Jak oceniać, czy prawnie uzasadniony interes administratora jest dopuszczalny? Udostępniamy wzór testu równowagi

W rezultacie interes osoby, której dane dotyczą, trzeba ważyć z interesem Administratora i vice versa.

Wyrazem powyższego jest m.in. podstawa przetwarzania z art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes Administratora, zgodnie z którym Administrator może przetwarzać dane osobowe, jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Wynikają z jego treści trzy przesłanki, dwie pozytywne i jedna negatywna:

1. istnienie prawnie uzasadnionego interesu (przesłanka pozytywna),
2. niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów (przesłanka pozytywna),
3. wobec wskazanych interesów nadrzędny charakter mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (przesłanka negatywna).

Zgodnie z motywem 47 RODO, Administrator powinien brać pod uwagę rozsądne przesłanki osoby, której dane dotyczą, aby spodziewać się, że może nastąpić przetwarzanie w danym celu, a także rozważyć intensywność ingerencji w prawa i wolności osoby, jej właściwości, jak np. wiek.

Jeśli balans interesów przeważa po stronie podmiotu danych, Administrator chcący kontynuować przetwarzanie, powinien wdrożyć adekwatne środki techniczne i organizacyjne, aby odwrócić balans interesów na swoją korzyść, np. za pomocą minimalizacji danych lub innych odpowiednich środków technicznych i organizacyjnych.

Ww. motyw wskazuje też, że aby stwierdzić istnienie prawnie uzasadnionego interesu, Administrator powinien w każdym przypadku przeprowadzić dokładną ocenę (ang. „careful assessment”).

Jeśli chcesz poszerzyć swoją wiedzę na ten temat, skontaktuj się z Marcinem Kuźniakiem – naszym doradcą ds. ochrony danych.

W niniejszym artykule wskażę, jakie kryteria Administrator powinien brać pod uwagę, aby móc zastosować ową dokładną ocenę prawnie uzasadnionego interesu i przetwarzać dane zgodnie z prawem.

Kryteria testu równowagi

Grupa Robocza art. 29 w Opinii 06/2014 w sprawie pojęcia uzasadnionych interesów Administratora danych, zawartego w art. 7 dyrektywy 95/46/WE (WP 217) wskazuje następujące kroki, jakie powinien podjąć Administrator w celu prawidłowego przeprowadzenia testu równowagi i przetwarzania danych na podstawie prawnie uzasadnionego interesu:

1. ocena, która podstawa prawna może potencjalnie mieć zastosowanie,
2. kwalifikacja interesu jako „uzasadnionego” lub „nieuzasadnionego”,
3. ustalenie, czy przetwarzanie jest konieczne dla realizacji zamierzonego interesu,
4. ustalenie tymczasowej równowagi poprzez ocenienie, czy podstawowe prawa i interesy osób, których dane dotyczą, przeważają nad interesem administratora danych,
5. ustalenie ostatecznej równowagi poprzez uwzględnienie dodatkowych gwarancji,
6. wykazanie zgodności i zapewnienie przejrzystości,
7. zapewnienie realizacji prawa do sprzeciwu.

Na marginesie warto zwrócić uwagę, że „test równowagi” jest niefortunnym sformułowaniem, gdyż w przypadku równowagi interesów Administratora i osoby, której dane dotyczą, nie dojdzie do aktualizacji przesłanki nadrzędności interesów Administratora. Wydaje się, że bardziej adekwatne byłoby określenie „test ważenia”, „test nadrzędności”, czy też „ocena prawnie uzasadnionego interesu” (ang. legitimate interest assessment).

Prawnie uzasadniony interes oraz test równowagi były przedmiotem rozważań Trybunału Sprawiedliwości Unii Europejskiej. W wyroku z dnia 4 maja 2017 r. ws. C-13/16 Rīgas satiksme TSUE wskazał na trzy kumulatywne przesłanki powołania się na prawnie uzasadniony interes:

1. istnienie prawnie uzasadnionego interesu (test celu),
2. konieczność przetwarzania danych osobowych (test niezbędności),
3. przesłanka, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych (test równowagi).

