Test równowagi Prawnie Uzasadnionego Interesu (PUI)
Monika Kacprzak
Podstawę prawnie uzasadnionego interesu administratora lub strony trzeciej można uznać za najbardziej elastyczną przesłankę prawną, na której administrator może oprzeć przetwarzanie danych osobowych. Samo RODO* w motywach 47-49 podaje, że za prawnie uzasadnione może być uznane przetwarzanie danych osobowych w czterech celach.
Jest to marketing bezpośredni, zapobieganie oszustwom, przekazywanie danych klientów lub pracowników pomiędzy przedsiębiorstwami z tej samej grupy kapitałowej do wewnętrznych celów administracyjnych oraz zapewnienie bezpieczeństwa sieci i informacji.
Katalog ten nie jest jednak zamknięty i na podstawie prawnie uzasadnionego interesu można oprzeć przetwarzanie w wielu innych celach, np. dochodzenia roszczeń, prowadzenia korespondencji czy rozpatrywania skarg przez organizacje prywatne.
Elastyczność tej przesłanki prawnej nie jest jednak tożsama z tym, że administrator może ją zastosować zawsze jeśli tylko ma jakiś własny cel przetwarzania, a nie mógł oprzeć tego przetwarzania na innych podstawach prawnych wymienionych w art. 6 ust. 1 RODO. Nie jest to przesłanka uniwersalna.
Aby możliwe było w pełni legalne powołanie się na przesłankę uzasadnionego interesu, administrator musi być w stanie wykazać, że:
Jeżeli przetwarzanie nie jest niezbędne i proporcjonalne do zamierzonego celu oraz jeśli istnieje inny rozsądny i mniej inwazyjny sposób osiągnięcia danego celu, to najprawdopodobniej taki interes administratora nie będzie mógł być uznany za prawnie uzasadniony.
Jeżeli przetwarzanie mogłoby wyrządzić osobie, której dane dotyczą nieuzasadnione szkody, negatywnie wpłynąć na jej interesy, naruszyć podstawowe prawa oraz gdy osoba w żaden sposób nie może spodziewać się przetwarzania jej danych osobowych, to w takiej sytuacji również interes administratora nie będzie mógł być uznany za prawnie uzasadniony.
Administrator musi przeanalizować i ocenić niezbędność przetwarzania oraz wpływ przetwarzania na interesy i podstawowe prawa osoby fizycznej. W tym celu należy przeprowadzić tzw. Test równowagi Prawnie Uzasadnionego Interesu (PUI) i odpowiednio go udokumentować w ramach rozliczalności.
Wynik testu równowagi PUI rozstrzyga czy interesy administratora lub strony trzeciej są rzeczywiście prawnie uzasadnione w związku z czym test równowagi należy przeprowadzić przed rozpoczęciem przetwarzania.
Nie ma jednego standardowego sposobu i formatu przeprowadzania testu równowagi PUI. W zależności od celu przetwarzania i związanych z nim okoliczności analiza PUI może być bardzo krótka i prosta lub też bardzo szczegółowa i mocno rozbudowana. Sugerujemy jednak aby administrator opracował odpowiednią procedurę oceny PUI w celu ustandaryzowania procesu i wyeliminowania możliwości pominięcia analizy jakiegoś ważnego aspektu mogącego mieć wpływ na wynik testu.
Brytyjski organ nadzorczy ICO rekomenduje wykonanie trzyetapowego testu, na który składają się kolejno:
W pierwszym etapie należy w konkretny i precyzyjny sposób określić cel przetwarzania oraz uzasadnić swoje interesy. Administrator powinien opisać dlaczego przetwarzanie danych osobowych w tym celu jest dla niego ważne, jakie będzie miał z tego korzyści oraz co się stanie jeśli to przetwarzanie nie będzie możliwe. Należy również wziąć pod uwagę czy z przetwarzania danych mogą wyniknąć jakiekolwiek korzyści dla osoby, której dane dotyczą, dla strony trzeciej lub ogólnie dla społeczeństwa. Oczywiście jeśli sam podmiot danych będzie miał jakiś pożytek z przetwarzania jego danych osobowych przez administratora, to istnieje większe prawdopodobieństwo, że administrator będzie mógł oprzeć przetwarzanie na prawnie uzasadnionym interesie.
Po przeprowadzeniu analizy korzyści, administrator powinien zastanowić się czy w procesie przetwarzania jest w stanie spełnić wymagania wynikające z innych przepisów, które z tym przetwarzaniem są powiązane. Chodzi np. o posiadanie uprzedniej zgody na wysyłanie informacji handlowej drogą elektroniczną (zgodnie z art. 10. ustawy o świadczeniu usług drogą elektroniczną) w sytuacji, w której administrator chciałby wysyłać takie informacje w celu marketingu bezpośredniego. Jeżeli dany proces przetwarzania został opisany w kodeksie branżowym lub jakimś kodeksie postępowania i administrator spełnia wymogi wynikające z tych kodeksów, będzie to również okoliczność przemawiająca za uznaniem przetwarzania za prawnie uzasadnione. Na koniec testu celu należy przeanalizować czy z przetwarzaniem wiążą się jakiekolwiek problemy etyczne oraz czy podczas przetwarzania zostaną spełnione wszystkie podstawowe zasady wynikające z art. 5 RODO.
Test niezbędności albo też konieczności służy do przeanalizowania czy przetwarzanie danych w celu określonym w etapie pierwszym, rzeczywiście jest niezbędne. W tym etapie należy zastanowić się nad proporcjonalnością danych do celu. Być może administrator jest w stanie osiągnąć cel przy wykorzystaniu mniejszej ilości danych lub też istnieją inne metody osiągnięcia celu bez przetwarzania w sposób zamierzony lub w sposób mniej inwazyjny.
Jeżeli potencjalnie jest możliwe osiągnięcie celu w inny sposób, trzeba szczegółowo opisać dlaczego zdaniem administratora jest on niewłaściwy lub nierozsądny.
Podczas trzeciego etapu – testu bilansującego, administrator analizuje charakter przetwarzanych danych osobowych, relacje z osobami, których dane dotyczą, wpływ przetwarzania na te osoby oraz ich prawa.
Należy opisać jaki charakter mają dane osobowe, które administrator chciałby przetwarzać w podanym celu. Czy są to dane powszechnie uznawane za prywatne, np. dotyczące sytuacji osobistej, materialnej lub zawodowej, czy dane finansowe np. numer rachunku bankowego, kart kredytowych, informacje o wynagrodzeniu lub transakcjach finansowych. Znaczenie ma również grupa osób, których dane dotyczą. Czy będą to zwykłe osoby dorosłe, dzieci czy też osoby mogące mieć trudności w dochodzeniu swoich praw (np. osoby starsze, schorowane, niepełnosprawne). Oczywiście im dane są bardziej prywatne i wrażliwe tym większe prawdopodobieństwo, że prawnie uzasadniony interes administratora będzie miał charakter podrzędny w stosunku do praw i wolności osób fizycznych.
Po określeniu i opisaniu charakteru danych osobowych, należy wziąć pod uwagę czy osoby, których dane dotyczą łączą z administratorem jakiekolwiek relacje i czy te osoby mają rozsądne przesłanki do tego by spodziewać się przetwarzania ich danych przez administratora. RODO w motywie 47 podaje, że istotnym i odpowiednim rodzajem takiego powiązania jest relacja pomiędzy administratorem a jego klientem. Klient po skorzystaniu z konkretnej usługi ma rozsądne przesłanki do spodziewania się tego, że administrator będzie chciał przetwarzać jego dane np. w celu marketingu bezpośredniego innych swoich usług czy produktów. Na tym etapie trzeba opisać również źródło danych, czy administrator pozyskuje je bezpośrednio od osób, których dane dotyczą czy z innych źródeł oraz w jaki sposób ma zamiar spełniać obowiązek informacyjny.
Na koniec testu bilansującego należy dogłębnie przeanalizować prawdopodobny wpływ wynikający z przetwarzania danych osobowych, na osoby, których dane dotyczą. Czy przetwarzanie może mieć jakikolwiek negatywny wpływ na te osoby, na ich podstawowe prawa, wolności i interesy? Czy istnieje prawdopodobieństwo, że w wyniku przetwarzania może dojść do urazu psychicznego lub krzywdy fizycznej? Czy sama osoba, której dane dotyczą może uznać przetwarzanie jej danych za uciążliwe, niewłaściwe lub inwazyjne? Administrator powinien wziąć również pod uwagę to, czy osoby fizyczne będą miały realne prawo skorzystania ze swoich praw (np. prawo do sprzeciwu) oraz jakiego rodzaju zabezpieczenia zastosuje w celu odpowiedniej ochrony tych danych. Wdrożenie wysokiej jakości zabezpieczeń może pozytywnie wpłynąć na wynik całego testu równowagi chociaż nie będzie za każdym razem uzasadniać samego przetwarzania.
Na koniec całego trzyetapowego testu równowagi, administrator musi ocenić i podjąć decyzję czy może oprzeć przetwarzanie danych osobowych na swoim prawnie uzasadnionym interesie czy nie. Tego typu ocena zawsze będzie miała trochę subiektywny charakter. Należy jednak wziąć pod uwagę wszystkie wymienione w teście okoliczności i starać się podejść do oceny w jak najbardziej obiektywny sposób. Wynik oceny powinien zawierać uzasadnienie decyzji.
Jeżeli podczas wykonywania testu równowagi, administrator zidentyfikuje wysokie ryzyka mogące mieć wpływ na prawa i wolności osób fizycznych, przed rozpoczęciem przetwarzania powinien przeprowadzić Ocenę Skutków dla Ochrony Danych (tzw. DPIA).
Jak to zwykle w ochronie danych bywa nie wystarczy zrobić czegoś raz i mieć to już z głowy. Test oraz jego wyniki należy monitorować szczególnie, gdy administrator zdecydował się na przetwarzanie na podstawie prawnie uzasadnionego interesu. Do testu równowagi PUI należy wracać za każdym razem, gdy zmienią się jakiekolwiek okoliczności przetwarzania, np. charakter, kontekst czy wpływ na osoby fizyczne.
Jeżeli w wyniku przeprowadzonego testu równowagi administrator oceni, że nie powinien opierać przetwarzania w danym celu na podstawie prawnie uzasadnionego interesu, powinien zaniechać przetwarzania, lub spróbować oprzeć przetwarzanie na innej przesłance prawnej tj. zgodzie (art. 6 ust. 1 lit. a RODO). W tym wypadku należy jednak pamiętać, że aby zgoda była legalna musi spełniać określone wymagania wymienione w art. 7-8 RODO.
Brytyjski organ nadzorczy ICO opracował formularz, który może posłużyć administratorom do przeprowadzenia testu prawnie uzasadnionego interesu administratora. Należy jednak pamiętać, że jest to przykładowy wzór, a nie jedyny i prawidłowy formularz. Każdy administrator może, a nawet powinien opracować własną procedurę przeprowadzania testu oraz odpowiedni do niej arkusz.
Wskazówki brytyjskiego organu nadzorczego w sprawie przeprowadzenia testu równowagi oraz wzór formularza Testu równowagi Prawnie Uzasadnionego Interesu znajdują się na stronie: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/
*ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)