Na jakiej podstawie administrator danych osobowych może przetwarzać dane osobowe?
Na początku warto przyjrzeć się hierarchii podstaw legalizujących przetwarzanie danych osobowych. Zostały one wskazane w art. 6 rozporządzenia RODO i obejmują:
- zgodę osoby, której dane dotyczą, na przetwarzanie jej danych osobowych;
- przetwarzanie danych, które jest niezbędne do realizacji umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- realizację obowiązku prawnego ciążącego na administratorze;
- przetwarzanie, które jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
- przetwarzanie danych niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi;
- przetwarzanie, które jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Nieprzypadkowo uzasadniony interes figuruje na końcu tej listy. Unijny ustawodawca sugeruje, aby powoływać się na niego jako swego rodzaju rozwiązanie ostateczne w sytuacji, kiedy nie jest możliwe wskazanie innej, bardziej skonkretyzowanej podstawy przetwarzania danych. Nie oznacza to oczywiście, że uzasadniony interes jest przesłanką na tyle elastyczną, że można odwołać się nie niej zawsze w oparciu o podstawowe prawa czy na podstawie prawnie uzasadnionego interesu lub wolności podmiotu danych i wstępnego ustalenia równowagi interesów i podstawowych praw. Opracowanie Grupy Roboczej Art. 29 ds. Ochrony Danych wskazuje, że zastosowania przesłanki uzasadnionych interesów należy dokonać w sposób zrównoważony, czyli bez nadmiernego jej rozszerzania, ale też zawężania.
Aby określić, czy w danej sytuacji administrator może powołać się na ostatnią z przesłanek, niezbędne jest przeprowadzenie testu równowagi.
Na czym polega test równowagi?
Test równowagi (ang. balancing test) polega na zestawieniu ze sobą dwóch przeciwstawnych interesów:
- na jednej szali spoczywa interes administratora, czyli dążenie do tego, aby dane osobowe przetwarzać;
- na drugiej szali kładziony jest interes osoby, której dane dotyczą, który zmierza do tego, aby w miarę możliwości danych osobowych nie przetwarzać.
W zależności od tego, w na którą stronę przechyli się szala takiej „wagi”, dane osobowe można przetwarzać zgodnie z prawem lub też nie. Ważne jest rzetelne przeprowadzenie testu równowagi. Potraktowanie go po macoszemu może prowadzić do tego, że administrator swoim działaniem naruszy przepisy rozporządzenia RODO i narazi się na wysokie kary administracyjne.
Porównanie do wagi nie jest w tym kontekście przypadkowe. O ile w przypadku pozostałych pięciu podstaw przetwarzania danych administrator ma gwarancję, że w przypadku wystąpienia danej okoliczności (np. złożenia zamówienia w sklepie internetowym i – pośrednio – zawarcia umowy sprzedaży) przetwarzanie danych zawsze jest realizowane zgodnie z prawem, w ostatnim przypadku wygląda to inaczej.
Decyzję o tym, czy w konkretnym przypadku można przetwarzać dane osobowe zawsze podejmuje administrator i to on bierze na siebie odpowiedzialność za konsekwencje działania poza granicami prawa. Oczywiście na wynik testu równowagi składa się wiele czynników, nie sposób uprościć go do formuły matematycznej, ale każdorazowo należy oceniać sferę interesu administratora oraz osoby, której dane dotyczą. Na co należy zwrócić uwagę wykonując test równowagi?
Czym właściwie jest interes administratora?
Pojęcie interesu w kontekście art. 6 lit f RODO można tłumaczyć jako korzyść odniesioną przez administratora w wyniku przetwarzania danych osobowych lub powód dla którego powinien te dane posiadać. Nie należy utożsamiać pojęcia celu przetwarzania w pojęciem interesu w przetwarzaniu danych. Pierwsze pojęcie ma węższy zakres znaczeniowy.
Grupa Robocza wskazuje, że interes administratora musi być odpowiednio konkretny i aktualny. Nie można powołać się na interes, który powstanie w przyszłości lub też – być może – nie powstanie nigdy. Warto wspomnieć, że interes administratora może mieć mniej lub bardziej „społeczny” wymiar i nie zawsze będzie łatwo go wskazać. Interesem instytutu badawczego może być pozyskanie danych osobowych uczestników do celu przeprowadzenia ankiety dla dobra nauki. Będzie nim jednak także dążenie sklepu do przetwarzania danych osobowych swoich klientów do celów związanych z kampanią reklamową i bardziej trafnym jej adresowaniem.
