Artur Piechocki i Daniel Siciński w Magazynie ODO „Prawnie uzasadniony interes jako podstawa przetwarzania danych osobowych”

03.10.2018 W najnowszym Magazynie ODO Ochrona Danych Osobowych został opublikowany artykuł autorstwa Artura Piechockiego i Daniela Sicińskiego „Prawnie uzasadniony interes jako podstawa przetwarzania danych osobowych „.

Jednym z ważniejszych wymogów wynikających z RODO[1] jest konieczność oparcia każdej operacji przetwarzania danych osobowych na jednej z sześciu podstaw przetwarzania wskazanych w rozporządzeniu[2]. Jedną z takich podstaw jest prawnie uzasadniony interes administratora lub osoby trzeciej. Jest to podstawa najbardziej elastyczna i może potencjalnie znaleźć zastosowanie do różnorodnych operacji przetwarzania. Z drugiej strony prawnie uzasadniony interes nie jest rozwiązaniem uniwersalnym i nie może być stosowany w każdym przypadku.

Co istotne, w stosunku do poprzednio obowiązującego uregulowania prawnie uzasadnionego interesu w UODO[3], RODO wprowadza istotne nowości. Przed wyborem tej podstawy przetwarzania warto, więc przeanalizować nowe wymogi w tym zakresie oraz upewnić się, że może ona stanowić adekwatną legitymizację planowanych działań związanych z przetwarzaniem danych osobowych.

Czym jest prawnie uzasadniony interes?

Stosownie do art. 6 ust. 1 lit f RODO zgodne z prawem jest przetwarzanie:

„niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.

Jest to podstawa tzw. prawnie uzasadnionego interesu, która umożliwia administratorowi usprawiedliwienie przetwarzania danych osobowych korzyściami jakie przetwarzanie ma przynieść administratorowi lub osobom trzecim.

W przypadku tej podstawy dopuszczalny cel przetwarzania nie jest z góry określony w przepisach, tak jak przykładowo w razie przetwarzania ze względu na konieczność realizacji umowy[4], która może obejmować wyłącznie czynności przetwarzania nierozerwalnie związane w wykonaniem umowy. Tym samym administrator może objąć uzasadnionym interesem różnorodne operacje przetwarzania, przy czym w każdym przypadku interes powinien być jednak jasno określony oraz przetwarzanie powinno być niezbędne dla jego osiągnięcia. Administrator nie może jednak poprzestać na stwierdzeniu, że musi przetwarzać dane osobowe ze względu na korzyść jaką może to przynieść. Konieczne jest także zważenie interesów administratora oraz osób, których dane mają być przetwarzane pod kątem oceny, jaki wpływ przetwarzanie może mieć na te osoby.

Istotną zmianą w stosunku do poprzedniego uregulowania prawnego interesu w UODO jest brak możliwości wykorzystania tej podstawy przetwarzania przez organy publiczne[5], które powinny raczej działać w ramach ustawowo określonych kompetencji. Wyjątkiem od tego zakazu mogą być jednak działania takich organów, które nie są związane z wykonywaniem funkcji publicznej.

Trzystopniowy test

Na podstawie definicji prawnie uzasadnionego interesu w RODO można wyodrębnić trzy jego kluczowe elementy wymagające odrębnej analizy w odniesieniu do każdej operacji przetwarzania, która ma być oparta na tej podstawie prawnej. W związku z tym administrator powinien każdorazowo przeprowadzić tzw. trzystopniowy test, w celu ustalenia, czy podstawa prawnie uzasadnionego interesu będzie mogła objąć planowane działania związane z przetwarzaniem danych osobowych. Analiza ta powinna obejmować następujące działania, z uwzględnieniem zaproponowanej kolejności:

1. Test celowości – obejmujący identyfikację celu przetwarzania oraz interesu jaki ma być osiągnięty;
2. Test niezbędności – obejmujący ustalenie, czy przetwarzanie jest niezbędne dla osiągnięcia celu/interesu;
3. Test balansujący – obejmujący zważenie interesów administratora (osób trzecich) oraz osób, których dane mają być przetwarzane.

