Prawnie uzasadniony interes

Aktualności, Artykuły, Porady, Informacje


Prawnie uzasadniony interes

Prawnie uzasadniony interes
Ochrona danych / 6 czerwca 2019 przez Beata Walczyna-Szydełko

W praktyce wykonywania operacji na zwykłych danych osobowych największe obawy budzi dopuszczalność powołania się na klauzulę uzasadnionych interesów. W bieżącej działalności gospodarczej pojawiają się bowiem wątpliwości, kiedy interes jest prawnie uzasadniony.

Kiedy przetwarzanie danych osobowych jest legalne?

Zgodnie z RODO, przetwarzanie zwykłych danych osobowych jest zgodne z prawem (legalne) nie tylko wtedy, gdy osoba, której dane dotyczą (podmiot danych), wyraziła zgodę, ale także, gdy przetwarzanie jest niezbędne do: 

  • wykonania umowy, której stroną jest podmiot danych;
  • wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych (ADO);
  • ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej;
  • wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej ADO;
  • celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO (klauzula uzasadnionych interesów, ang. legitimate interests).

RODO nie wprowadza hierarchii opisanych podstaw przetwarzania zwykłych danych osobowych. Zatem, ich gromadzenie, analizowanie, porządkowanie, przechowywanie, czy modyfikowanie przez ADO jest legalne, jeśli jest konieczne w którejkolwiek z wymienionych sytuacji.  

W praktyce wykonywania operacji na zwykłych danych osobowych największe obawy ADO budzi dopuszczalność powołania się na klauzulę uzasadnionych interesów. W bieżącej działalności gospodarczej pojawiają się bowiem wątpliwości, kiedy interes ADO jest prawnie uzasadniony.

Kiedy interes ADO jest prawnie uzasadniony?

RODO nie zawiera definicji pojęcia „prawnie uzasadniony interes”, zaś w piśmiennictwie jest ono rozumiane bardzo szeroko. Interes jest generalnym powodem, dla którego ADO zamierza przetwarzać zwykłe dane osobowe, dążąc do osiągnięcia pewnej korzyści. Interes powinien być rzeczywisty, jednoznaczny, określony w zrozumiały sposób, nie może być spekulatywny. Jest uzasadniony prawnie wówczas, gdy może być realizowany bez naruszenia obowiązujących przepisów prawa – nie tylko regulacji prawnych w zakresie danych osobowych, ale wszelkich norm prawnych, mających zastosowanie do działalności prowadzonej przez ADO.

W RODO wskazano przykłady prawnie uzasadnionego interesu ADO:

  • prowadzenie  marketingu bezpośredniego,
  • zapobieganie oszustwom,
  • wymiana informacji w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych,
  • dbanie o bezpieczeństwo sieci i informacji, czyli dążenie do zapewnienia odporności sieci lub systemów informacyjnych na przypadkowe zdarzenia albo działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych informacji,
  • zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.

Czy przed 25 maja 2018 r. ADO mógł powołać się na prawnie uzasadniony interes?

W poprzednim stanie prawnym, czyli zanim RODO zaczęło być stosowane, przetwarzanie zwykłych danych osobowych było dopuszczalne między innymi, gdy było konieczne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez ADO (klauzula usprawiedliwionych celów).

Za legalne uznano między innymi  przetwarzanie danych osobowych:

  • w ramach marketingu bezpośredniego własnych produktów lub usług ADO (ustawa o ochronie danych osobowych);
  • w ramach dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej (ustawa o ochronie danych osobowych);
  • danych klientów ADO, będącego bankiem, nawet po zamknięciu rachunków kredytowych, dla oceny zdolności kredytowej, której prowadzenie jest prawem i obowiązkiem banku (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 7 listopada 2006 r., II SA/Wa 1289/06);
  • danych uczniów, w ramach kontroli prawidłowości pobrania i wykorzystywania dotacji oświatowych przez szkoły, przedszkola, inne formy wychowania przedszkolnego i placówki (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 16 maja 2017 r., V SA/Wa 702/17).