Kiedy można mówić o interesie prawnie uzasadnionym?
Nie wystarczy sam fakt zaistnienia interesu prawnego po stronie administratora. Musi on być także uzasadniony. Czy można zmierzyć, w którym momencie interes z nieuzasadnionego staje się uzasadniony? Niestety nie można na takie pytanie udzielić twierdzącej odpowiedzi. Odwołując się po raz kolejny do ustaleń Grupy Roboczej, za interes uzasadniony uznaje się m.in.:
- bezpieczeństwo fizyczne, informatyczne oraz sieciowe (np. zbieranie danych osobowych przez dział IT firmy w celu wykrywania potencjalnych zagrożeń);
- monitoring pracowników dla celów bezpieczeństwa lub zarządzania;
- egzekucja roszczeń prawnych, w tym zbieranie długów poprzez procedury pozasądowe;
- wykonywanie prawa do wolności wypowiedzi w Internecie;
- marketing bezpośredni lub pośredni.
Oczywiście interes administratora pozostaje prawnie uzasadniony tak długo, jak dane osobowe są przetwarzane zgodnie z obowiązującymi przepisami. Nie można w tym celu naruszać np. przepisów dotyczących ochrony konsumenta czy też prawa pracy i ochrony pracownika.
Grupa Robocza wskazuje, że odwołanie się do przesłanki uzasadnionego interesu i działania w związku z tym podjęte muszą być konieczne do zamierzonych celów. Oznacza to, że administrator nie będzie mógł powołać się na art. 6 lit f. RODO, jeżeli ma do dyspozycji mniej inwazyjne metody przetwarzania danych.
Jak rozumieć pojęcie interesu osoby, której dane dotyczą?
Przeprowadzając test równowagi, administrator musi być w stanie wykazać, że jego interes jest nadrzędny nad interesem lub prawami i wolnościami osób, których dane dotyczą. Zaleca się, aby ochronę osób, których prawa dotyczą rozumieć w tym przypadku szeroko, przy czym im bardziej błahy jest uzasadniony interes administratora, tym większe prawdopodobieństwo, że zostanie on uznany za uzasadniony. Z kolei im bardziej kontrowersyjnych kwestii dotyczyłoby przetwarzanie danych osobowych, tym silniejszej ochronie powinno się je poddać.
Na jakie pytania powinien odpowiadać test równowagi?
Pierwszym krokiem przy przeprowadzaniu testu równowagi powinno być odpowiedź na pytanie, czy administrator rzeczywiście dysponuje uzasadnionym interesem. Należy ustalić, czy przetwarzanie danych jest konieczne oraz proporcjonalne dla realizacji praw podstawowych (np. wolność wypowiedzi i informacji lub prawo dostępu do dokumentów). Warto wspomnieć, że interes administratora może być też uwarunkowany kulturowo. Przesłanka, która zostanie uznana za spełnioną np. w Hiszpanii lub Francji, nie musi być wystarczająca w Polsce.
Kolejnym etapem testu równowagi będzie ocena wpływu przetwarzania danych osobowych na interesy lub prawa i wolności osób, których dane dotyczą. Nie chodzi jednak tutaj wyłącznie o tak oczywiste negatywne skutki, jak dyskryminacja czy zniesławienie, ale także szerszy kontekst związany z tym, jak dana osoba czuje się z faktem, że jej dane osobowe są przetwarzane. Czy można wskazać na zamkniętą listę pytań testu równowagi? Niestety tego zrobić się nie da, ponieważ na legalność przetwarzania danych w kontekście przesłanki uzasadnionego interesu wpływa zbyt wiele czynników. Niemniej jednak warto wskazać kierunki, w jakich powinny podążać pytania, jakie zadaje sobie administrator:
- czy osoba, której dane dotyczą, może się spodziewać, że jej dane osobowe będą przetwarzane;
- w jaki sposób przetwarzanie danych osobowych na podstawie art. 6 lit. f wpływa na wartość towaru lub usługi;
- czy istnieje ryzyko, że przetwarzanie danych wyrządzi szkodę osobie, której dane dotyczą, a jeżeli tak, jak duże jest to ryzyko i potencjalna szkoda;
- czy brak przetwarzania danych na podstawie uzasadnionego interesu może wywołać negatywne skutki, a jeżeli tak, u kogo się one pojawią;
- czy interesy osoby, której dane są przetwarzane są zbieżne z interesami administratora;
- jakie relacje występują między organizacją a osobą, której dane są przetwarzane;
- czy administrator prawidłowo przetwarza dane osobowe – z zachowaniem zasady minimalizacji, w sposób zapewniający integralność i poufność tych informacji.
