Test równowagi - interaktywny formularz

Korzystasz z monitoringu wizyjnego? Prowadzisz działania marketingowe? Dochodzisz swoich roszczeń? Jeżeli tak, zapewne przetwarzasz dane osobowe w oparciu o prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO). Sprawdź, czy jest on ważniejszy od praw i wolności osób, których dane przetwarzasz!

dowiedz się więcej Przeprowadź test

Radosław Radwan

Prawnie uzasadniony interes to ulubiona podstawa prawa przetwarzania danych osobowych dla wielu organizacji. Popularna „efka” jest ceniona za elastyczność i „pakowność”, łudząc jednocześnie nieroztropnych administratorów pozorną łatwością jej zastosowania. Tymczasem nie jest ona wytrychem pozwalającym zalegalizować każdą operację przetwarzania, a raczej zamkiem, do którego pasują klucze spełniające określone kryteria:

  • istnienie prawnie uzasadnionego interesu, dla którego administrator chce przetwarzać dane;
  • niezbędność przetwarzania do osiągnięcia założonych celów;
  • nadrzędność interesów administratora nad prawami i wolnościami osoby, której dane dotyczą.

RODO wymaga, aby przed oparciem danej operacji przetwarzania na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) administrator dokonał dokładnej oceny, czy powyższe przesłanki są spełnione. Pomocny w tym może być tzw. test równowagi, którego propozycję przedstawiamy poniżej.

Test równowagi powinien być realizowany z należytą starannością i obiektywizmem. Ustalenie niektórych kwestii może być trudne, dlatego też do każdego pytania przygotowaliśmy krótki komentarz i przykład odpowiedzi.

Możesz poszerzyć swoją wiedzę zapoznając się z artykułem Jak oceniać, czy prawnie uzasadniony interes administratora jest dopuszczalny?, który również opisuje kryteria i założenia przyjęte w naszym teście.

Gdybyś potrzebował/a pomocy z przeprowadzeniem testu równowagi, nie wahaj się pytać.

Przeprowadź test równowagi

1Test celu

Jaki jest cel przetwarzania?
Test równowagi musimy rozpocząć od zidentyfikowania celu, w jakim chcemy przetwarzać dane osobowe – w ramach wyjaśnień posługujemy się następującym przykładem: ochrona osób i mienia w ramach monitoringu wizyjnego w zakładzie produkcyjnym X.
Jakie korzyści Administrator zamierza osiągnąć z przetwarzania danych osobowych?
Następnie musimy zdefiniować nasz interes – może to być to interes ekonomiczny, faktyczny, biznesowy, prawny. Interes powinien być prawnie uzasadniony – oznacza to że powinien być legalny, tj. opierać się na prawie krajowym lub unijnym. Przykładowa odpowiedź: „Ochrona osób i mienia jest interesem faktycznym, ale może też mieć charakter ekonomiczny, biznesowy, a w niektórych sytuacjach – również prawny. Administrator/strona trzecia ma prawo chronić swoją siedzibę, a jego pracownicy i goście mają interes w byciu bezpiecznym. Ochrona powyższych interesów opiera się w danym przypadku przede wszystkim na art. 222 Kodeksu pracy, ale znajduje również podstawy w prawach podstawowych, takich jak ochrona życia, własności, prowadzenia działalności gospodarczej.”
Czy interes ten jest rzeczywisty i aktualny?
Interes nie powinien być miniony, przyszły, ani hipotetyczny, lecz wynikać z rzetelnej analizy stanu faktycznego i prawnego. Rzeczywistość i aktualność są ze sobą powiązane i wzajemnie wynikają z siebie. Aktualny interes to taki, który rzeczywiście istnieje w chwili dokonywania oceny. Oczywiście, powinniśmy dokonać oceny przed przetwarzaniem danych osobowych, ale interes administratora w tym przetwarzaniu powinien być rzeczywisty i aktualny już na etapie testu równowagi.
Czy są inne podstawy przetwarzania, na których można oprzeć przetwarzanie?
Może się okazać, że inna podstawa prawna będzie adekwatna, np. w przypadku, kiedy dane przetwarzanie jest obowiązkiem prawnym Administratora/strony trzeciej. W przypadku monitoringu wizyjnego taka sytuacja może dotyczyć np. bezpieczeństwa niektórych imprez masowych, monitoringu w izbach wytrzeźwień. W przypadku podmiotów publicznych monitoring co do zasady odbywa się na podstawie art. 6 ust. 1 lit. e RODO, tj. wykonywania zadania realizowanego w interesie publicznym. Test równowagi w takim wypadku nie musi być kontynuowany.

2Test niezbędności

Czy przetwarzanie jest koniecznie w celu realizacji uzasadnionego interesu?
Konieczność przetwarzania dotyczy wszystkich podstaw prawnych, zgodnie z zasadą ograniczenia celu, minimalizacji danych i ograniczenia przechowywania. Kolejne pytania doprecyzowują niezbędność poprzez wskazanie na te zasady.
Czy wszystkie dane są niezbędne dla wskazanego celu? Czy okres przechowywania nie wykracza poza to, co niezbędne?
Ocena powinna uwzględnić zasadę minimalizacji danych i ograniczenia przechowywania. W przypadku, gdy przetwarzamy za dużo danych lub za długo, cel testu niezbędności nie będzie mógł być zrealizowany. W przypadku monitoringu powinniśmy przeanalizować zakres tego monitoringu, ilość kamer i ich zasięg. Może się okazać, że monitoring obejmuje miejsce publiczne, prywatne posiadłości, drogi czy też toalety, palarnie, szatnie, pokoje socjalne. W takim wypadku należy dokonać minimalizacji danych poprzez zmianę kątów kamer, zastosowanie maskowania nagrania czy zlikwidowanie kamery. Innym przykładem naruszenia zasady minimalizacji danych jest zbyt długie przechowywanie nagrań z monitoringu (np. dłużej niż wskazuje Kodeks pracy).
Czy można osiągnąć dany cel bez przetwarzania danych lub innymi środkami, które mniej ingerują w prywatność osoby, której dane dotyczą?
Pytanie rozwija dwa pozostałe. Administrator/strona trzecia powinni rozważyć, czy mogą zastosować inne narzędzie, technologię, czy procedurę, która nie wymaga przetwarzania danych lub przetwarza mniejszy ich zakres. W przypadku monitoringu trudno sobie wyobrazić inną technologię, która pozwoli realizować te same cele, jakkolwiek można tu uwzględnić planowany rejestrator i jego konfigurację. Jeśli powyższe punkty wskażą, że przetwarzanie jest niezbędne, możemy przejść do kolejnego kroku.

3Test równowagi

Jakie rodzaje danych osobowych będą przetwarzane w danym procesie?
Rodzaj danych to np. dane zwykłe, dane behawioralne, dane finansowe, dane wrażliwe, dane wysoce osobiste. Inny wpływ na balans interesów stron stosunku będą miały dane zwykłe, a inny – dane umożliwiające istotny wgląd w sytuację finansową osoby. W przypadku danych wrażliwych należy pamiętać, że konieczne jest wskazanie podstawy z art. 9 ust. 2 RODO. W przeciwnym razie przetwarzanie tych danych jest zabronione. Celem monitoringu wizyjnego jest co do zasady przetwarzanie danych zwykłych i ewentualnie dotyczących zachowania (np. co i kiedy robiła dana osoba).
Czyje dane będą przetwarzane w danym procesie? Czy są wśród nich dzieci lub inne osoby wymagające szczególnej opieki?
Kategoria osób również ma wpływ na balans interesów. W przypadku monitoringu można zatem określić kategorie osób, np. pracownicy, goście, kurierzy itp. Szczególnej uwagi wymagają dzieci i inne osoby potrzebujące szczególnej opieki.
Skąd pochodzą dane osobowe?
W celu ustalenia kontekstu przetwarzania danych osobowych warto się zastanowić, skąd mamy dane, co ma wpływ na ustalenie relacji z podmiotem danych i jego uzasadnionych oczekiwań. Dane mogą pochodzić od osoby, której dane dotyczą, od innych osób np. członków rodziny, pracowników, kontrahentów. Dane również mogą pochodzić ze źródeł dostępnych publicznie czy też zakupionych baz danych. W przypadku monitoringu wizyjnego dane pochodzą od osób, których dane dotyczą, przebywających w obszarze monitoringu.
Jaki jest rodzaj i charakter powiązania pomiędzy ADO a podmiotem danych? Czy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania?
Pytanie to ma na celu ustalenie, czy podmiot danych ma rozsądne przesłanki, by spodziewać się przetwarzania danych, np. poprzez bycie stroną umowy z Administratorem/strony trzeciej, jego pracownikiem, dłużnikiem, użytkownikiem strony WWW, członkiem organów spółki itd. W przypadku monitoringu pracownicy i inne osoby objęte monitoringiem mają rozsądne przesłanki oczekiwać, że kiedy wchodzą na obszar objęty nadzorem wideo, ich wizerunki będą przedmiotem nagrania. W szczególności, jeśli zostały już spełnione wymagania związane z zasadą rzetelności i przejrzystości, a także innych wymogów prawnych (aspekt legalności). Pracownik poinformowany w regulaminie pracy i informacji przekazywanej przy rozpoczęciu pracy nie będzie zaskoczony faktem monitoringu w zakładzie pracy.
Jaki jest charakter przetwarzania danych osobowych?
Istotną okolicznością może być charakter przetwarzania, m.in. czy przetwarzanie ma charakter zautomatyzowany, stały, na dużą skalę, czy też ma miejsce upublicznienie danych lub do przetwarzania dochodzi przy pomocy profilowania, eksploracji danych, uczenia maszynowego etc. Istotną kwestią jest również charakter Administratora/strony trzeciej – czy jest pracodawcą, międzynarodową korporacją, a może niewielkim indywidualnym przedsiębiorcą. W przypadku monitoringu wizyjnego warto wskazać na następujące aspekty: czy jest to monitoring stały, czy zachodzi monitoring na dużą skalę, w szczególności miejsc publicznych. W przypadku monitoringu pracowniczego należy pamiętać o niesymetrycznym stosunku z pracownikiem, gdyż pracodawca ma pozycję dominującą.
Czy przetwarzanie może mieć pozytywny wpływ na osobę?
Pozytywny wpływ zdecydowanie przechyla szalę testu na korzyść Administratora/strony trzeciej. Pozytywnym wpływem może być otrzymanie nagrody lub innych korzyści, prawidłowa realizacja usługi, sprawniejsza organizacja pracy, zapewnienie bezpieczeństwa danej osoby lub jej mienia, co jest też korzyścią osób objętych monitoringiem.
Czy przetwarzanie może mieć negatywny wpływ na osobę? Jakie są zagrożenia dla interesów lub praw i wolności osoby?
W tym miejscu identyfikujemy negatywny wpływ na osobę, co z kolei przechyla szalę testu na jej rzecz. Nie każdy negatywny wpływ ma tę samą wagę. Inne negatywne oddziaływanie będzie miało zagrożenie życia czy też ryzyko dyskryminacji, straty finansowej, a inne – lekka frustracja czy też poczucie utraty czasu spowodowane koniecznością zapoznania się z wiadomością mailową od administratora. W pierwszej kolejności powinniśmy wskazać subiektywne zagrożenia dla jednostki. Kolejno możemy wskazać zidentyfikowane zagrożenia związane z samym procesem i stosowanymi środkami technicznymi oraz organizacyjnymi. W przypadku prawidłowo realizowanego monitoringu wizyjnego można wskazać niewielkie zagrożenia, jak frustrację związaną z naruszeniem poczucia prywatności.
Czy osoba, której dane dotyczą, ma kontrolę nad swoimi danymi?
Pytanie dotyczy rozwiązań i narzędzi pozwalających kontrolować osobie, której dane dotyczą, swoje dane, np. panele ustawień prywatności, narzędzia do ułatwienia realizacji praw. Nie są to rozwiązania obowiązkowe, jakkolwiek wpływają na zaradzenie negatywnemu wpływowi związanemu z przetwarzaniem (tzw. środki wyrównawcze). W przypadku monitoringu wizyjnego taki środek może obejmować narzędzie do zdalnego dostępu do nagrań obejmujących daną osobę, formularze kontaktowe na stronie, narzędzia do anonimizacji nagrań.
Czy osoba, której dane dotyczą, jest przejrzyście informowana o prawnie uzasadnionym interesie Administratora?
Przejrzystość jest istotnym warunkiem prawidłowego przetwarzania danych, a zarazem zapobiega sytuacjom, w których podmiot danych nie spodziewa się, że jego dane są przetwarzane. Jednocześnie przejrzystość może być świetnym środkiem wyrównującym balans interesów. Administrator może podjąć dodatkowe kroki, aby zwiększyć przejrzystość przetwarzania, podając w klauzulach informacyjnych np. informacje o przeprowadzonym teście równowagi i jego wyniku. W naszym przykładzie odpowiedź może brzmieć: „Administrator umieścił tabliczki informujące o tożsamości Administratora, celach przetwarzania, prawach osób, których dane dotyczą wraz z piktogramem. Tabliczka zawiera kod QR kierujący do pełnej klauzuli informacyjnej, która informuje o przeprowadzonym teście równowagi i jego skróconych wynikach.”