Przetwarzanie danych osobowych w oparciu o klauzulę usprawiedliwionych celów było niedopuszczalne, jeżeli naruszałoby to prawa i wolności podmiotu danych.

Jak podkreślono w orzeczeniach wydanych na gruncie poprzedniego stanu prawnego, rozstrzygając o tym, czy przetwarzanie danych było legalne, trzeba było każdorazowo ważyć interesy zarówno podmiotu danych, jak i ADO (wyrok Sądu Najwyższego z 24 września 2015 r., I UK 490/14).

Na czym polega test oceny uzasadnionych interesów?

Powyższe nie uległo zmianie. W każdej sytuacji, gdy przetwarzanie danych osobowych przez ADO odbywa się w oparciu o klauzulę uzasadnionych interesów, warto przeprowadzić test oceny uzasadnionych interesów (ang. Legitimate Interests Assessment). Jest to rodzaj weryfikacji ryzyka, związanego z wykonywaniem przez ADO operacji na danych osobowych.

RODO nie nakłada na ADO obowiązku przeprowadzenia przedmiotowego testu, jednak jego wynik może być częścią uzasadnienia decyzji ADO o przetwarzaniu danych osobowych w oparciu o klauzulę uzasadnionych interesów.

Nie istnieje żaden wiążący formularz testu, co pozwala uwzględnić indywidualną sytuację ADO. W literaturze opracowano model testu, składającego się z trzech części:

  1. opisanie uzasadnionego interesu ADO;
  2. rozważenie, czy przetwarzanie jest konieczne, czy nie istnieją inne, mniej inwazyjne środki do osiągnięcia określonego celu ADO oraz służące interesowi ADO;
  3. uwzględnienie sytuacji podmiotu danych.

W ramach ostatniej części testu uzasadnionych interesów, ADO powinien porównać własne prawnie uzasadnione interesy, realizowane w związku z konkretnymi operacjami na danych osobowych z interesami, prawami i wolnościami podmiotu danych. W rezultacie porównania, określanego mianem testu równowagi (ang. balancing test) trzeba ustalić, czyje interesy są przeważające.

Prawo do ochrony danych osobowych nie jest prawem bezwzględnym, jednak prawodawca europejski dąży do zapewnienia wysokiego poczucia bezpieczeństwa podmiotów danych, dlatego zarówno wynik testu uzasadnionych interesów, jak i będącego jego częścią testu równowagi, powinien być interpretowany z ostrożnością.

Wytyczne w zakresie interpretacji i stosowania RODO można znaleźć tutaj.

Treść niniejszego materiału ma wyłącznie charakter informacyjny i nie może być traktowana, jako porada prawna. Zawarte w materiale treści mogą nie wyczerpywać w pełni problemów lub zagadnień prawnych związanych z nowelizowanymi przepisami, orzeczeniami, interpretacjami. Każda sprawa wymagająca wiedzy prawniczej ma swój indywidualny wymiar, co uzasadnia jej indywidualną analizę. Zaleca się uprzednią konsultację konkretnej sprawy z radcą prawnym, adwokatem lub innym wykwalifikowanym prawnikiem. W przypadku jakichkolwiek pytań związanych z przedstawionymi powyżej zagadnieniami prawnymi oraz ich możliwym wpływem na działalność Użytkownika prosimy o kontakt drogą elektroniczną na adres e-mail: kontakt@fibi.com.pl lub pisemnie na adres: ul. Chłodna 64/315, 00-872 Warszawa.



Ostatnie wpisy



Pozostańmy w kontakcie

Fundacja
Instytut Bezpieczeństwa Informacji

ul. Chłodna 64/315
00-872 Warszawa
E-mail: kontakt@fibi.com.pl

NIP: 5732854282
REGON: 361276975
KRS: 0000553691

Loading map...

Loading