Przepisy RODO dopuszczają przetwarzanie danych osobowych w oparciu o prawnie uzasadniony interes administratora. Istota operacji przeprowadzanych na danych polega w tej sytuacji na spełnianiu celów administratora danych osobowych (ADO), z tym zastrzeżeniem, iż muszą być one zgodne z prawem, ale i nie mogą godzić zarówno w prawa, wolności, jak i godność osób, których dane dotyczą. Przed skorzystaniem z tego rozwiązania warto więc upewnić się, czy zostały spełnione wymogi prawne związane z jego stosowaniem.
Unijny prawodawca definiuje tzw. „usprawiedliwiony interes administratora” bardzo szeroko. Podkreśla się, iż istnienie takiego interesu należy oceniać każdorazowo. Posłużyć temu może m.in. test równowagi, którego wyniki będą z kolei materiałem dowodowym na wykazanie spełnienia zgodności z RODO. Jesteś ADO? Dowiedz się jak przeprowadzić test równowagi, jakie dane w nim uwzględnić i przede wszystkim – jak zinterpretować wyniki!
Podsumowanie:
- Prawnie uzasadnionego interesu (PUI) możesz użyć jako podstawy przetwarzania danych osobowych tylko wtedy, kiedy brak możliwości wykorzystania innej podstawy, bądź kiedy jest to możliwe, jednak ocenia się, że to PUI jest bardziej odpowiednie ze względu na kontekst, jak i cel przetwarzania danych osobowych.
- Rozważając wykorzystanie PUI jako podstawy przetwarzania danych, jako ADO jesteś zobowiązany do przeprowadzenia tzw. oceny prawnie uzasadnionego interesu (OPUI).
Podstawy prawne przetwarzania danych osobowych
Przepisy prawne wskazują, iż przetwarzanie danych osobowych może odbywać się na następujących podstawach:
- zgody osoby, której dane dotyczą,
- działań kontrolowanych przez administratora prowadzących do zawarcia umowy lub wywiązania się z jej postanowień,
- działań niezbędnych do wypełnienia obowiązku prawnego,
- działań niezbędnych do ochrony żywotnego interesu osoby,
- działań wykonywanych w interesie publicznym,
- działań prowadzonych w ramach prawnie uzasadnionych interesów administratora lub strony trzeciej.
Musisz wiedzieć, że nie ma hierarchii w obrębie powyższych podstaw prawnych – wszystkie uznaje się za jednakowo istotne. Będąc administratorem danych osobowych, to Ty dokonujesz wyboru właściwej podstawy, a więc adekwatnej do celu i zakresu przetwarzanych danych osobowych, a również i do operacji, jakie będą na danych wykonywane. Co z prawnie usprawiedliwionym interesem? Możesz go użyć tylko wtedy, kiedy nie ma możliwości wykorzystania innej podstawy, bądź kiedy jest to możliwe, ale ocenia się, że PUI jest bardziej odpowiednie z uwagi na kontekst oraz cel przetwarzania danych osobowych. PUI musi być realizowane w sposób zgodny z przepisami prawa, w tym szczególnie z RODO.
Ważny fragment
Decydując się na przetwarzanie danych osobowych na podstawie PUI, musisz przeprowadzić i udokumentować jego ocenę. Da Ci to wiele korzyści – m.in. będziesz mógł wykazać stosowanie zasady rozliczalności i przejrzystości danych osobowych oraz gwarantować, że interesy osób, których dane osobowe dotyczą, będą podlegać poprawnej interpretacji. Pamiętaj – może dojść do konieczności przedłożenia interesów, wolności i praw osób objętych ochroną danych osobowych, ponad interesy ADO.
Wybór PUI a prawa osób
Prawa osób objętych RODO stosuje się niezależnie od wybranej podstawy prawnej przetwarzania danych osobowych. W przypadku PUI zaleca się, by skupić się szczególnie na prawach takich jak:
- prawie do informacji – będąc ADO jesteś zobowiązany, by przekazać (jasnym i prostym językiem) informacje o celu przetwarzania danych osobowych i przysługujących prawach osobom, których dane te dotyczą. Powinieneś zapewaniać te osoby, że przetwarzanie danych osobowych nie narusza ich praw i wolności, jak i podkreślać korzyści płynące z przetwarzania. Zaleca się tzw. podejście warstwowe – udostępnianie szczegółowych informacji na życzenie.
- prawie do usunięcia – w tym przypadku, decydując się na PUI należy usunąć dane, gdy:
- administrator nie będzie mógł uzasadnić konieczności ich przetwarzania,
- dane okażą się niepotrzebne do celu, dla którego pierwotnie zostały zebrane,
- przetwarzanie okaże się niezgodne z prawem.