Powyższe kroki oraz wskazane przez TSUE przesłanki mają również zastosowanie w aktualnym stanie prawnym, a zatem można się nimi posłużyć tworząc narzędzie do oceny dopuszczalności prawnie uzasadnionego interesu.

Test celu

Pierwszym etapem oceny prawnie uzasadnionego interesu jest identyfikacja celu przetwarzania, określenie, czy można zastosować którąś z pozostałych podstaw prawnych z art. 6 ust. 1 RODO oraz ocena, czy cel ten wynika z interesów Administratora, które są „prawnie uzasadnione”.

Oznacza to, że cel musi mieć oparcie w jakimkolwiek interesie Administratora, tj. w interesie faktycznym, prawnym lub ekonomicznym, który jest legalny, tj. dopuszczalny w świetle prawa unijnego i krajowego. Interes może wynikać z prawa podmiotowego danej osoby; szczególną wagę należy przywiązywać do katalogu praw podstawowych, zawartych w Karcie praw podstawowych oraz Konstytucji, np. prawo do własności, prywatności, wolności sumienia, prowadzenia działalności gospodarczej.

Interes ten musi mieć charakter rzeczywisty i aktualny, a także być sformułowany w sposób wystarczająco szczegółowy, tak aby w ogóle było możliwe przeprowadzenie testu równowagi.

Prawnie uzasadniony interes nie musi wynikać bezpośrednio z konkretnej normy prawnej; może mieć jednak oparcie w konkretnie wskazanym uprawnieniu wynikającym z przepisów prawa lub umowy. Takim przykładem może być monitoring pracowniczy z art. 22² Kodeksu pracy, który uprawnia pracodawcę do wprowadzenia monitoringu pracowniczego w przypadku, jeśli to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Istotne wskazówki dotyczące istnienia prawnie uzasadnionego interesu znaleźć można w motywie 47 RODO, który stanowi, iż mamy do czynienia z takim interesem, gdy osoba, której dane dotyczą, ma w danym procesie przetwarzania rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Ponadto, w ocenie, czy w danej sytuacji można posłużyć się prawnie uzasadnionym interesem mogą być pomocne przykłady wskazane w RODO oraz w orzecznictwie TSUE i decyzjach organów nadzorczych, np.:

1. zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a Administratorem, np. gdy osoba, której dane dotyczą, jest klientem Administratora lub działa na jego rzecz (motyw 47 RODO),
2. zapobieganie oszustwom (motyw 47 RODO),
3. marketing bezpośredni (motyw 47 RODO),
4. przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych (motyw 48 RODO),
5. zapewnienie bezpieczeństwa sieci i informacji (motyw 49 RODO),
6. monitoring wizyjny (Wytyczne EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo),
7. monitoring wizyjny w prywatnym domu (C-212/13 Ryneš),
8. monitoring wizyjny zainstalowany przez wspólnotę mieszkaniową w budynku wielorodzinnym (C-708/18, Asociaţia de Proprietari bloc M5A-ScaraA),
9. pozyskanie danych osobowych w celu pozwania danej osoby o odszkodowanie (C-13/16, Rīgas satiksme),
10. udostępnienie danych osobowych osoby, która pełniła funkcje w zlikwidowanej już spółce (C-398/15, Manni),
11. wykorzystanie adresu mailowego byłego wiceprezesa i wspólnika spółki w celu poinformowania kontrahentów o zmianach, jakie nastąpiły we władzach spółki, które odbywa się za pomocą automatycznej odpowiedzi kierowanej do kontrahenta zainteresowanego kontaktem z byłym wiceprezesem (decyzja PUODO z dnia 19 lutego 2019 r., ZSZZS.440.658.2018);
12. dochodzenie roszczeń finansowych i udostępnienie danych osobowych na giełdzie długów (decyzja PUODO z dnia 13 września 2021 r., DKE.523.23.2021)
13. targetowanie użytkowników mediów społecznościowych (Wytyczne EROD 8/2020 w sprawie targetowania użytkowników mediów społecznościowych).

