Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu

&lt![CDATA[

Na podstawie RODO możliwe jest przetwarzanie danych osobowych, jeśli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Dopuszczone jest więc korzystanie z danych osobowych, jeśli jest to uzasadnione obiektywną korzyścią jaką może to przynieść administratorowi lub osobie trzeciej. Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu jest przy tym tak samo legalne, jak np. przetwarzanie w oparciu o zgodę osoby, lub inną podstawę prawną.

Prawnie uzasadnione interesy administratora lub osób trzecich mogą być różnorodne. Nie wskazując ich zamkniętego katalogu, RODO wymienia tutaj m.in. przeciwdziałanie oszustwom i nadużyciom, zapewnienie bezpieczeństwa sieci i informacji, marketing bezpośredni oraz przekazywanie danych między spółkami z grupy kapitałowej w celach administracyjnych. W praktyce wiele innych operacji również będzie przynosić administratorowi wymierną korzyść, wobec tego będą one mogły być również uznane za usprawiedliwione. Chodzi przykładowo o takie działania jak: prowadzenie analityki korzystania z serwisu internetowego, przetwarzanie danych pracowników w celu organizacji wyjazdów służbowych lub szkoleń, udostępnianie przez agencję rekrutacyjną przesłanych aplikacji potencjalnym pracodawcom, przetwarzanie danych pracowników kontrahenta w celach kontaktowych, czy śledzenie floty samochodów z wykorzystaniem technologii GPS.

Należy jednak pamiętać, że samo odnoszenie korzyści z operacji przetwarzania przez administratora lub osobę trzecią nie stanowi jeszcze o jej dopuszczalności. Zgodnie z art. 6 ust. 1 pkt. f) RODO podstawa ta nie będzie mogła być zastosowana, jeśli nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą, a w szczególności dzieci.

Trzystopniowy test

Na podstawie RODO można zatem mówić o trzech konstruktywnych elementach prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych. Te trzy elementy muszą zostać uwzględnione przez administratora w formie tzw. testu trzystopniowego, w celu oceny, czy podstawa uzasadnionego interesu może być w danym przypadku zastosowana.

Po pierwsze, administrator musi jasno określić i zidentyfikować cel przetwarzania i interes jaki ma być realizowany („test celowości”). Przetwarzanie musi przynosić realną korzyść administratorowi, osobie trzeciej lub szerszej społeczności. Sam interes musi być rzeczywisty, nie może być sformułowany ogólnikowy, a także musi być zgodny z prawem i normami etycznymi (co wyklucza uznanie, że wysyłanie spamu może być realizowane w uzasadnionym interesie).

Po drugie, przetwarzanie musi być niezbędne dla osiągnięcia tego interesu („test niezbędności”). Oznacza to, że jeśli istnieje realna (tj. niewiążąca się z niewspółmiernie większym wysiłkiem lub kosztami) alternatywa wobec planowanego procesu, mniej ingerująca w prywatność i prawa osób fizycznych, proces ten nie jest niezbędny oraz nie może być oparty na prawnie uzasadnianym interesie.

Po trzecie, administrator musi zważyć własne interesy z interesami oraz osób, których dane mają być przetwarzane („test balansujący”). Konieczne jest przeanalizowanie w sposób obiektywny, czy planowany proces może np. prowadzić do ograniczenia ich prywatności, utrudniać wykonywanie przez nich swoich praw, doprowadzić do utraty przez nich kontroli nad danymi, lub też grozić powstaniem jakichkolwiek strat moralnych lub finansowych po ich stronie. Te interesy administrator musi zważyć względem innych interesów, odpowiadając przykładowo na pytania, jakie skutki będzie miało zaniechanie operacji przetwarzania, czy przetwarzanie służy także interesowi społecznemu lub osobom, których dotyczy itd.

Test trzystopniowy należy rozpatrywać także w kontekście wynikającej z RODO zasady rozliczalności, która wiąże się z koniecznością wykazania przez administratora przestrzegania obowiązków w zakresie ochrony danych osobowych. Tym samym administrator powinien również dokumentować przeprowadzenie trzystopniowego testu w odniesieniu do każdej operacji, która ma zostać oparta na podstawie prawnie uzasadnionego interesu. Dokument zawierający wynik przeprowadzonej analizy może być jedynym sposobem wykazania w razie ewentualnej kontroli, że wybierając tę podstawę przetwarzania, administrator dokonał oceny zasadności tego wyboru oraz uwzględniło prawa i interesy osób, których dane mają być przetwarzane.

