Prawnie uzasadniony interes jest jedną z podstaw prawnych przetwarzania danych osobowych, określonych w art. 6 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych (RODO). Chcąc móc się na niego powołać, administrator musi wykazać, iż przetwarzanie, którego planuje dokonywać jest niezbędne do realizacji słusznych (prawnie uzasadnionych) interesów jego lub strony trzeciej, a nadrzędnego charakteru nie mają nad nimi interesy, prawa i wolności osoby, której dane dotyczą, zwłaszcza gdy osoba ta jest dzieckiem.
Uzasadniony interes
Zdaniem Grupy Roboczej art. 29 przy pojęciu uzasadniony interes należy najpierw dokonać rozróżnienia między interesem a celem[1]. Interes należy rozumieć jako ogólne założenie, które zamierza realizować administrator (np. zapewnienie bezpieczeństwa pracy swoich pracowników). Celem będzie natomiast szczegółowy zakres przetwarzania pozwalający na zrealizowanie tak określonego interesu administratora. Takim celem w naszym przykładzie może być wdrożenie określonych procedur lub systemów kontroli dostępu. Aby umożliwić dostęp do określonych obszarów wyłącznie personelowi administratora. Przyjąć więc należy, iż cel może obejmować szeroki zakres działań podejmowanych przez administratora w ramach realizacji danego interesu. Nie koniecznie musi to być wyłącznie jedna czynności przetwarzania. Interes można więc realizować przez wiele celów szczegółowych. Istotne jest, aby te wszystkie określone przez administratora cele przetwarzania realizowały jego ustalony interes. Na przykład celami, które wpływają na realizację ustalonego interesu administratora w zakresie zapewnienia bezpieczeństwa pracy swoich pracowników będzie zarówno system kontroli dostępu, system monitoringu wizyjnego, jak i system sygnalizacji włamania i napadu.
Zgodny z prawem czy na prawie oparty?
Interes, który może stanowić podstawę przetwarzania ma być prawnie uzasadniony. Przesłanki z art. 6 ust. 1 lit. f RODO nie można natomiast rozumieć jako obowiązek funkcjonowania w systemie prawnym przepisu, który zezwala na przetwarzanie danych osobowych w konkretnym celu. adekwatna interpretacja tej przesłanki prowadzi do wniosku, iż prawnie uzasadniony interes to będzie taki , który nie jest niezgodny z prawem. Należy więc przyjąć, iż chodzi o takie sytuacje, w którym przepis prawa nie zakazuje przetwarzania danych w określony sposób lub w określonym celu, albo gdy przepisy nie oceniają negatywnie konkretnego interesu (np. można uznać, iż złodziej ma interes w tym, aby zebrać dane swojej ofiary, którą zamierza okraść. Absurdem byłoby jednak stwierdzenie, iż może on przetwarzać te dane na podstawie art. 6 ust. 1 lit. f RODO, bo jego “interes” nie jest prawnie uzasadniony). Warto pamiętać, iż prawo powinno być rozumiane w tym przypadku szeroko – odnosząc się do wytycznym dostarczonych przez WP29 w opinii 3/2013 można uznać, iż chodzi o wszelkie formy prawa pisemnego lub zwyczajowego, interpretowane przez adekwatne sądy i uzupełnione o inne źródła urzędowe.[2].
Uzasadnienie interesu administrator
Chcąc skorzystać z prawnie uzasadnionego interesu jako przesłanki przetwarzania danych, należy w pierwszej kolejności w sposób precyzyjny należy określić swój interes oraz uzasadnić jego istotność z punktu widzenia administratora. W tym celu należy wykazać realne korzyści wynikające z planowanego procesu przetwarzania. Takie korzyści mogą odnosić się zarówno do bieżących lub przyszłych działań i może wiązać się to z korzyściami biznesowymi, gospodarczymi, społecznymi, prawnymi. Przykładowo prawnie uzasadnionym interesem może być:
- zapewnienie bezpieczeństwa sieci i informacji,
- zapobieganie oszustwom,
- marketing bezpośredni (pod pewnymi warunkami),
- zarządzanie wewnętrzne i administracja korporacyjna,
- monitorowanie, zapewnienie i poprawa jakości usług.