Jakie środki ochronne może zastosować administrator danych osobowych?
Wytyczne Grupy Roboczej wskazują na cały szereg środków technicznych i organizacyjnych, których zastosowanie pozwala na ograniczenie ryzyka związanego z przetwarzaniem danych osobowych na podstawie nieostrych przesłanek. Zalicza się do nich m.in.:
- oddzielenie danych w taki sposób, aby mogły być wykorzystane tylko w jednym celu;
- stosowanie anonimizacji danych osobowych;
- agregowanie danych osobowych;
- wprowadzenie bezwarunkowego opt-out, czyli możliwości rezygnacji z przetwarzania danych przez osobę, której te procesy dotyczą;
- szyfrowanie danych.
Wypada zaznaczyć, że powyższa lista nie ma charakteru wyczerpującego i powinna być modyfikowana w zależności od skali i celu przetwarzania danych osobowych oraz specyfiki prowadzonej działalności gospodarczej. Ważne jest, aby te środki, tak jak sam test równowagi przeprowadzić z wyprzedzeniem, a nie po fakcie, kiedy dane zostały już przetworzone.
Prawnie uzasadniony interes administratora a dane osobowe wrażliwe
Z wytycznych Grupy Roboczej wynika, że nie ma zakazu odwołania się do prawnie uzasadnionego interesu administratora jako podstawy przetwarzania danych wrażliwych (np. informacji o zdrowiu, danych biometrycznych lub dotyczących orientacji seksualnej). Trzeba jednak wyraźnie zaznaczyć, że im bardziej wrażliwe są informacje dotyczące osób fizycznych, tym potencjalnie dalej idące konsekwencje może pociągnąć za sobą ich przetwarzanie niezgodne z prawem. Dlatego administrator powinien szczególnie ostrożnie podchodzić do przetwarzania danych osobowych, o których mowa w art. 9 RODO.
Trzeba też pamiętać, że w przypadku naruszenia danych wrażliwych łatwiej będzie wykazać przesłanki odpowiedzialności odszkodowawczej i dochodzić odszkodowania za ich przetwarzania niezgodnie z prawem. Dobrym rozwiązaniem zwiększającym bezpieczeństwo administratora w tym przypadku będzie wdrożenie zaawansowanych rozwiązań cyfrowego bezpieczeństwa, jak np. komercyjny i aktualizowany program antywirusowy czy szyfrowanie dwuskładnikowe. W taki sposób administrator zmniejsza ryzyko, że informacje dostaną się w niepowołane ręce.
Jeśli nie jesteś pewien czy w konkretnej sytuacji można powołać się na przesłankę uzasadnionych interesów administratora, skorzystaj ze wsparcia doświadczonych prawników. Specjaliści z Kancelarii RPMS przeprowadzą analizę stanu faktycznego, a także wskażą, w jaki sposób należy przeprowadzić balancing test, aby zminimalizować ryzyko błędnej oceny faktów i przetwarzania danych niezgodnie z prawem.
Należy pamiętać, że w razie kontroli Prezesa UODO administrator musi mieć możliwość wykazania, że jego interesy uzasadniają przetwarzanie danych osobowych. Jeżeli nie jest w stanie tego zrobić, nie spełnia podstawowej zasady rozliczalności.
Pytania i odpowiedzi
Tak, takie działania mogą zostać uznane za uzasadniony interes administratora, ale nie oznacza to, że może on przetwarzać w tym celu znaczne ilości danych swoich klientów monitorując ich zachowania w internecie, zwłaszcza jeżeli dane te zostały pierwotnie zebrane w innym celu i z innym przeznaczeniem. Takie profilowanie – jeżeli klienci nie zostaną o nim powiadomieni i nie otrzymają możliwości efektywnego złożenia sprzeciwu – narusza interes klientów sklepu, który w tym przypadku będzie przeważał nad interesem administratora.
W przypadku dzieci test równowagi powinien być przeprowadzony w sposób szczególnie surowy, choć – teoretycznie – odwołanie się do uzasadnionego interesu nadal jest możliwe. Aby uniknąć ryzyka poniesienia konsekwencji przetwarzania danych niezgodnie z prawem, warto rozważyć poszukania w tym przypadku innej podstawy przetwarzania danych lub zaniechania dalszych czynności w tym zakresie.
Zaufali nam: