sieciowe (np. zbieranie danych osobowych przez dział IT firmy w celu wykrywania potencjalnych zagrożeń);
• monitoring pracowników dla celów bezpieczeństwa lub zarządzania;
• egzekucja roszczeń prawnych, w tym zbieranie długów poprzez procedury pozasądowe;
• wykonywanie prawa do wolności wypowiedzi w Internecie;
• marketing bezpośredni lub pośredni.

Oczywiście interes administratora pozostaje prawnie uzasadniony tak długo, jak dane osobowe są przetwarzane zgodnie z obowiązującymi przepisami. Nie można w tym celu naruszać np. przepisów dotyczących ochrony konsumenta czy też prawa pracy i ochrony pracownika.

Grupa Robocza wskazuje, że odwołanie się do przesłanki uzasadnionego interesu i działania w związku z tym podjęte muszą być konieczne do zamierzonych celów. Oznacza to, że administrator nie będzie mógł powołać się na art. 6 lit f. RODO, jeżeli ma do dyspozycji mniej inwazyjne metody przetwarzania danych.

Pierwszym krokiem przy przeprowadzaniu testu równowagi powinno być odpowiedź na pytanie, czy administrator rzeczywiście dysponuje uzasadnionym interesem. Należy ustalić, czy przetwarzanie danych jest konieczne oraz proporcjonalne dla realizacji praw podstawowych (np. wolność wypowiedzi i informacji lub prawo dostępu do dokumentów). Warto wspomnieć, że interes administratora może być też uwarunkowany kulturowo. Przesłanka, która zostanie uznana za spełnioną np. w Hiszpanii lub Francji, nie musi być wystarczająca w Polsce.

Kolejnym etapem testu równowagi będzie ocena wpływu przetwarzania danych osobowych na interesy lub prawa i wolności osób, których dane dotyczą. Nie chodzi jednak tutaj wyłącznie o tak oczywiste negatywne skutki, jak dyskryminacja czy zniesławienie, ale także szerszy kontekst związany z tym, jak dana osoba czuje się z faktem, że jej dane osobowe są przetwarzane. Czy można wskazać na zamkniętą listę pytań testu równowagi? Niestety tego zrobić się nie da, ponieważ na legalność przetwarzania danych w kontekście przesłanki uzasadnionego interesu wpływa zbyt wiele czynników. Niemniej jednak warto wskazać kierunki, w jakich powinny podążać pytania, jakie zadaje sobie administrator:

• czy osoba, której dane dotyczą, może się spodziewać, że jej dane osobowe będą przetwarzane;
• w jaki sposób przetwarzanie danych osobowych na podstawie art. 6 lit. f wpływa na wartość towaru lub usługi;
• czy istnieje ryzyko, że przetwarzanie danych wyrządzi szkodę osobie, której dane dotyczą, a jeżeli tak, jak duże jest to ryzyko i potencjalna szkoda;
• czy brak przetwarzania danych na podstawie uzasadnionego interesu może wywołać negatywne skutki, a jeżeli tak, u kogo się one pojawią;
• czy interesy osoby, której dane są przetwarzane są zbieżne z interesami administratora;
• jakie relacje występują między organizacją a osobą, której dane są przetwarzane;
• czy administrator prawidłowo przetwarza dane osobowe – z zachowaniem zasady minimalizacji, w sposób zapewniający integralność i poufność tych informacji.

Z wytycznych Grupy Roboczej wynika, że nie ma zakazu odwołania się do prawnie uzasadnionego interesu administratora jako podstawy przetwarzania danych wrażliwych (np. informacji o zdrowiu, danych biometrycznych lub dotyczących orientacji seksualnej). Trzeba jednak wyraźnie zaznaczyć, że im bardziej wrażliwe są informacje dotyczące osób fizycznych, tym potencjalnie dalej idące konsekwencje może pociągnąć za sobą ich przetwarzanie niezgodne z prawem. Dlatego administrator powinien szczególnie ostrożnie podchodzić do przetwarzania danych osobowych, o których mowa w art. 9 RODO.

Trzeba też pamiętać, że w przypadku naruszenia danych wrażliwych łatwiej będzie wykazać przesłanki odpowiedzialności odszkodowawczej i dochodzić odszkodowania za ich przetwarzania niezgodnie z prawem. Dobrym rozwiązaniem zwiększającym bezpieczeństwo administratora w tym przypadku będzie wdrożenie zaawansowanych rozwiązań cyfrowego bezpieczeństwa, jak np. komercyjny i aktualizowany program antywirusowy czy szyfrowanie dwuskładnikowe. W taki sposób administrator zmniejsza ryzyko, że informacje dostaną się w niepowołane ręce.

Jeśli nie jesteś pewien czy w konkretnej sytuacji można powołać się na przesłankę uzasadnionych interesów administratora, skorzystaj ze wsparcia doświadczonych prawników. Specjaliści z Kancelarii RPMS przeprowadzą analizę stanu faktycznego, a także wskażą, w jaki sposób należy przeprowadzić balancing test, aby zminimalizować ryzyko błędnej oceny faktów i przetwarzania danych niezgodnie z prawem.

Należy pamiętać, że w razie kontroli Prezesa UODO administrator musi mieć możliwość wykazania, że jego interesy uzasadniają przetwarzanie danych osobowych. Jeżeli nie jest w stanie tego zrobić, nie spełnia podstawowej zasady rozliczalności.