Prawnie uzasadniony interes – podstawa ostatniej szansy?

Jeśli prowadzimy działalność jako firma czy organizacja, do realizowania zadań często niezbędne jest przetwarzanie danych osobowych klientów, kontrahentów czy pracowników. Aktualne prawo, by chronić prawa i wolności osób fizycznych, narzuca na administratorów tych danych szereg zobowiązań.

Pierwszą zasadą dotyczącą przetwarzania danych w Rozporządzeniu o Ochronie Danych Osobowych  jest zgodność z prawem (art. 5 ust. 1 lit. a RODO). Znaczy to, że musi zostać spełniony przynajmniej jeden z warunków wymienionych w kolejnym artykule tego rozporządzenia (art. 6  ust. 1). Przetwarzanie może być konsekwencją realizacji umowy zawartej z osobą, której dane dotyczą lub obowiązku prawnego, ciążącego na administratorze. Czy poza tymi przypadkami jedynym rozwiązaniem będzie odebranie zgody na przetwarzanie?

W rozporządzeniu przewidziano jeszcze jedną możliwość. Przetwarzanie jest bowiem zgodne z prawem jeśli jest „niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią” (art. 6 ust. 1 lit. f).  Już na wstępie warto jednak zaznaczyć, że zgodnie ze wskazówkami Grupy Roboczej artykułu 29 Dyrektywy 95/46/WE (opinia 6/2014) – w większości nadal obowiązującymi – nie należy wykorzystywać tego zapisu jako podstawy „wypełniającej luki dotyczące rzadkich oraz nieprzewidzianych sytuacji” lub „jako ostania szansa, jeżeli inne podstawy nie mogą być zastosowane”. Kiedy zatem i na jakich warunkach możemy oprzeć się na tej podstawie przetwarzania?

Istotne dla zrozumienia tego zapisu jest wyjaśnienie zastosowanych w nim pojęć. W oparciu o cytowaną już opinię Grupy Roboczej art. 29 termin interes należy odróżnić od słowa cel i rozumieć go jako szerszy powód przetwarzania lub korzyść możliwą do osiągnięcia dzięki przetwarzaniu (różne cele mogą być niezbędne do osiągnięcia danego interesu).  Interes musi też być „prawnie uzasadniony”, tzn. administrator dążąc do jego osiągnięcia musi działać zgodnie z prawem (chodzi o wszelkie przepisy prawa krajowego oraz właściwe regulacje prawa UE – wszystko co mogło by zostać wzięte pod uwagę przez sądy). Pewne przypadki, gdy prawnie uzasadniony interes administratora może zaistnieć zostały opisane w motywach 47-49 RODO. Przytoczono następujące konteksty:

  • gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz;
  • przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom;
  • przetwarzanie danych osobowych do celów marketingu bezpośredniego;
  • przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych;
  • Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji (np. zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów).

Wyjątkiem do kierowania się interesem administratora jest sytuacja, gdy „nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”. W motywie 47 RODO zaleca się zatem przeprowadzenie dokładnej oceny interesów, która wymaga uwzględnienia szeregu czynników, m.in.:

  • czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu,
  • wpływ na osobę, której dane dotyczą, oraz jej racjonalne oczekiwania na temat tego, co się stanie z jej danymi;
  • charakter danych (zwykłe czy wrażliwe) i sposób ich przetwarzania;
  • jakie środki bezpieczeństwa zastosujemy by chronić prawa i wolności osób.

Z tej racji prawnie uzasadnionym będzie taki interes, który jest wystarczająco jasno określony i konkretny by przeprowadzić rzetelny test równowagi. Należy również pamiętać, że korzystając z tej podstawy przetwarzania jesteśmy zobowiązani do przestrzegania wszystkich pozostałych wymienionych w Rozporządzeniu zasad względem osób, których dane dotyczą.

Jeśli przetwarzanie spełnia wszystkie przewidziane w tym elastycznym rozwiązaniu kryteria, możemy realizować cele bez konieczności odebrania zgody i wynikającego z niej obowiązku rozliczalności.

Foto designed by fullvector / Freepik