Obowiązek przeprowadzenia trzystopniowego testu jest istotną nowością w porównaniu z wcześniejszą regulacją UODO, gdzie art. 23 ust. 1 pkt 5 stanowił, że dopuszczalne jest przetwarzanie danych osobowych dla wypełnienia prawnie usprawiedliwionych celów, jeśli „nie narusza to praw i wolności osoby, której dane dotyczą”. Obecna regulacja kładzie natomiast większy nacisk na wzajemne wyważenie interesów administratora (lub osoby trzeciej) oraz osób, których dane mają być przetwarzane. Obecnie skorzystanie z podstawy prawnie uzasadnionego interesu może być niemożliwe nie tylko wówczas, kiedy przetwarzanie narusza prawa osób, ale także kiedy może ono np. stanowić działanie nieoczekiwane dla podmiotów danych[6], lub prowadzić do ograniczenia możliwości wykonywania ich praw lub kontroli nad swoimi danymi.

Przeprowadzony test nie powinien być jedynie procesem myślowym. Należy go rozpatrywać także w kontekście wynikającej z RODO ogólnej zasady rozliczalności[7], która wiąże się z koniecznością wykazania przestrzegania obowiązków w zakresie ochrony danych osobowych. Rozliczalność w praktyce może być realizowana przez wdrażanie stosownych polityk, a także dokumentowanie procesów przetwarzania danych. Istotną nowością jest więc również to, że w świetle zasady rozliczalności administrator powinien udokumentować przeprowadzenie trzystopniowego testu w odniesieniu do każdej operacji, która ma zostać oparta na tej podstawie. W szczególności należy poddać odrębnej analizie każdy z trzech etapów procesu oraz udokumentować wynik testu. Taki dokument może być jedynym sposobem wykazania w razie ewentualnej kontroli, że wybierając tę podstawę przetwarzania, dokonało się oceny zasadności tego wyboru oraz uwzględniło prawa i interesy osób, których dane mają być przetwarzane.

Test celowości

W pierwszej kolejności administrator powinien zidentyfikować cel przetwarzania, a więc także interes jaki ma być osiągnięty przez daną operację przetwarzania. W porównaniu do poprzedniej regulacji, administrator może powoływać się nie tylko na interes swój lub odbiorców danych, ale także wszelkich innych osób trzech (np. zewnętrznej firmy lub osoby fizycznej), a także na szeroko rozumiany interes społeczny. Interesy administratora i osób, których dane mają być przetwarzane mogą być zbieżne, ale też możliwa jest ich wzajemna konkurencyjność.

Istotność interesu nie ma przy tym znaczenia, a sam cel przetwarzania może mieć charakter trywialny. Ważne jest jednak, aby interes ten był ściśle określony, rzeczywisty oraz, aby przynosił korzyść administratorowi lub osobie trzeciej. Nie można zatem poprzestać na ogólnikowym sformułowaniu generycznego interesu biznesowego (np. „polepszenie jakości obsługi klienta”), ale konieczne jest sprecyzowanie co ma być osiągnięte przez dany proces (np. „przetwarzanie danych o historii zakupów w celu dostosowania oferty do zainteresowań klienta”). Nawet prosty i oczywisty interes powinien być jasno sprecyzowany.

Uzasadniony interes nie może być niezgodny z prawem lub normami etycznymi. Tym samym np. przesyłanie spamu z pominięciem wymogów dotyczących komunikacji elektronicznej[8] nie będzie mogło być zakwalifikowane jako działanie na podstawie prawnie uzasadnionego interesu.

Dopiero po ustaleniu, że istnieje rzeczywisty interes w operacji przetwarzania, administrator powinien przejść do kolejnego etapu analizy, jakim jest test niezbędności.

Test niezbędności

Planowany proces przetwarzania musi być niezbędny dla osiągnięcia założonego celu. Nie oznacza to, że przetwarzanie jest tylko przydatne, ani także, że bez przetwarzania cel nie może być osiągnięty. Wymóg niezbędności będzie spełniony także wówczas, gdy osiągnięcie celu bez realizacji przetwarzania byłoby możliwe, ale wymagałoby niewspółmiernego wysiłku, czasu lub kosztów. Niezbędność oznacza także, że w danym kontekście nie istnieje metoda przetwarzania mniej ingerująca w prywatność osób fizycznych. W przypadku bowiem istnienia takiej metody powinna ona zostać zastosowana zamiast pierwotnie planowanego procesu.

Test balansujący

Sama identyfikacja uzasadnionego interesu jaki ma być realizowany oraz stwierdzenie, że dana operacja przetwarzania jest niezbędna dla jego osiągnięcia nie są wystarczające dla wykorzystania omawianej podstawy prawnej. Administrator powinien dodatkowo ocenić, czy interesy i prawa osób, których dane mają być przetwarzanie nie są nadrzędne wobec interesów administratora (lub osoby trzeciej) w odniesieniu do planowanych operacji przetwarzania. Wymóg ten oznacza konieczność zważenia tych wzajemnych interesów w celu oceny które są przeważające. W zależności od charakteru planowanych operacji, ich celu, a także relacji istniejącej między administratorem a podmiotem danych, test ten może być prostszy lub bardziej złożony.

Administrator powinien dokonać oceny praw osób, których dane mają być przetwarzane w sposób obiektywny. Należy zwrócić uwagę na to, czy planowany proces może prowadzić do ograniczenia ich prywatności, utrudniać wykonywanie przez nich swoich praw, doprowadzić do utraty przez nich kontroli nad danymi, lub też grozić powstaniem jakichkolwiek strat moralnych lub finansowych po ich stronie. Administratorowi może być przy tym trudniej wykazać przewagę swojego interesu w przypadku przetwarzania danych szczególnej kategorii, danych dzieci, przetwarzania danych na dużą skalę oraz udostępniania ich wielu podmiotom, gdyż wiąże się to z większymi ryzykami.

Z drugiej strony administrator powinien uwzględnić naturę i wagę interesu, w tym to, czy służy on wyłącznie administratorowi, czy też przetwarzanie stanowi także korzyść dla osób, których przetwarzanie dotyczy lub realizowany jest interes społeczny. Istotne jest także, jaki skutek dla administratora może mieć zaniechanie operacji przetwarzania oraz, czy osoby mogą obiektywnie spodziewać się, że administrator będzie przetwarzał ich dane w określony sposób. W tym kontekście ważne może być ustalenie jaka jest relacja między administratorem, a osobami, których dane mają być przetwarzane. W przypadku bezpośredniej relacji (np. pracodawcy z pracownikami, lub sprzedawcy z klientami sklepu) istnieje większe prawdopodobieństwo istnienia uzasadnionego oczekiwania po stronie osób, że ich dane będą przetwarzane w określony sposób w związku z tą relacją. W przypadku braku takiej relacji, kiedy takie oczekiwanie może być odpowiednio mniejsze, wykorzystanie uzasadnionego interesu jako podstawy przetwarzania nie jest co prawda wykluczone, ale administratorowi trudniej będzie wykazać, że jego interesy są przeważające w stosunku do interesów podmiotów danych.

Dokonując wyważenia wzajemnych interesów administrator powinien także uwzględnić sposób w jaki dodatkowo planuje zabezpieczyć prawa i interesy osób, szczególnie w kontekście stwierdzonych w toku analizy ryzyk. Może to pomóc mu w wykazaniu, że ich interesy nie przeważyły nad interesami administratora. Takie środki mogą obejmować np. zabezpieczenia samych danych osobowych (np. pseudonimizacja, szyfrowanie, minimalizacja zbieranych danych, ograniczona retencja i dostęp do danych), jak też zabezpieczenie praw samych osób fizycznych (np. informowanie o przetwarzaniu, zapewnienie łatwej możliwości wyrażenia sprzeciwu itd.).

W przypadku, w którym wynik testu będzie negatywny, administrator powinien dokonać stosownych zmian w procesie oraz poddać go ponownej analizie. W razie braku możliwości pogodzenia interesów administratora oraz osób, których dane mają być przetwarzane, powinno się rozważyć wybór innej podstawy prawnej, w szczególności pozyskania zgody podmiotu danych.

Przykłady prawnie uzasadnionego interesu

Jak zostało już wskazane, jedną z pierwszych czynności jakie powinien wykonać administrator w przypadku wyboru omawianej podstawy prawnej przetwarzania, jest zidentyfikowanie jaki w istocie interes ma być realizowany oraz czy jest on uzasadniony. RODO nie zawiera zamkniętego katalogu prawnie uzasadnionych celów przetwarzania, ale podaje cenne przykłady i wskazówki w tym zakresie.

Z preambuły[9] RODO wynika, że prawnie uzasadnionym interesem będzie np. przeciwdziałanie oszustwom i nadużyciom, zapewnienie bezpieczeństwa sieci i informacji, zawiadamianie o możliwości popełnienia przestępstwa. Dodatkowo wskazane są tam także operacje, które w zależności od okoliczności, mogą być uznane za stanowiące prawnie uzasadniony interes. Obejmują one przetwarzanie danych klientów lub pracowników, marketing bezpośredni oraz przekazywanie danych między spółkami z grupy kapitałowej w celach administracyjnych. Należy jednak podkreślić, że w przypadku takich operacji administrator nadal ma obowiązek przeprowadzić i udokumentować przeprowadzenie trzystopniowego testu. Może on być jednak znacznie prostszy i mniej obszerny ze względu na wyraźne uwzględnienie tych celów w przepisach RODO.

Można także wskazać na przykłady innych operacji, które z dużym prawdopodobieństwem również będą mogły stanowić prawnie uzasadniony interes:

• prowadzenie analityki korzystania z serwisu internetowego;
• przetwarzanie danych pracowników w celu organizacji wyjazdów służbowych, szkoleń itd.;
• przetwarzanie danych przez ubezpieczycieli (w tym profilowanie) w celu dokonania oceny ryzyka ubezpieczeniowego;
• personalizacja treści i komunikatów marketingowych;
• udostępnianie przez agencję rekrutacyjną przesłanych aplikacji potencjalnym pracodawcom;
• przetwarzanie danych pracowników kontrahenta w celach kontaktowych;
• monitorowanie przesyłanych przez pracowników materiałów przez sieć pracodawcy (w ramach tzw. systemów data leak prevention);
• śledzenie floty samochodów z wykorzystaniem technologii GPS.

Powyższe operacje mogą potencjalnie być oparte na przesłance prawnie uzasadnionego interesu, pod warunkiem jednak uwzględnienia wymogu niezbędności oraz wyważenia interesów osób, których dane mają być przetwarzane.

Transparentność oraz prawo sprzeciwu

W przypadku skorzystania z podstawy prawnie uzasadnionego interesu należy pamiętać o dwóch dodatkowych obowiązkach wynikających z RODO, które stanowią nowość w stosunku do wymogów obowiązujących w poprzedniej ustawie. Szerszy jest bowiem obowiązek informacyjny realizowany wobec osób, których dane dotyczą. Poza wskazaniem podstawy prawnej przetwarzania, konieczne jest także opisanie prawnie uzasadnionego interesu realizowanego przez administratora[10].

