skip to Main Content

Prawnie uzasadnione interesy realizowane przez administratora

Elementarz RODO
1. Co to są dane osobowe?
2. Przetwarzanie danych osobowych w rozumieniu RODO
3. Kiedy musisz stosować RODO?
4. ADO, czyli administrator danych osobowych
5. Podstawy przetwarzania danych osobowych
6. Zgoda na przetwarzanie danych osobowych
7. Dokumentacja wymagana przez RODO
8. Prawnie uzasadnione interesy realizowane przez administratora
9. Przetwarzanie danych osobowych w celach marketingowych

Administratorzy danych osobowych często powołują się na realizowane przez nich prawnie uzasadnione interesy. Zgodnie z art. 6 ust. 1 lit. f RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dane osobowe mogą być bowiem przetwarzane zgodnie z prawem, jeżeli ich przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. W związku z tym, że pojęcie prawnie uzasadnionego interesu nie zostało w RODO zdefiniowane oraz ze względu na to, że stanowi wygodną podstawę przetwarzania (nie trzeba uzyskiwać i przechowywać zgód na przetwarzanie danych), bywa ono przez przedsiębiorców szeroko interpretowane. Niestety często zbyt szeroko. W tym wpisie postaram się pokazać jak tego uniknąć.

Klauzul generalna

„Prawnie uzasadniony interes” stanowi tzw. klauzulę generalną, czyli zgodnie z definicją zawartą w Wikipedii: „zwrot  niedookreślony o charakterze wartościującym, świadomie dający swobodę decyzyjną i odsyłający do norm pozaprawnych, zawarty w akcie normatywnym, umożliwiający zastosowanie pewnego stopnia dowolności w wykładni prawa”[2]https://pl.wikipedia.org/wiki/Klauzula_generalna, dostęp 29.08.2022 r.. Właśnie dlatego administratorzy mają pewien luz interpretacyjny w ustalaniu co konkretnie jest prawnie uzasadnionym interesem przez nich realizowanym. Jest jednak bardzo ważne, żeby nie przesadzić i nie kwalifikować jako prawnie uzasadnionego interesu sytuacji, które nim nie są. Poniżej kilka wskazówek pomocnych w ocenie czy mamy do czynienia z prawnie uzasadnionym interesem administratora.

Krok 1 – zerknij do preambuły

RODO, jak większość aktów Unii Europejskiej, ma preambułę i to dłuższą niż same przepisy aktu. Preambuła stanowi swego rodzaju komentarz i wyjaśnienie czym kierował się ustawodawca przyjmując dane rozporządzenie lub dyrektywę. Ustalając czy planowane działania na danych osobowych mogą być uznane za prawnie uzasadniony interes, warto w pierwszej kolejności spojrzeć na p. 47 i 48 preambuły. Można tam znaleźć kilka konkretnych przykładów:

  • „gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz”;
  • „przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników”;
  • „przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji”;
  • „przetwarzanie danych osobowych do celów marketingu bezpośredniego”.

Podane powyżej przykłady pozwalają zorientować się w jaki sposób ustawodawca rozumie przetwarzanie danych w prawnie uzasadnionym interesie administratora. Jeżeli planujesz takie same lub podobne operacje na danych, jest duża szansa, że będą one mogły zostać zakwalifikowane jako realizacja twojego prawnie uzasadnionego interesu.

Krok 2 – sprawdź w orzecznictwie

Jeżeli po analizie preambuły w dalszym ciągu masz wątpliwości czy to, co planujesz stanowi prawnie uzasadniony interes, możesz poszukać w orzecznictwie. Decyzji Prezesa Urzędu Ochrony Danych Osobowych w tym obszarze jest coraz więcej. Być może była już rozpoznawana sprawa analogiczna do Twojej i przejrzenie decyzji może pomóc Ci podjąć decyzję czy chcesz oprzeć przetwarzanie danych osobowych właśnie na przesłance realizacji prawnie uzasadnionego interesu.

W ostatnich latach bardzo głośna była decyzja w sprawie pewnej fundacji prowadzącej działalność „na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania obywatelskiego”, która pobierała dane osobowe członków organów podmiotów wpisanych do KRS i publikowała je na swojej stronie internetowej pokazując ich powiązania. Prezes Urzędu Ochrony Danych osobowych uznał, że takie działania są zgodne z prawem i znajdują oparcie w art. 6 ust. 1 lit. f RODO (decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 maja 2019 r., sygn. ZSPU.440.705.2018).

Krok 3 – zdaj się na własne wyczucie

Jeżeli nie znalazłeś podobnego przypadku ani w preambule, ani w orzecznictwie, może postarać się ocenić sytuację samodzielnie. Czasami nie trzeba być ekspertem, żeby czuć, że coś jest zgodne z prawem lub lepiej tego unikać. Wiem, że ta porada może nie być zbyt pomocna, ale tak właśnie działają klauzule generalne – zdarza się, że zupełnie nie wiadomo jakie działanie będzie prawidłowe.

Krok 4 – czy na pewno musisz przetwarzać dane osobowe?

Jeżeli doszedłeś do wniosku, że planowane działania będą stanowiły realizację prawnie uzasadnionego interesu, to dopiero połowa sukcesu. W kolejnych krokach musisz jeszcze ocenić czy występują przesłanki prawnie uzasadnionego interesu. Pierwszą z nich jest wymóg, aby przetwarzanie było niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Czy jest możliwe osiągnięcie twojego prawnie uzasadnionego interesu bez przetwarzania danych osobowych w planowanym zakresie? Jeżeli nie, przesłanka niezbędności zostaje spełniona. Jeżeli jednak możliwa jest jego realizacja w inny sposób, wtedy przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO nie będzie zgodne z prawem.

Krok 5 – czy interesy lub prawa osoby, której dane dotyczą nie są jednak ważniejsze?

RODO wyłącza możliwość przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów administratora, jeżeli nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Należy więc dokonać porównania interesów administratora z interesami i prawami osoby, której dane dotyczą i ocenić czy przetwarzanie danych w celach administratora nie naruszają podstawowych praw i wolności osobistych. Niestety znowu nie ma nigdzie definicji tych praw, co znacznie utrudnia ocenę. W doktrynie wskazuje się, że chodzi o prawa określone w Karcie Praw Podstawowych i konstytucji. Dodatkowo można wesprzeć się ponownie analizą orzecznictwa i zobaczyć jak kwestia ta jest rozstrzygana przez organ nadzoru – być może zostały już rozpoznane sprawy podobne do twojej.

Krok 6 (najważniejszy) – jeżeli masz wątpliwości, odpuść i poszukaj innej podstawy przetwarzania

Jeżeli masz jakiekolwiek wątpliwości w którymkolwiek z powyższych kroków, zrezygnuj z koncepcji przetwarzania danych w celu realizacji prawnie uzasadnionego interesu. Są jeszcze inne podstawy przetwarzania, które w takiej sytuacji mogą okazać się bezpieczniejsze. W ostateczności możesz zawsze poprosić osoby, których danę dotyczą o udzielenie zgodny na przetwarzanie.

 

Przypisy

Przypisy
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2 https://pl.wikipedia.org/wiki/Klauzula_generalna, dostęp 29.08.2022 r.
Tomasz Korolko
Back To Top