- prawie do sprzeciwu – w momencie pozyskiwania danych, a najpóźniej w momencie pierwszej komunikacji, ADO jest zobowiązany wyraźnie poinformować osoby, których dane dotyczą o prawie do sprzeciwu wobec ich przetwarzania. Jako administrator koniecznie poinformuj, że sprzeciw może być niewystarczający w sytuacji, w której dane osobowe przetwarzane są w celu zapobiegania oszustwom lub zapewnieniu bezpieczeństwa sieci i systemów informatycznych. Musisz wdrożyć odpowiednie narzędzia/procedury umożliwiające wniesienie sprzeciwu, które zostaną dostosowane do celu, jak i specyfiki przetwarzania danych. Zarówno wpływ sprzeciwu osób na przetwarzanie danych, których podstawą prawną jest PUI, jak i sposób jego realizacji, powinny być rozpatrzone w fazie projektowania procesu i udokumentowane w teście równowagi.
Nasz ekspert Jolanta Jackowiak jest do Twojej dyspozycji.
Możliwość zastosowania PUI
Przepisy RODO wskazują, że jako administrator możesz przetwarzać dane osobowe na podstawie prawnie uzasadnionego interesu w sytuacjach, gdy:
- uzyskasz pozytywną ocenę w 3-etapowym teście dotyczącym PUI, na który składa się test celu, niezbędności i równowagi,
- odpowiednio zdefiniujesz relację pomiędzy sobą a podmiotem danych osobowych,
- w przypadku pozyskania danych od strony trzeciej odpowiednio poinformujesz o podstawie prawnej przetwarzania danych osoby.
Unijny prawodawca wprost wskazuje na przykłady zastosowania PUI. Są to:
- marketing bezpośredni,
- zapobieganie oszustwom,
- przekazywanie danych osobowych w ramach grupy przedsiębiorstw powiązanych do realizacji wewnętrznych celów,
- zapewnienie bezpieczeństwa sieci i informacji.
Ocena PUI
Stosując PUI należy zachować równowagę pomiędzy interesami, prawami i wolnościami osób, których dane są przetwarzane a interesami administratora. Jeżeli jesteś administratorem, warto byś posiadał dokument potwierdzający przeprowadzenie oceny oraz wskazał powody, dla których doszedłeś do wniosku, że spełnione zostały kryteria równowagi interesów. To pozwoli udowodnić zgodność z zasadą rozliczalności oraz wykazać należyte respektowanie praw osób w procesie przetwarzania.
Pamiętaj – jako administrator jesteś zobowiązany by określić, czy prawa osób, których dane przetwarzasz, są nadrzędne nad twoimi interesami (w sytuacji, kiedy interesy administratora i osób nie są traktowane jednakowo). Jesteś ponadto zobowiązany by wskazać potencjalne szkody, jakie mogą wynikać z przetwarzania danych. Kiedy decydujesz się na PUI jako podstawę przetwarzania, musisz także wykazać organowi nadzoru bądź osobie, której dane dotyczą, że rozważyłeś w pełni cel przetwarzania oraz wypełniasz prawa podmiotów danych osobowych. W tym celu koniecznie skorzystaj z tzw. 3-częściowego testu OPUI.
Test OPUI
Kryteria dotyczące przetwarzania danych w oparciu o PUI zostały określone w RODO. Przede wszystkim obejmują one określenie celu, dla którego przetwarzanie danych jest konieczne, a także przeprowadzenie tzw. testu równowagi. Chociaż przez wzgląd na rodzaj czynności przetwarzania, OPUI możemy określić jako prostą lub bardziej złożoną, w obu tych przypadkach niezwykle istotne jest udokumentowanie decyzji o zastosowaniu danej podstawy przetwarzania.
OPUI to test, ktory składa się z następujących części:
- Test celu – służy zdefiniowaniu interesu administratora (celu dla którego jako administrator będziesz przetwarzać dane osobowe). Pomocne okażą się odpowiedzi na poniższe pytania:
- W jakim celu chcę przetwarzać dane, co chcę tym osiągnąć?
- Jak ważne są korzyści z przetwarzania i kto je czerpie?
- Jakie byłyby skutki, gdybym nie mógł kontynuować przetwarzania?
- Czy wykorzystywanie danych po ustaniu przetwarzania byłoby w jakikolwiek sposób nieetyczne lub niezgodne z prawem?
- Test niezbędności – ma określić, czy przetwarzanie danych osobowych jest konieczne dla celów handlowych bądź biznesowych. Pamiętaj – na wybór PUI jako podstawy przetwarzania, decyduj się wtedy, gdy:
- nie ma innego sposobu na osiągnięcie danego celu,
- inny sposób wymagałby nieproporcjonalnego wysiłku (i jest to możliwe do wykazania).