Kiedy stosować prawnie uzasadniony interes

Ze względu na swoją elastyczność i możliwość zastosowania do różnorodnych operacji przetwarzania, podstawa prawnie uzasadnionego interesu może okazać się bardzo przydatnym rozwiązaniem dla administratorów. Na tej podstawie mogą być realizowane rutynowe procesy w ramach organizacji związane z przetwarzaniem danych, które nie mogą być oparte na innych podstawach. Z drugiej strony, jeśli istnieje możliwość oparcia przetwarzania na innej podstawie (np. w związku z koniecznością realizacji umowy), prawnie uzasadniony interes nie powinien być wykorzystywany.

Przetwarzanie takie nie powinno również nadmiernie ingerować w prywatność osób fizycznych lub wiązać się ze znacznym ryzykiem wyrządzenia im szkody. W każdym razie, co do zasady, operacje dokonywane w ramach prawnie uzasadnionego interesu należy zasadniczo ograniczyć tylko do tych, których osoby mogą lub powinny się spodziewać, na przykład ze względu na istniejącą relację z administratorem. Tym samym prawnie uzasadniony interes nie powinien być domyślną podstawą przetwarzania, którą stosuje się do większości operacji, ze względu na pozorna łatwość jej zastosowania. Podstawa ta nie będzie mogła być wykorzystywana w każdym przypadku.

Jednocześnie jej wybór wiąże się z dodatkowymi obowiązkami. Oprócz konieczności przeprowadzenia i udokumentowania wyników testu trzystopniowego, administrator powinien poinformować osoby, których dane dotyczą o tym jakie uzasadnione interesy są realizowane oraz powinien umożliwić im wyrażenie sprzeciwu wobec operacji opartych na tej podstawie.

Artur Piechocki, radca prawny i Daniel Siciński LLM, aplikant radcowski w Kancelarii APLaw Artur Piechocki

]]
Więcej informacji

Prawo

Podział prawa ze względu na metodę regulacji:
1) Prawo wewnętrzne: Prawo konstytucyjne, Prawo cywilne - reguluje relacje między podmiotami prawa w relacji poziomej, czyli żaden z podmiotów pozostających w stosunku prawnym nie jest władny narzucić swojej woli drugiej stronie (cywilnoprawna metoda regulacji).
Prawo pracy - reguluje stosunki między pracodawcą a pracownikiem, a także organizacjami pracowników (związki zawodowe) metodą w zasadzie cywilnoprawną, jednak z dużym zakresem norm semiimperatywnych służących wyznaczeniu minimalnego poziomu ochrony pracownika.
Prawo karne - jest zbiorem norm mających na celu eliminację zachowań aspołecznych najcięższej wagi poprzez zastosowanie sankcji kary. (karnoprawna metoda regulacji).
Prawo administracyjne - reguluje relacje między podmiotami w stosunku pionowym, tj. wówczas gdy jeden z podmiotów może władczo kształtować sytuację prawną drugiego podmiotu. (administracyjnoprawna metoda regulacji).
Prawo rodzinne i opiekuńcze
Prawo finansowe
2) Prawo międzynarodowe

Podział prawa ze względu na przedmiot regulacji:
prawo autorskie, prawo bankowe, prawo budowlane, prawo celne, prawo człowieka, prawo dziecka, prawo energetyczne, prawo kanoniczne, prawo konstytucyjne, prawo konfliktów zbrojnych, prawo lotnicze, prawo medyczne, prawo międzynarodowe, prawo naukowe, prawo o ruchu drogowym, prawo o szkolnictwie wyższym, prawo ochrony środowiska, prawo podatkowe, prawo prasowe, prawo rolne, prawo upadłościowe, prawo wyznaniowe.

Prawo jest wyrazem konieczności uporządkowania życia społecznego i poddania go pewnym regułom, by umożliwiało istnienie i możliwie należyte funkcjonowanie społeczności państwowej, bardzo zróżnicowanej, której członkowie mają odmienne potrze-by i aspiracje, w których dochodzi do rozmaitych konfliktów i zagrożeń, zarówno biologicznej jak i społecznej egzystencji grupy. Różne systemy norm prawnych wprowadzają element ładu we wzajemnych stosunkach między ludźmi. Normy prawne, podobnie jak powszechnie uznawane i akceptowane normy moralne, normy religijne czy nor-my obyczajowe nie mają jednak wyłączności na regulowanie ludzkich zachowań. Nie-mniej jednak prawo normuje dziś niemal wszystkie dziedziny życia społecznego.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *