Logotyp PureQualityLogotyp PureQualityLogotyp PureQualityLogotyp PureQuality
  • Strona główna
  • Funkcja IOD
  • Szkolenia
  • Oferta
    • Funkcja IOD
    • Wdrożenia RODO
    • Wdrożenia ISO
    • Audyty i inspekcje
    • Szkolenia
  • Aktualności
  • O nas
  • Kontakt

Przetwarzanie danych osobowych – test równowagi prawnie uzasadnionego interesu

  • Data dodania: 31 sierpnia 2020

Test równowagi Prawnie Uzasadnionego Interesu (PUI)
Monika Kacprzak

Podstawę prawnie uzasadnionego interesu administratora lub strony trzeciej można uznać za najbardziej elastyczną przesłankę prawną, na której administrator może oprzeć przetwarzanie danych osobowych. Samo RODO* w motywach 47-49 podaje, że za prawnie uzasadnione może być uznane przetwarzanie danych osobowych w czterech celach.

Jest to marketing bezpośredni, zapobieganie oszustwom, przekazywanie danych klientów lub pracowników pomiędzy przedsiębiorstwami z tej samej grupy kapitałowej do wewnętrznych celów administracyjnych oraz zapewnienie bezpieczeństwa sieci i informacji.

Katalog ten nie jest jednak zamknięty i na podstawie prawnie uzasadnionego interesu można oprzeć przetwarzanie w wielu innych celach, np. dochodzenia roszczeń, prowadzenia korespondencji czy rozpatrywania skarg przez organizacje prywatne.

Elastyczność tej przesłanki prawnej nie jest jednak tożsama z tym, że administrator może ją zastosować zawsze jeśli tylko ma jakiś własny cel przetwarzania, a nie mógł oprzeć tego przetwarzania na innych podstawach prawnych wymienionych w art. 6 ust. 1 RODO. Nie jest to przesłanka uniwersalna.

Aby możliwe było w pełni legalne powołanie się na przesłankę uzasadnionego interesu, administrator musi być w stanie wykazać, że:

  • przetwarzanie danych osobowych we wskazanym celu jest niezbędne, konieczne i proporcjonalne do tego celu;
  • interesy lub podstawowe prawa i wolności osób, których dane dotyczą nie mają charakteru nadrzędnego nad interesami administratora lub strony trzeciej.

Jeżeli przetwarzanie nie jest niezbędne i proporcjonalne do zamierzonego celu oraz jeśli istnieje inny rozsądny i mniej inwazyjny sposób osiągnięcia danego celu, to najprawdopodobniej taki interes administratora nie będzie mógł być uznany za prawnie uzasadniony.

Jeżeli przetwarzanie mogłoby wyrządzić osobie, której dane dotyczą nieuzasadnione szkody, negatywnie wpłynąć na jej interesy, naruszyć podstawowe prawa oraz gdy osoba w żaden sposób nie może spodziewać się przetwarzania jej danych osobowych, to w takiej sytuacji również interes administratora nie będzie mógł być uznany za prawnie uzasadniony.

W jaki sposób wykazać legalność prawnie uzasadnionego interesu?

Administrator musi przeanalizować i ocenić niezbędność przetwarzania oraz wpływ przetwarzania na interesy i podstawowe prawa osoby fizycznej.  W tym celu należy przeprowadzić tzw. Test równowagi Prawnie Uzasadnionego Interesu (PUI) i odpowiednio go udokumentować w ramach rozliczalności.

Wynik testu równowagi PUI rozstrzyga czy interesy administratora lub strony trzeciej są rzeczywiście prawnie uzasadnione w związku z czym test równowagi należy przeprowadzić przed rozpoczęciem przetwarzania.

Jak przeprowadzić Test równowagi Prawnie Uzasadnionego Interesu (PUI)?

Nie ma jednego standardowego sposobu i formatu przeprowadzania testu równowagi PUI. W zależności od celu przetwarzania i związanych z nim okoliczności analiza PUI może być bardzo krótka i prosta lub też bardzo szczegółowa i mocno rozbudowana. Sugerujemy jednak aby administrator opracował odpowiednią procedurę oceny PUI w celu ustandaryzowania procesu i wyeliminowania możliwości pominięcia analizy jakiegoś ważnego aspektu mogącego mieć wpływ na wynik testu.