Test niezbędności  

Kolejnym krokiem jest ocena, czy przetwarzanie danych osobowych w już zidentyfikowanym celu,  wynikającym z określonego prawnie uzasadnionego interesu jest niezbędne do osiągnięcia tychże celów. Należy w tym miejscu wskazać również na zasadę minimalizacji danych, wg której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W konsekwencji, Administrator powinien rozważyć, w jaki sposób planowane przetwarzanie przyczyni się do realizacji celu, czy wszystkie dane są konieczne do realizacji danego celu, czy można osiągnąć dany cel innymi środkami, które mniej ingerują w prywatność osoby, której dane dotyczą.

Test równowagi

Po ustaleniu, że przetwarzanie jest niezbędne do celu wynikającego z prawnie uzasadnionego interesu pozostaje Administratorowi ocena, czy zidentyfikowane interesy mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą.

Na tym etapie oceny możliwości oparcia przetwarzania na prawnie uzasadnionym interesie niezbędne zatem będzie wyważenie interesów obu stron relacji – w przypadku, jeśli szala przeważy po stronie podmiotu danych, należy zaprzestać przetwarzania na tej podstawie bądź wprowadzić dodatkowe środki, które pozwolą zmniejszyć negatywny wpływ przetwarzania na osobę, którą dane dotyczą. Takim środkiem może być dodatkowa pseudonimizacja lub anonimizacja danych, zmniejszenie zakresu przetwarzanych danych (np. poprzez zmianę kąta ustawienia kamer – w przypadku monitoringu wykraczającego poza niezbędny obszar), a także umożliwienie wyrażenia bezwarunkowego sprzeciwu wobec przetwarzania (mechanizm opt-out).

Podobnie jak w przypadku interesu Administratora, konieczna będzie identyfikacja interesu podmiotu danych. W tym celu Administrator powinien zbadać charakter interesów drugiej strony szali, tj. w szczególności:

1. określić, jakie dane osobowe będą przetwarzane, np. czy zwykłe, czy szczególnych kategorii, a jeśli zwykłe, to czy będą to dane finansowe, behawioralne, wysoce osobiste, czy inne o szczególnym charakterze, jak np. PESEL, a także czy będą to dane dzieci bądź innych osób wymagających szczególnej opieki (np. pracownicy, osoby z niepełnosprawnością intelektualną, osoby starsze),
2. określić, na jakie interesy i prawa podstawowe osoby, której dane dotyczą, będzie wpływało przetwarzanie.

W przypadku, jeśli Administrator stwierdzi, że w danym procesie będą przetwarzane dane szczególnych kategorii lub dane dotyczące wyroków skazujących, nie będzie mógł oprzeć się na podstawie z art. 6 ust. 1 lit. f RODO, a będzie musiał dokonać oceny, jakie podstawy prawne z art. 9 ust. 2 RODO i art. 10 RODO będą miały zastosowanie. Z kolei, jeśli będą to dane o szczególnej istotności lub dane wysoce osobiste, to bez wątpienia będzie miało wpływ na balans równowagi pomiędzy interesami ADO i osoby, której dane dotyczą. Szczególną okolicznością wpływającą na przetwarzanie na podstawie prawnie uzasadnionego interesu Administratora będzie przetwarzanie danych dzieci, na co wprost wskazuje RODO w art. 6 ust. 1 lit. f in fine, w świetle którego interesy i prawa podstawowe dziecka będą domyślnie nadrzędne nad interesem Administratora, co nie wyklucza jednak przeprowadzenia odpowiedniego testu równowagi i zastosowania szczególnych środków ochrony mających na celu maksymalne zniwelowanie ryzyka dla interesów dziecka.

Kolejnym elementem będzie ustalenie dalszego kontekstu przetwarzania poprzez ustalenie, skąd pochodzą dane osobowe, jaki jest rodzaj i charakter powiązania pomiędzy ADO a podmiotem danych, w tym czy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania lub jaka jest pozycja i status Administratora, np. pojedynczy adwokat lub radca prawny związany tajemnicą zawodową może być większym gwarantem ochrony interesów pomiotu danych niż międzynarodowa korporacja o dominującej pozycji rynkowej.

Inny charakter będzie miało przetwarzanie wynikające z relacji umownych, kiedy obiektywnie można stwierdzić, że dana osoba może się spodziewać danego przetwarzania (np. kontakt w celu realizacji umowy), a inny kiedy dane zbierane są bez wiedzy osoby i przetwarzane w sposób, który może ją zaskoczyć.

