Ochrona danych / 6 czerwca 2019 przez Beata Walczyna-Szydełko
W praktyce wykonywania operacji na zwykłych danych osobowych największe obawy budzi dopuszczalność powołania się na klauzulę uzasadnionych interesów. W bieżącej działalności gospodarczej pojawiają się bowiem wątpliwości, kiedy interes jest prawnie uzasadniony.
Kiedy przetwarzanie danych osobowych jest legalne?
Zgodnie z RODO, przetwarzanie zwykłych danych osobowych jest zgodne z prawem (legalne) nie tylko wtedy, gdy osoba, której dane dotyczą (podmiot danych), wyraziła zgodę, ale także, gdy przetwarzanie jest niezbędne do:
- wykonania
umowy, której stroną jest podmiot danych;
- wypełnienia
obowiązku prawnego ciążącego na administratorze danych osobowych (ADO);
- ochrony
żywotnych interesów podmiotu danych lub innej osoby fizycznej;
- wykonania
zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej ADO;
- celów
wynikających z prawnie uzasadnionych interesów realizowanych przez ADO (klauzula
uzasadnionych interesów, ang. legitimate interests).
RODO
nie wprowadza hierarchii opisanych podstaw przetwarzania zwykłych danych
osobowych. Zatem, ich gromadzenie, analizowanie, porządkowanie, przechowywanie,
czy modyfikowanie przez ADO jest legalne, jeśli jest konieczne w którejkolwiek
z wymienionych sytuacji.
W
praktyce wykonywania operacji na zwykłych danych osobowych największe obawy ADO
budzi dopuszczalność powołania się na klauzulę uzasadnionych interesów. W
bieżącej działalności gospodarczej pojawiają się bowiem wątpliwości, kiedy
interes ADO jest prawnie uzasadniony.
Kiedy
interes ADO jest prawnie uzasadniony?
RODO
nie zawiera definicji pojęcia „prawnie uzasadniony interes”, zaś w
piśmiennictwie jest ono rozumiane bardzo szeroko. Interes jest generalnym
powodem, dla którego ADO zamierza przetwarzać zwykłe dane osobowe, dążąc do
osiągnięcia pewnej korzyści. Interes powinien być rzeczywisty, jednoznaczny,
określony w zrozumiały sposób, nie może być spekulatywny. Jest uzasadniony
prawnie wówczas, gdy może być realizowany bez naruszenia obowiązujących
przepisów prawa – nie tylko regulacji prawnych w zakresie danych osobowych, ale
wszelkich norm prawnych, mających zastosowanie do działalności prowadzonej
przez ADO.
W
RODO wskazano przykłady prawnie uzasadnionego interesu ADO:
- prowadzenie marketingu bezpośredniego,
- zapobieganie
oszustwom,
- wymiana
informacji w ramach grupy przedsiębiorstw do wewnętrznych celów
administracyjnych,
- dbanie
o bezpieczeństwo sieci i informacji, czyli dążenie do zapewnienia odporności
sieci lub systemów informacyjnych na przypadkowe zdarzenia albo działania
naruszające dostępność, autentyczność, integralność i poufność przechowywanych
lub przesyłanych informacji,
- zapobieganie
nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu
złośliwych kodów, przerywanie ataków typu „odmowa usługi”, przeciwdziałanie
uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.
Czy
przed 25 maja 2018 r. ADO mógł powołać się na prawnie uzasadniony interes?
W
poprzednim stanie prawnym, czyli zanim RODO zaczęło być stosowane,
przetwarzanie zwykłych danych osobowych było dopuszczalne między innymi, gdy
było konieczne dla wypełnienia prawnie usprawiedliwionych celów realizowanych
przez ADO (klauzula usprawiedliwionych celów).