Brytyjski organ nadzorczy ICO rekomenduje wykonanie trzyetapowego testu, na który składają się kolejno:

  1. Test celu,
  2. Test niezbędności,
  3. Test bilansujący.
Test celu

W pierwszym etapie należy w konkretny i precyzyjny sposób określić cel przetwarzania oraz uzasadnić swoje interesy. Administrator powinien opisać dlaczego przetwarzanie danych osobowych w tym celu jest dla niego ważne, jakie będzie miał z tego korzyści oraz co się stanie jeśli to przetwarzanie nie będzie możliwe. Należy również wziąć pod uwagę czy z przetwarzania danych mogą wyniknąć jakiekolwiek korzyści dla osoby, której dane dotyczą, dla strony trzeciej lub ogólnie dla społeczeństwa.  Oczywiście jeśli sam podmiot danych będzie miał jakiś pożytek z przetwarzania jego danych osobowych przez administratora, to istnieje większe prawdopodobieństwo, że administrator będzie mógł oprzeć przetwarzanie na prawnie uzasadnionym interesie.

Po przeprowadzeniu analizy korzyści, administrator powinien zastanowić się czy w procesie przetwarzania jest w stanie spełnić wymagania wynikające z innych przepisów, które z tym przetwarzaniem są powiązane. Chodzi np. o posiadanie uprzedniej zgody na wysyłanie informacji handlowej drogą elektroniczną (zgodnie z art. 10. ustawy o świadczeniu usług drogą elektroniczną) w sytuacji, w której administrator chciałby wysyłać takie informacje w celu marketingu bezpośredniego.  Jeżeli dany proces przetwarzania został opisany w kodeksie branżowym lub jakimś kodeksie postępowania i administrator spełnia wymogi wynikające z tych kodeksów, będzie to również okoliczność przemawiająca za uznaniem przetwarzania za prawnie uzasadnione.  Na koniec testu celu należy przeanalizować czy z przetwarzaniem wiążą się jakiekolwiek problemy etyczne oraz czy podczas przetwarzania zostaną spełnione wszystkie podstawowe zasady wynikające z art. 5 RODO.

Test niezbędności

Test niezbędności albo też konieczności służy do przeanalizowania czy przetwarzanie danych w celu określonym w etapie pierwszym, rzeczywiście jest niezbędne. W tym etapie należy zastanowić się nad proporcjonalnością danych do celu. Być może administrator jest w stanie osiągnąć cel przy wykorzystaniu mniejszej ilości danych lub też istnieją inne metody osiągnięcia celu bez przetwarzania w sposób zamierzony lub w sposób mniej inwazyjny.

Jeżeli potencjalnie jest możliwe osiągnięcie celu w inny sposób, trzeba szczegółowo opisać dlaczego zdaniem administratora jest on niewłaściwy lub nierozsądny.

Test bilansujący

Podczas trzeciego etapu – testu bilansującego, administrator analizuje charakter przetwarzanych danych osobowych, relacje z osobami, których dane dotyczą, wpływ przetwarzania na te osoby oraz ich prawa.

Należy opisać jaki charakter mają dane osobowe, które administrator chciałby przetwarzać w podanym celu. Czy są to dane powszechnie uznawane za prywatne, np. dotyczące sytuacji osobistej, materialnej lub zawodowej, czy dane finansowe np. numer rachunku bankowego, kart kredytowych, informacje o wynagrodzeniu lub transakcjach finansowych. Znaczenie ma również grupa osób, których dane dotyczą. Czy będą to zwykłe osoby dorosłe, dzieci czy też osoby mogące mieć trudności w dochodzeniu swoich praw (np. osoby starsze, schorowane, niepełnosprawne). Oczywiście im dane są bardziej prywatne i wrażliwe tym większe prawdopodobieństwo, że prawnie uzasadniony interes administratora będzie miał charakter podrzędny w stosunku do praw i wolności osób fizycznych.

Po określeniu i opisaniu charakteru danych osobowych, należy wziąć pod uwagę czy osoby, których dane dotyczą łączą z administratorem jakiekolwiek relacje i czy te osoby mają rozsądne przesłanki do tego by spodziewać się przetwarzania ich danych przez administratora. RODO w motywie 47 podaje, że istotnym i odpowiednim rodzajem takiego powiązania jest relacja pomiędzy administratorem a jego klientem. Klient po skorzystaniu z konkretnej usługi ma rozsądne przesłanki do spodziewania się tego, że administrator będzie chciał przetwarzać jego dane np. w celu marketingu bezpośredniego innych swoich usług czy produktów.  Na tym etapie trzeba opisać również źródło danych, czy administrator pozyskuje je bezpośrednio od osób, których dane dotyczą czy z innych źródeł oraz w jaki sposób ma zamiar spełniać obowiązek informacyjny.