Warto zauważyć, iż często przetwarzanie danych osobowych w ramach prawnie uzasadnionych interesów administratora, może też pozytywnie wpływać na osoby, których dane dotyczą. Warunkiem jest jednak, aby przetwarzanie było przeprowadzane w sposób odpowiedzialny i zgodny z prawem, a interes i cel realizowany przez administratora określony był jasno i przejrzyście. Wskazanie uzasadnionego interesu w sposób nieprecyzyjny, niejasny dla podmiotu danych może stanowić naruszenie przepisów o ochronie danych osobowych[3].
Interesy lub podstawowe prawa i wolności osób, których dane dotyczą
Należy tu wskazać wszystkie tradycyjne prawa przewidziane w Konstytucji Rzeczypospolitej Polskiej, Karcie praw podstawowych UE, a także w Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. Obejmuje to oczywiście prawo do ochrony danych osobowych, życia osobistego i rodzinnego, wolności wypowiedzi i godności ludzkiej. Oprócz praw podstawowych osoby, której dane dotyczą, należy również uwzględnić inne „wolności lub interesy”. Może obejmować to interes, aby osoba nie ponosiła żadnych niekorzystnych skutków ekonomicznych. Niezależnie od tego, czy szkoda występuje po opublikowaniu danych osobowych, czy w inny sposób, na przykład za pośrednictwem dyskryminującej spersonalizowanej polityki cenowej. Ważne jest, aby pamiętać, iż w przeciwieństwie do interesów administratora, przymiotnik „uzasadniony” nie jest tutaj używany do poprzedzania „interesów” osób, których dane dotyczą. Oznacza to szerszy zakres ochrony interesów i praw osób fizycznych. Wynika z tego, iż choćby osoby zaangażowane w działalność nielegalną nie powinny być przedmiotem nieproporcjonalnej ingerencji w ich prawa i interesy. W wytycznych Grupy Roboczej jako przykład wskazuje się, iż choćby osoba, która dokonywała kradzieży w supermarkecie, może legitymować się nadrzędnymi interesami wobec publikacji jej zdjęcia oraz prywatnego adresu na ścianach supermarketu lub w Internecie, przez właściciela sklepu [4].
Test równowagi
Istotnym elementem oceny możliwości wykorzystania uzasadnionego interesu jako podstawy przetwarzania danych jest przeprowadzenie tzw. testu równowagi. Test ten wymaga starannego zważenia interesów administratora (lub strony trzeciej) względem interesów, praw i wolności osoby, której dane dotyczą. Test równowagi polega na:
- identyfikacji prawnie uzasadnionego interesu administratora/strony trzeciej,
- ustalenia konieczności przetwarzania (korzyści),
- identyfikacji interesów, praw lub wolności osoby, której dane dotyczą,
- wykonania balansu interesów stron.
Balans polega na ocenie, czy interesy, prawa i wolność osoby, której dane dotyczą, nie przeważają nad prawnie uzasadnionym interesem administratora/strony trzeciej. Obejmuje to analizę wpływu przetwarzania na takie osoby i rozważenie, czy można zastosować środki minimalizujące negatywny wpływ na ich prawa. W celu dokonania prawidłowej oceny interesów stron, należy w szczególności uwzględnić, czy osoba fizyczna może spodziewać się, iż administrator będzie przetwarzał jej dane osobowe w ramach realizacji określonego interesu i celu, czy przetwarzanie takie nie będzie stanowiło nadmiernego wobec tych interesów naruszenia prawa do prywatności lub innych praw i wolności osoby, które mogą zostać ograniczone w wyniku przetwarzania danych, takie jak: wolność słowa, prawo do niezakłóconego życia prywatnego i rodzinnego. Nie należy pominąć oceny potencjalnego ryzyka dla osoby, której dane osobowe dotyczą w związku z przetwarzaniem jej danych osobowych np. ryzyko dyskryminacji, ryzyko utraty kontroli nad danymi osobowymi, itp.
