Wiele osób jest przekonanych, że podstawą przetwarzania danych osobowych jest przede wszystkim zgoda osoby, której dane dotyczą. Zgoda taka rzeczywiście została wymieniona jako pierwsza z podstaw przetwarzania danych osobowych w art. 6 ust. 1 RODO. Nie oznacza to jednak, że ta podstawa jest najważniejsza czy pierwsza w hierarchii. Przeciwnie, zgody wymagamy tylko wówczas, gdy nie znajdujemy innej podstawy z art. 6 RODO. Podstawą taką może być m.in. prawnie uzasadniony interes administratora, o którym mowa w art. 6 ust. 1lit. f RODO.

Przechodząc do szczegółów, art. 6 ust. 1 lit. f RODO stanowi, że przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

RODO wymaga, aby interes był „prawnie uzasadniony”, co należy rozumieć szeroko. Nie chodzi bowiem o interes wynikający z przepisów prawa (jak mogłoby się wydawać biorąc pod uwagę literalne brzmienie przepisu), lecz o interes zgodny z prawem (nie może być to interes nielegalny). Interes ten musi być ponadto konkretny i rzeczywisty, tj. nie może być jedynie prawdopodobny. Jako przykłady takiego interesu wskazuje się np. bezpieczeństwo sieci, ale także marketing bezpośredni własnych towarów i usług.

Ustalenie, czy możliwe jest przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesy wymaga przeprowadzenia testu równowagi w celu ustalenia, że interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie są nadrzędne wobec interesu administratora danych osobowych.

Sposób przeprowadzenia tego testu został szczegółowo opisany w Opinii Grupy Roboczej art. 29 nr 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE (opinia ta zachowuje swoją aktualność także po wejściu w życie RODO – jej pełny tekst dostępny jest tutaj: https://giodo.gov.pl/pl/1520203/7813).

Poniżej przedstawiamy krótki opis przeprowadzenia takiego testu krok po kroku:

Krok 1: Ocena, która podstawa prawna może potencjalnie znajdować zastosowanie zgodnie z art. 6 ust. 1 RODO

Należy rozważyć, czy nie znajdzie zastosowania inna podstawa prawna przetwarzania danych niż prawnie uzasadniony interes, np. przetwarzanie danych w celu zawarcia i wykonania umowy lub realizacji obowiązków wynikających z przepisów prawa. Jeżeli ustalimy, że podstawą przetwarzania danych będzie interes administratora (który jest konkretny i rzeczywisty), przechodzimy do kroku 2.

Krok 2: Zakwalifikowanie interesu jako „prawnie uzasadniony” lub „nieuzasadniony”

Jak wskazano powyżej, ocena taka wymaga ustalenia, czy interes określony w kroku 1 jest zgodny z prawem, tj. czy jest legalny.

Krok 3: Określenie czy przetwarzanie jest konieczne do osiągnięcia interesu

Na tym etapie należy ustalić, czy nie ma innych środków, które pozwolą na osiągniecie interesu. Przetwarzanie danych osobowych musi być konieczne dla celu, który chcemy osiągnąć.

Krok 4: Ustanowienie tymczasowej równowagi przy ocenie, czy interes administratora danych jest podporządkowany podstawowym prawom i wolnościom osoby, której dane dotyczą

Na tym etapie należy przeanalizować:

a)      charakter interesów administratora (prawa podstawowe, innego typu interesy, interes publiczny);

b)     możliwe szkody poniesione przez administratora, osoby trzecie lub szerszą społeczność, jeżeli przetwarzanie danych nie będzie miało miejsca;

c)      charakter danych (wrażliwe w węższym czy szerszym sensie?);

d)     status osoby, której dane dotyczą (nieletni, pracownik, etc.) oraz administratora (na przykład, czy to jest organizacja biznesowa posiadająca dominującą pozycję na rynku);

e)      sposób, w jaki dane są przetwarzane (duża skala, wydobywanie danych, profilowanie, ujawnienie dużej liczbie osób lub publikacja);

f)       podstawowe prawa oraz/lub interesy osoby, której dane dotyczą, na które może być wywarty wpływ;

g)      racjonalne oczekiwania osoby, której dane dotyczą;

h)     wpływy na osobę, której dane dotyczą, oraz porównać je z oczekiwanymi korzyściami z przetwarzania dla administratora danych.

Krok 5: Ustanowienie ostatecznej równowagi biorąc pod uwagę dodatkowe środki ochronne

Na tym etapie należy zidentyfikować oraz wdrożyć odpowiednie dodatkowe środki ochronne wynikające z obowiązku dochowania należytej staranności, takie jak:

a)      minimalizacja danych (na przykład ścisłe ograniczenia zbierania danych lub natychmiastowe usunięcie danych po wykorzystaniu);

b)     środki organizacyjne i techniczne w celu zapewnienia, że dane nie mogą być wykorzystane do podjęcia decyzji lub innych działań w odniesieniu do osób;

c)      rozległe zastosowanie technik anonimizacyjnych, agregowanie danych, technologie wzmacniające prywatność, prywatność w fazie projektowania, ocena wpływu na prywatność i ochronę danych;

d)     zwiększona przejrzystość, ogólne oraz bezwarunkowe prawo do mechanizmu opt-out; możliwość przenoszenia danych oraz powiązane środki dające uprawnienia osobom, których dane dotyczą.

Krok 6: Wykazanie zgodności oraz zapewnienie przejrzystości

W ramach tego etapu należy przygotować uzasadnienie przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO w oparciu o informacje zebrane w krokach 1-5. Zaleca się także, aby poinformować osoby, których dane dotyczą, o uzasadnieniu przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO oraz aby zachować dokumentację stanowiącą potwierdzenie przeprowadzenia stosownej analizy na potrzeby ewentualnej kontroli organów ochrony danych.

Krok 7: Co należy uczynić w sytuacji, gdy osoba, której dane dotyczą, korzysta ze swojego prawa do wyrażenia sprzeciwu?

W ramach tego kroku należy zapewnić, że zastosowano odpowiedni oraz przyjazny użytkownikowi mechanizm w celu ponownej oceny równowagi zainteresowanych osób oraz wstrzymania przetwarzania ich danych, jeżeli ponowna ocena wykaże, że ich interes jest nadrzędny. Jeżeli administrator zdecyduje się na wprowadzenie bezwarunkowego mechanizmu opt-out (tj. przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO będzie zaprzestane w każdym przypadku wniesienia sprzeciwu – obecnie taki mechanizm jest obligatoryjny dla przetwarzania danych w celach marketingowych), powinno się zapewnić, że ten wybór jest szanowany, bez potrzeby podejmowania dalszych kroków lub oceny.

 

Skontaktuj się z nami, jeżeli potrzebujesz pomocy w analizie prawnej procesów przetwarzania danych osobowych w Twojej Firmie.