Na koniec testu bilansującego należy dogłębnie przeanalizować prawdopodobny wpływ wynikający z przetwarzania danych osobowych, na osoby, których dane dotyczą. Czy przetwarzanie może mieć jakikolwiek negatywny wpływ na te osoby, na ich podstawowe prawa, wolności i interesy? Czy istnieje prawdopodobieństwo, że w wyniku przetwarzania może dojść do urazu psychicznego lub krzywdy fizycznej? Czy sama osoba, której dane dotyczą może uznać przetwarzanie jej danych za uciążliwe, niewłaściwe lub inwazyjne? Administrator powinien wziąć również pod uwagę to, czy osoby fizyczne będą miały realne prawo skorzystania ze swoich praw (np. prawo do sprzeciwu) oraz jakiego rodzaju zabezpieczenia zastosuje w celu odpowiedniej ochrony tych danych. Wdrożenie wysokiej jakości zabezpieczeń może pozytywnie wpłynąć na wynik całego testu równowagi chociaż nie będzie za każdym razem uzasadniać samego przetwarzania.

Wyniki Testu równowagi PUI

Na koniec całego trzyetapowego testu równowagi, administrator musi ocenić i podjąć decyzję czy może oprzeć przetwarzanie danych osobowych na swoim prawnie uzasadnionym interesie czy nie. Tego typu ocena zawsze będzie miała trochę subiektywny charakter. Należy jednak wziąć pod uwagę wszystkie wymienione w teście okoliczności  i starać się podejść do oceny w jak najbardziej obiektywny sposób. Wynik oceny powinien zawierać uzasadnienie decyzji.

Jeżeli podczas wykonywania testu równowagi, administrator zidentyfikuje wysokie ryzyka mogące mieć wpływ na prawa i wolności osób fizycznych, przed rozpoczęciem przetwarzania powinien przeprowadzić Ocenę Skutków dla Ochrony Danych (tzw. DPIA).

Czy Test równowagi PUI jest jednorazowy?

Jak to zwykle w ochronie danych bywa nie wystarczy zrobić czegoś raz i mieć to już z głowy. Test oraz jego wyniki należy monitorować szczególnie, gdy administrator zdecydował się na przetwarzanie na podstawie prawnie uzasadnionego interesu. Do testu równowagi PUI należy wracać za każdym razem, gdy zmienią się jakiekolwiek okoliczności przetwarzania, np. charakter, kontekst czy wpływ na osoby fizyczne.

Co jeśli wynik Testu równowagi PUI będzie negatywny?

Jeżeli w wyniku przeprowadzonego testu równowagi administrator oceni, że nie powinien opierać przetwarzania w danym celu na podstawie prawnie uzasadnionego interesu, powinien zaniechać przetwarzania, lub spróbować oprzeć przetwarzanie na innej przesłance prawnej tj. zgodzie (art. 6 ust. 1 lit. a RODO). W tym wypadku należy jednak pamiętać, że aby zgoda była legalna musi spełniać określone wymagania wymienione w art. 7-8 RODO.

Formularz do przeprowadzenia Testu równowagi Prawnie Uzasadnionego Interesu

Brytyjski organ nadzorczy ICO opracował formularz, który może posłużyć administratorom do przeprowadzenia testu prawnie uzasadnionego interesu administratora. Należy jednak pamiętać, że jest to przykładowy wzór, a nie jedyny i prawidłowy formularz. Każdy administrator może, a nawet powinien opracować własną procedurę przeprowadzania testu oraz odpowiedni do niej arkusz.

Wskazówki brytyjskiego organu nadzorczego w sprawie przeprowadzenia testu równowagi oraz wzór formularza Testu równowagi Prawnie Uzasadnionego Interesu znajdują się na stronie: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/

*ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Logotyp Pure Quality
  • → Strona główna
  • → Funkcja IOD
  • → Szkolenia
  • → Oferta
  • → Aktualności
  • → O nas
  • → Kontakt
TELEFON

+48 885 650 850

E-MAIL

kontakt@purequality.pl

Polityka prywatności | Polityka cookies | Centrum prywatności
Realizacja: Create WWW - Tworzenie stron internetowych
    Zarządzaj zgodami plików cookie
    Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje.
    Funkcjonalne Zawsze aktywne
    Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
    Preferencje
    Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
    Statystyka
    Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
    Marketing
    Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
    Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
    Zobacz preferencje
    {title} {title} {title}