4Analiza ryzyka

LEGENDA

W oparciu o poniższą legendę oszacuj prawdopodobieństwo naruszenia:

(1) niskie prawdopodobieństwo – zmaterializowanie się potencjalnego naruszenia praw i wolności osób, których dane dotyczą nie wydaje się możliwe dla wybranych źródeł ryzyka;

(2) średnie prawdopodobieństwo – zmaterializowanie się potencjalnego naruszenia praw i wolności osób, których dane dotyczą wydaje się trudne dla wybranych źródeł ryzyka;

(3) wysokie prawdopodobieństwo – zmaterializowanie się potencjalnego naruszenia praw i wolności osób, których dane dotyczą wydaje się możliwe dla wybranych źródeł ryzyka;

(4) bardzo wysokie prawdopodobieństwo – zmaterializowanie się potencjalnego naruszenia praw i wolności osób, których dane dotyczą wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.

W oparciu o poniższą legendę oszacuj skutki naruszenia dla praw i wolności osób których dane dotyczą:

(1) niskie skutki – osoby, których dane dotyczą, nie zostaną dotknięte skutkami naruszenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.);

(2) średnie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.);

(3) wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.);

(4) bardzo wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).

Naruszenie
Prawdopodobieństwo
Skutki
Ryzyko
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie

5Wynik testu

Czy interes administratora lub strony trzeciej przeważa nad prawami i wolnościami osób, których dane dotyczą?
Biorąc pod uwagę poczynione przez siebie ustalenia oceń czy cel, który chce realizować administrator danych ma nadrzędny charakter, wobec praw i wolności osób, których dane dotyczą.
Decyzja administratora danych
Wskaż, jaką decyzję podjął administrator oraz uzasadnij ją. Dotyczy to również sytuacji, gdy administrator postanowił zrealizować czynność przetwarzania, nawet pomimo negatywnego wyniku testu.

Zastrzeżenie

Aby uzyskać miarodajny wynik testu równowagi należy wypełnić wszystkie pola formularza. Każdy proces i składające się na niego elementy muszą być oceniane indywidualnie, w szczególności planowane przez administratora cele przetwarzania oraz ich wpływ na prawa i wolności osób, których dane dotyczą. Z tego względu niniejszy formularz może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z formularza na własną odpowiedzialność. ODO 24 sp. z o. o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z formularza, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.


„Sami możemy rozwiązać wątpliwości związane z RODO”

Jesteś tego pewien?

Zamów
wsparcie