W przypadku, gdy występuje możliwość wyboru spośród wielu podstaw przetwarzania – kieruj się oceną skutków danego przetwarzania!
- Test równowagi – powinien zostać przeprowadzony w sposób jak najbardziej uczciwy, z dala od stronniczej oceny administratora, uwzględniając prawa i wolności osób. Celem testu równowagi jest wskazanie, czy prawa i interesy osób są nadrzędne względem prawnie uzasadnionego interesu ADO.
Za dobrą praktykę uchodzi przeprowadzenie OPUI przez osobę, która jest niezależna, uczestniczy w procesie decyzyjnym oraz zna proces. Przy wykonywaniu testu równowagi należy wziąć pod uwagę zarówno charakter interesów, jak i zakres i kategorie przetwarzanych danych. Należy uwzględnić:
- czy osoby, których dane będą przetwarzane mogą spodziewać się takiego przetwarzania oraz jaki to wywrze na nie wpływ,
- określenie statusu osoby i administratora,
- określenie sposobu przetwarzania danych,
- czy dokonywana jest publikacja bądź czy ujawnia się dane dużej liczbie osób/podmiotów,
- czy przetwarzanie odbywa się na dużą skalę.
To co determinuje końcowy wynik testu równowagi, to m.in. rodzaj stosowanych zabezpieczeń (środków kontrolnych wdrożonych by chronić osoby, ograniczając ryzyko lub potencjalnie negatywny wpływ na przetwarzanie). Zabezpieczenia te powinny być zidentyfikowane już na etapie oceny skutków dla ochrony danych, która prowadzona jest w związku z proponowanym przetwarzaniem. Przykładowymi zabezpieczeniami wykorzystywanymi w fazie projektowania są: minimalizacja danych, anonimizacja bądź pseudonimizacja, wielopoziomowe uwierzytelnianie, ograniczony czas i dostęp przetwarzania danych, szyfrowanie.
Negatywny wynik OPUI
Kiedy wynik 3-częściowego testu OPUI okaże się negatywny – jako administrator możesz rozważyć:
- zmniejszenie zakresu danych,
- zmianę charakteru przetwarzania,
- wprowadzenie dodatkowych zabezpieczeń.
Bez względu na to, którą z wyszczególnionych możliwości wybierzesz, jesteś zobowiązany by ponownego przeprowadzenia testu równowagi. Jeżeli wprowadzone zmiany nie zmienią wyniku testu, administrator nie może przetwarzać danych na podstawie PUI i powinien znaleźć alternatywną podstawę prawną lub nie rozpoczynać takiego przetwarzania.
Wykorzystanie PUI – przykłady
Istnieje szeroki katalog działań, w świetle których ADO może wykorzystać PUI jako legalną podstawę przetwarzania danych osobowych, uwzględniając OPUI. Takie działania mogą mieć na celu m.in.:
- zapobieganie oszustwom (np. nadużyciom finansowym),
- ocenę ryzyka potencjalnych klientów (np. określenie zdolności kredytowej),
- zapobieganie kradzieżom i zapewnianie odpowiedniego stopnia ochrony danych dzięki monitorowaniu poczty elektronicznej, ruchu w sieci, a także ograniczeniu dostępu do kont systemów IT,
- realizację praw osób, których dane dotyczą (np. przechowywanie danych osób, które sprzeciwiły się przetwarzaniu, po to, by móc je zidentyfikować i jednocześnie zapobiegać dalszemu niepożądanemu przetwarzaniu w celach, wobec których został wniesiony sprzeciw bądź wycofana zgoda),
- optymalizację planowanych kampanii marketingowych poprzez ocenę liczby odwiedzających, odsłon, wpisów, recenzji i osób obserwujących dzięki wykorzystaniu do tego specjalnych narzędzi diagnostycznych, zwanych web analytics.
- hosting danych w chmurze,
- profilowanie i monitorowanie sezonowych trendów zdrowotnych w celach naukowych badań statystycznych,
- marketing bezpośredni.
Pamiętaj, kluczowe w przetwarzaniu danych w oparciu o prawnie usprawiedliwiony interes jest zachowanie równowagi pomiędzy celami własnymi ADO a interesami, prawami i wolnościami osób, których te dane dotyczą. Takie przetwarzanie jest jak najbardziej zgodne prawem i można z niego korzystać, pamiętając jednak o respektowaniu zasady rozliczalności i przeprowadzaniu okresowych testów OPUI, zwłaszcza wtedy, kiedy kryteria stosowane w ocenie ulegną zmianie. W przypadku wszelkich pytań i wątpliwości – skontaktuj się z nami!