Dokumentacja testu równowagi przy prawnie uzasadnionym interesie
Dokumentowanie wykonania testu równowagi jest nie tylko wymogiem wynikającym z zasad Ogólnego Rozporządzenia o Ochronie Danych (RODO). Jest również kluczowym narzędziem umożliwiającym zarówno administratorowi, jak i organowi nadzorczemu, ocenę zgodności przetwarzania na tej podstawie legalizującej z wymogami prawa. Wśród kluczowych powodów, dla których prowadzenie takiej dokumentacji jest konieczne, możemy wskazać:
- uzyskanie zgodności z zasadą rozliczalności określoną w art. 5 ust. 2 RODO, zgodnie z którą administrator danych musi być w stanie wykazać zgodność z zasadami przetwarzania danych, w tym z zasadą legalności, uczciwości i przejrzystości. Dokumentacja wykonania testu równowagi jest bezpośrednim dowodem pokazującym, iż administrator dokonał starannej oceny i podjął świadomą decyzję o przetwarzaniu danych osobowych na podstawie prawnie uzasadnionego interesu,
- zarządzanie ryzykiem – dokumentacja z przeprowadzonego testu równowagi umożliwia identyfikację i ocenę ryzyka związanego z przetwarzaniem danych osobowych. Dzięki temu możliwe jest wdrożenie odpowiednich środków ograniczających ryzyko, co jest najważniejsze dla organizacji i osób, których dane przetwarzamy,
- transparentność wobec osób, których dane dotyczą – dokumentacja procesu stanowi podstawę do informowania osób, których dane dotyczą, o logice stojącej za przetwarzaniem ich danych na podstawie uzasadnionego interesu, co pozwala wzmacniać zaufanie i transparentność działania podejmowanych przez administratora,
- obrona przed roszczeniami w przypadku wystąpienia ewentualnych sporów lub roszczeń ze strony osób, których dane dotyczą – dokumentacja testu równowagi może służyć jako dowód, iż administrator działał zgodnie z prawem i brał pod uwagę zarówno własne interesy, jak i prawa osób, których dane dotyczą.
Rola Inspektora Ochrony Danych
Inspektor Ochrony Danych odgrywa kluczową rolę w przeprowadzeniu testu równowagi. Doradza on i wspiera administratora w wykonaniu testu, ocenie ryzyka oraz zapewnia nadzór nad dokumentacją. IOD także edukuję, wspiera w komunikacji z podmiotami danych oraz monitoruje i przegląda oceny testu. Jego zaangażowanie zapewnia, iż przetwarzanie danych na podstawie prawnie uzasadnionego interesu przeprowadza się z należytą starannością. Sprzyja to ochronie danych osobowych i zwiększa zaufanie do organizacji oraz zapewnia rozliczalność w przypadku kontroli ze strony PUODO
Podsumowanie
W świetle RODO, prawnie uzasadniony interes podkreśla wagę równowagi między możliwościami przetwarzania danych dla celów biznesowych, a koniecznością ochrony prywatności i danych osobowych. Uzasadniony interes wymaga od administratorów danych i stron trzecich przemyślanego podejścia oraz dokładnej analizy. Aby upewnić się, iż przetwarzanie nie narusza praw i wolności osób, których dane dotyczą. Jest to proces, który wymaga odpowiedniej dokumentacji i przejrzystości. Gdy się go prawidłowo stosuje, może służyć zarówno realizacji ważnych celów biznesowych, jak i ochronie danych osobowych. Trzeba jednak pamiętać, iż wykorzystanie tej podstawy prawnej wymaga nie tylko dokładnej analizy i dokumentacji. Wymaga także ciągłego monitorowania i dostosowywania procesów przetwarzania w odpowiedzi na zmieniające się okoliczności i sposoby przetwarzania danych osobowych.
[1] WP29, „Opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE” 844/14/EN WP 217 z 9 kwietnia 2014 r., s. 24
[2] WP29, „Opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE” 844/14/EN WP 217 z 9 kwietnia 2014 r., s. 25
[3] WP29, „Opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE” 844/14/EN WP 217 z 9 kwietnia 2014 r., s. 24
[4] WP29, ‘OPINIA 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE’ 844/14/EN WP 217 z 9 kwietnia 2014 r., s. 7. 30