Za
legalne uznano między innymi
przetwarzanie danych osobowych:
- w
ramach marketingu bezpośredniego własnych produktów lub usług ADO (ustawa o
ochronie danych osobowych);
- w
ramach dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej
(ustawa o ochronie danych osobowych);
- danych
klientów ADO, będącego bankiem, nawet po zamknięciu rachunków kredytowych, dla
oceny zdolności kredytowej, której prowadzenie jest prawem i obowiązkiem banku
(wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 7 listopada 2006 r.,
II SA/Wa 1289/06);
- danych
uczniów, w ramach kontroli prawidłowości pobrania i wykorzystywania dotacji
oświatowych przez szkoły, przedszkola, inne formy wychowania przedszkolnego i
placówki (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 16 maja 2017
r., V SA/Wa 702/17).
Przetwarzanie
danych osobowych w oparciu o klauzulę usprawiedliwionych celów było
niedopuszczalne, jeżeli naruszałoby to prawa i wolności podmiotu danych.
Jak
podkreślono w orzeczeniach wydanych na gruncie poprzedniego stanu prawnego,
rozstrzygając o tym, czy przetwarzanie danych było legalne, trzeba było każdorazowo
ważyć interesy zarówno podmiotu danych, jak i ADO (wyrok Sądu Najwyższego z 24
września 2015 r., I UK 490/14).
Na
czym polega test oceny uzasadnionych interesów?
Powyższe
nie uległo zmianie. W każdej sytuacji, gdy przetwarzanie danych osobowych przez
ADO odbywa się w oparciu o klauzulę uzasadnionych interesów, warto przeprowadzić
test oceny uzasadnionych interesów (ang. Legitimate Interests Assessment). Jest
to rodzaj weryfikacji ryzyka, związanego z wykonywaniem przez ADO operacji na
danych osobowych.
RODO
nie nakłada na ADO obowiązku przeprowadzenia przedmiotowego testu, jednak jego
wynik może być częścią uzasadnienia decyzji ADO o przetwarzaniu danych
osobowych w oparciu o klauzulę uzasadnionych interesów.
Nie
istnieje żaden wiążący formularz testu, co pozwala uwzględnić indywidualną
sytuację ADO. W literaturze opracowano model testu, składającego się z trzech
części:
- opisanie
uzasadnionego interesu ADO;
- rozważenie, czy przetwarzanie
jest konieczne, czy nie istnieją inne, mniej inwazyjne środki do osiągnięcia
określonego celu ADO oraz służące interesowi ADO;
- uwzględnienie
sytuacji podmiotu danych.
W
ramach ostatniej części testu uzasadnionych interesów, ADO powinien porównać własne
prawnie uzasadnione interesy, realizowane w związku z konkretnymi operacjami na
danych osobowych z interesami, prawami i wolnościami podmiotu danych. W
rezultacie porównania, określanego mianem testu równowagi (ang.
balancing test) trzeba ustalić, czyje interesy są przeważające.
Prawo
do ochrony danych osobowych nie jest prawem bezwzględnym, jednak prawodawca
europejski dąży do zapewnienia wysokiego poczucia bezpieczeństwa podmiotów
danych, dlatego zarówno wynik testu uzasadnionych interesów, jak i będącego
jego częścią testu równowagi, powinien być interpretowany z ostrożnością.
Wytyczne w zakresie interpretacji i stosowania RODO można znaleźć tutaj.
Treść niniejszego materiału ma wyłącznie charakter informacyjny i nie może być traktowana, jako porada prawna. Zawarte w materiale treści mogą nie wyczerpywać w pełni problemów lub zagadnień prawnych związanych z nowelizowanymi przepisami, orzeczeniami, interpretacjami. Każda sprawa wymagająca wiedzy prawniczej ma swój indywidualny wymiar, co uzasadnia jej indywidualną analizę. Zaleca się uprzednią konsultację konkretnej sprawy z radcą prawnym, adwokatem lub innym wykwalifikowanym prawnikiem. W przypadku jakichkolwiek pytań związanych z przedstawionymi powyżej zagadnieniami prawnymi oraz ich możliwym wpływem na działalność Użytkownika prosimy o kontakt drogą elektroniczną na adres e-mail: kontakt@fibi.com.pl lub pisemnie na adres: ul. Chłodna 64/315, 00-872 Warszawa.