Istotną okolicznością może być charakter przetwarzania, m.in. czy przetwarzanie ma charakter zautomatyzowany, stały, na dużą skalę, czy też ma miejsce upublicznienie danych lub do przetwarzania dochodzi przy pomocy profilowania, eksploracji danych, uczenia maszynowego etc.

Trzecim etapem testu równowagi będzie ocena prawdopodobnego wpływu przetwarzania na podmiot danych. W tym etapie Administrator może postawić się w roli osoby, której dane dotyczą i z tej perspektywy – biorąc pod uwagę ustalenia z wcześniejszych etapów testu – ocenić, jakie korzyści i jakie zagrożenia niesie dane przetwarzanie. Wpływ przetwarzania na osobę powinien być rozumiany szeroko,  a w celu jego oceny można się posłużyć kryteriami analizy ryzyka,  tj. prawdopodobieństwa wystąpienia negatywnego skutku oraz wagi skutków wystąpienia negatywnego skutku. W przypadku uprzedniej analizy ryzyka lub oceny skutków dla ochrony danych (DPIA) można się posłużyć wynikami oceny ryzyka naruszenia praw lub wolności podmiotu danych oraz wskazanymi w analizie ryzyka lub DPIA środkami planowanymi w celu zaradzenia ryzyku.

W przypadki dalszego negatywnego wpływu należy rozważyć, czy istnieją dodatkowe gwarancje, którymi mógłby się posłużyć Administrator, tj. wspomniane już środki wyrównujące lub zabezpieczenia. Jeśli po wprowadzeniu tychże środków ryzyko rezydualne przekracza dopuszczalny poziom, należy rozważyć zaprzestanie przetwarzania.  

Rezultat oceny

Nie sposób wskazać jednego zobiektywizowanego sposobu przeprowadzania oceny prawnie uzasadnionego interesu, jednak przeprowadzenie oceny w ww. trzech krokach z uwzględnieniem wszystkich dodatkowych okoliczności w sposób „dokładny”, tj. rzetelnie, obiektywnie – a zatem nie „pod tezę” – na podstawie rzeczywistego stanu faktycznego, ewentualnie przy pomocy wiedzy i doświadczenia inspektora ochrony danych lub innego profesjonalisty, powinno skutkować prawidłową decyzją o zastosowaniu danej podstawy przetwarzania.

W przypadku wyniku, wedle którego szala wagi będzie przeważała po stronie interesów lub praw i wolności osoby, której dane dotyczą, tj. jej interesy będą nadrzędne w stosunku do prawnie uzasadnionego interesu Administratora, należy wstrzymać przetwarzanie bądź nie rozpoczynać planowanego procesu.

Jeśli jednak ocena wskaże, że interes Administratora jest nadrzędny w stosunku do interesu podmiotu danych, to wiąże się to z wpływem zastosowania danej podstawy przetwarzania na realizację obowiązków prawnych spoczywających na Administratorze.

W pierwszej kolejności należy wskazać, że obowiązek oceny prawnie uzasadnionego interesu wymaga – zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) – udokumentowania jej w taki sposób, aby możliwe było ocenienie, czy została wykonana prawidłowo, a zatem zgodnie z zasadą zgodności z prawem (art. 5 ust. 1 lit. a RODO), a także z przesłankami prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f w zw. z motywem 47 RODO).

Z zasadą rozliczalności powiązana jest też zasada przejrzystości (art. 5 ust. 1 lit. a RODO), której realizację zapewnia m.in. art. 13 i 14 RODO, tj. obowiązek informacyjny. Oba ze wskazanych przepisów wskazują na obowiązek informowania o prawnie uzasadnionych interesach realizowanych przez Administratora lub przez stronę trzecią (art. 13 ust. 1 lit. d oraz art. 14 ust. 2 lit. b RODO). Wytyczne Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 (WP260, rev. 01) wskazują na „najlepszą praktykę” Administratora, polegającą na przedstawieniu osobie, której dane dotyczą, wyników testów równowagi. Taką informację można przekazać w sposób warstwowy, odsyłając do bardziej szczegółowej części klauzuli informacyjnej.

