Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Decydując się na przetwarzanie danych osobowych, administrator powinien móc wykazać, że dysponuje ku temu odpowiednią podstawą. W przeciwnym razie ryzykuje wysokie kary w związku z przetwarzaniem danych osobowych bez podstawy prawnej. W tym kontekście warto przyjrzeć się bliżej testowi równowagi. Kiedy trzeba go przeprowadzić i jak zrobić to prawidłowo?
Na jakich podstawach można przetwarzać dane osobowe?
Podstawy przetwarzania „zwykłych” danych osobowych zostały wymienione w art. 6 ust. 1 RODO. Są to:
- zgoda wyrażona przez osobę, której dane mają być przetwarzane,
- przetwarzanie niezbędne do wykonania zawartej umowy lub do podjęcia działań na żądanie danej osoby,
- przetwarzanie niezbędne do wypełnienia obowiązków prawnych ciążących na administratorze,
- przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
- przetwarzane niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach realizowania władzy publicznej powierzonej administratorowi,
- prawnie uzasadniony interes administratora.
Sprawdź również: Outsourcing IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?
Podstawy przetwarzania danych z RODO
Niekiedy bywa tak, że administrator danych osobowych może wskazać więcej niż jedną podstawę przetwarzania danych osobowych. Nie bez przyczyny jednak jego uzasadniony interes został wymieniony na samym końcu przepisu. Zasadniczo bowiem powołanie się na niego stanowi ultima ratio i tam, gdzie to możliwe, należy wskazać inną podstawę przetwarzania danych osobowych niż uzasadniony interes administratora.
Co więcej, na prawnie uzasadniony interes administratora nie można powołać się w sytuacji, kiedy:
Jak rozumieć pojęcie uzasadnionego interesu administratora?
Wskazówki co do tego, w jaki sposób rozumieć prawnie uzasadniony interes administratora zostały wskazane w motywie 47 RODO. Warto jednak zamieścić krótkie wyjaśnienie, które pozwoli dobrze zrozumieć tę konstrukcję.
Grupa Robocza RODO definiuje pojęcie interesu administratora, jako swego rodzaju korzyść wynikłą z posiadania danych osobowych lub powód, dla którego powinien on dane posiadać. Przyjmuje się, że interes musi być faktyczny, rzeczywisty i sprecyzowany, ale może mieć różny wymiar, w tym ekonomiczny, gospodarczy lub prawny. Każdorazowo musi być też powiązany z prowadzoną przez administratora działalnością gospodarczą.
Najbardziej jaskrawym przykładem zgodnego z prawem powołania się na uzasadniony interes administratora jest możliwość prowadzenia bezpośrednich działań marketingowych. Innymi słowy, można przetwarzać dane osobowe do celu wysyłania mailingu czy wykonywania połączeń telefonicznych. Nie naruszy to rozporządzenia RODO. Oczywiście interes administratora musi być zgodny z prawem, co oznacza, że przetwarzanie danych osobowych następuje bez naruszenia obowiązujących przepisów, np. poprzez skopiowanie ich z zabezpieczonej bazy danych czy prowadzenie działań cold mailingowych bez pozyskania zgody odbiorcy.
Nie zawsze będzie łatwo wskazać, czy w danym przypadku interes administratora jest uzasadniony. Wszelkie wątpliwości warto konsultować z doświadczonymi prawnikami.
Kiedy przeprowadza się test równowagi?
Mówiąc o uzasadnionym interesie administratora, trzeba pamiętać, że odwołanie się do niego wymaga przeprowadzenia testu równowagi. Polega on na tym, aby określić, czy w danym przypadku przeważa ochrona administratora (wtedy dane osobowe można przetwarzać), czy też osoby, której dane mają być przetwarzanie (wtedy w przypadku braku innej podstawy z art. 6 RODO danych osobowych przetwarzać nie należy).
O tym, czy w danej sytuacji opłaca się przetwarzać dane osobowe, decyduje sam administrator, ponieważ to on dokonuje testu równowagi. Testu nie można przeprowadzić post factum, ponieważ prowadziłoby to do sytuacji, kiedy dane są przetwarzane bez podstawy prawnej.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Jak prawidłowo przeprowadzić test równowagi?
Pierwszym krokiem w teście równowagi powinna być ocena tego, czy w danym przypadku interes administratora można uznać za uzasadniony. Jeżeli tak jest, administrator powinien szeroko przeanalizować sytuację osoby, której dane będą przetwarzane.
Warto zwrócić uwagę, czy przetwarzanie danych może wywołać negatywne skutki u osoby fizycznej oraz jaka będzie ich skala i dotkliwość, czy interesy podmiotu przetwarzającego i tego, którego dane są przetwarzane, pozostają ze sobą zbieżne, a także, czy osoba fizyczna w ogóle może spodziewać się przetwarzania danych osobowych.
Naturalnie administrator jest zobligowany do przetwarzania danych osobowych zgodnie z przepisami RODO, minimalizując te procesy i nie stosując nieuzasadnionej retencji danych. Niestety nie ma jednej, uniwersalnej listy pytań, które powinien zadać sobie administrator, dlatego do testu trzeba podejść „na poważnie” i przeanalizować swoje działanie na wielu płaszczyznach.
Przeprowadzając test, należy pamiętać, że na jego wynik wpływa także skala prowadzonej przez administratora działalności oraz intensywność przetwarzania danych. Ważne jest udzielanie na poszczególne pytania rzetelnych odpowiedzi.
Jeżeli którykolwiek z dwóch etapów testu równowagi zakończy się negatywnie, co oznacza, że administrator nie stwierdzi po swojej stronie prawnie uzasadnionego interesu lub też dojdzie do wniosku, że taka operacja mogłaby negatywnie wpłynąć na sytuację osoby fizycznej, należy poważnie rozważyć odstąpienie od przetwarzania danych osobowych na podstawie z art. 6 ust. 1 lit. f RODO.
Dokumentowanie wyników testu równowagi
Analiza dokonana w związku z testem równowagi powinna być dokładnie udokumentowana. W ten sposób administrator realizuje zasadę rozliczalności. W razie kontroli organu nadzoru będzie mógł wykazać, że dokładnie ocenił sytuację. Co więcej, decydując się na przetwarzanie danych, administrator powinien zrealizować względem osoby fizycznej obowiązek informacyjny i wskazać, że może ona zapoznać się z wynikami testu równowagi.
Rozważasz przetwarzanie danych osobowych osób fizycznych w związku z prowadzeniem działalności, ale nie jesteś pewien, jaką podstawę prawną swoich działań wskazać? Lekkomyślne odwołanie się do prawnie uzasadnionego interesu administratora może być bardzo ryzykowne! Skontaktuj się z nami, możemy Ci pomóc. Kancelaria Linke Kulicki od lat zajmuje się wdrażaniem RODO w firmach. Nasz zespół przeanalizuje wewnętrzne procesy Twojej organizacji i pomoże ustalić podstawy przetwarzania danych osobowych. Nie ryzykuj wysokich kar administracyjnych, zaufaj profesjonalistom i działaj bezpiecznie.