W ocenie GR29, z klauzuli informacyjnej powinno wynikać, że podmiot danych może uzyskać informacje dotyczące testu równowagi na żądanie. Zakres udzielonych informacji na pewno powinien być większy przy przetwarzaniach, które mogą wydawać się z perspektywy osoby, której dane dotyczą,  wątpliwe bądź cechujących się wyższym poziomem ryzyka negatywnych skutków dla praw i wolności jednostki.

Informacja o teście równowagi powinna wskazywać na wszystkie trzy elementy testu (cel, konieczność, równowaga) i być przejrzysta, tj. łatwo dostępna i zrozumiała oraz sformułowana jasnym i prostym językiem, a zatem może wyglądać następująco:

Przykład
Cel: Państwa dane przetwarzamy w celu, o którym mowa w [cel wskazany w klauzuli informacyjnej], co stanowi nasz prawnie uzasadniony interes.

Konieczność: Wskazany proces jest konieczny, gdyż [należy wskazać dlaczego przetwarzanie jest niezbędne do osiągnięcia celu].

Równowaga: Przetwarzanie może mieć następujący wpływ na osoby, których dane dotyczą: [należy wskazać zidentyfikowane ryzyka/zagrożenia dla interesów lub praw i wolności podmiotu danych], jednak wprowadziliśmy następujące środki wyrównujące: [należy wskazać zastosowane środki], ponadto gwarantujemy prawo do sprzeciwu wobec przetwarzania, które możesz zrealizować poprzez [wskazać sposób realizacji prawa do sprzeciwu].

Rezultat: Nasz prawnie uzasadniony interes przeważa zatem nad interesem lub podstawowymi prawami i wolnościami osoby, której dane dotyczą.

Ponadto nie zmieniają się pozostałe obowiązki Administratora, w szczególności związane z realizacją praw osób, których dane dotyczą, z wyjątkiem prawa do przenoszenia danych, które jest jedynym prawem nie znajdującym zastosowania w przypadku przetwarzania na podstawie prawnie uzasadnionego interesu.

W procesach, w których dane są przetwarzane na podstawie prawnie uzasadnionego interesu, wyjątkowej wagi nabiera prawo do sprzeciwu, które ma zastosowanie jedynie w przypadku przetwarzania na podstawie art. 6 ust. 1 lit. e i f RODO.

Prawo do sprzeciwu co do zasady przysługuje osobie, której dane dotyczą „z przyczyn związanych z jej szczególną sytuacją”, tj. sytuacją, w której osoba ponosi negatywne konsekwencje przetwarzania. W przypadku zaistnienia tej przesłanki Administratorowi nie wolno już przetwarzać danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń, czyli dokona po raz kolejny testu równowagi.

RODO narzuca bezwarunkową realizację sprzeciwu w przypadku marketingu bezpośredniego, w tym realizowanego w jego ramach profilowania. Nie oznacza to jednak, że Administrator nie może zapewnić takiego bezwarunkowego sprzeciwu w innych procesach, co mogłoby być środkiem pozwalającym na przesunięcie wagi interesów na rzecz Administratora.

W przypadku usług społeczeństwa informacyjnego osoba, której dane dotyczą, może zrealizować prawo sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

Pamiętać jednak należy, że zasadą powinno być zapewnienie złożenia sprzeciwu drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną, a także niestosowanie zbędnego formalizmu i traktowanie każdego oświadczenia, z którego wynika intencja złożenia sprzeciwu,  jako sprzeciw w rozumieniu art. 21 RODO.

Jak powinien wyglądać formularz testu równowagi?

Jak już wspomniano, nie ma jednego sposobu na dokonania testu równowagi. Arkusz, który będzie pomocny przy rozważeniu adekwatności podstawy z art. 6 ust. 1 lit. f RODO powinien zawierać co najmniej elementy testu wskazane powyżej, tj. składać się z minimum następujących części: testów celu, niezbędności i równowagi.

W Internecie można znaleźć wiele przykładów ocen prawnie uzasadnionego interesu, w tym m.in. na stronie internetowej brytyjskiego organu nadzorczego ICO, tym niemniej poniżej zaproponowano prosty i czytelny wzór zawierający kwestie podnoszone w niniejszym artykule z rozwiniętą częścią dotyczącą analizy ryzyka.