Dodatkowo w razie wyboru omawianej podstawy prawnej przetwarzania, osobom, których dane są przetwarzane przysługuje dodatkowe uprawnienie, polegające na możliwości wyrażenia sprzeciwu wobec przetwarzania, jeżeli jest to uzasadnione ich szczególną sytuacją[11]. Co istotne, uprawnienie to nie jest absolutne i nie przysługuje jeśli interesy administratora okażą się nadrzędne. W przeciwieństwie do dotychczasowej regulacji, RODO wprost stanowi więc, że wyrażenie sprzeciwu nie zawsze będzie musiało być uwzględniane. Z reguły uprawnienie takie nie będzie mogło być skutecznie realizowane, gdyż w przypadku skorzystania przez administratora z tej podstawy, już przeprowadzony test balansujący powinien wskazywać na pierwszeństwo interesów administratora.

W pewnych przypadkach takie prawa będą musiały być jednak bezwzględnie respektowane, jak np. w razie wniesienia sprzeciwu wobec prowadzenia marketingu bezpośredniego. W tych sytuacjach administrator powinien już na etapie projektowania przetwarzania i prowadzenia trzystopniowego testu przewidzieć, jak umożliwić osobom wyrażanie sprzeciwu, jak te uprawnienia realizować oraz jakie będą tego konsekwencje. W każdym razie o prawie sprzeciwu powinien on informować najpóźniej podczas pierwszej komunikacji i to odrębnie od wszelkich innych informacji[12], optymalnie wskazując od razu łatwy sposób do jego wyrażenia (np. oznaczenie „checkboxa”, lub kliknięcie w link).

Kiedy warto stosować uzasadniony interes jako podstawę przetwarzania

Jak widać prawnie uzasadniony interes może okazać się przydatnym rozwiązaniem dla administratorów szukających podstawy prawnej legitymizującej przetwarzanie danych osobowych. Ze względu na swoją elastyczność może ona znaleźć zastosowanie do wielu różnych celów i operacji przynoszących korzyść administratorowi, lub innym osobom, które jednocześnie nie mogą być oparte na innej podstawie (np. przetwarzanie danych w ramach różnych rutynowych procesów w ramach organizacji). RODO nie wprowadza hierarchii podstaw przetwarzania, wobec tego prawnie uzasadniony interes może być równie skuteczną podstawą co np. zgoda osoby. Prawnie uzasadniony interes może być także alternatywną wobec pozyskiwania nadmiernej ilości zgód, których zbieranie może być uciążliwe zarówno dla administratora, jak i osób udzielających zgód. Jednocześnie uzasadniony interes jest podstawą bardziej trwałą niż zgoda, gdyż w razie wniesienia sprzeciwu w wielu przypadkach przetwarzanie nadal będzie mogło być kontynuowane, co nie będzie miało miejsca w przypadku cofnięcia zgody.

Uzasadniony interes nie powinien być jednak traktowany jako domyślna podstawa wszystkich operacji, ze względu na pozorną łatwość zastosowania. Jeśli zachodzą podstawy do oparcia przetwarzania na innych postawach (np. konieczność wykonania umowy lub spełnienie obowiązku prawnego[13]), administrator nie powinien powoływać się na uzasadniony interes. Ponadto nie wszystkie operacje będą mogły być objęte tą podstawą. Co do zasady, uzasadniony interes powinien być stosowany do tych operacji, w przypadku których osoby mogą spodziewać się przetwarzania (np. ze względu na istniejącą relację z administratorem), albo jeżeli pomimo braku takich oczekiwań, cel przetwarzania jest bardzo ważny dla administratora lub osób trzecich. Wpływ na prawa i sytuację osób, których dane są przetwarzane powinien być również minimalny. Nie powinny być to operacje, które nadmiernie ingerują w prywatność osób fizycznych lub wiążą się z dużym ryzykiem wyrządzenia im szkody.

Należy także pamiętać, że wybór tej podstawy wiąże się także z dodatkowymi obowiązkami. Administrator powinien przeprowadzić i udokumentować trzystopniowy test, w którym zważy swoje interesy z interesami osób, których dane mają być przetwarzane oraz dokona oceny ryzyka negatywnego wpływu przetwarzania na prawa i wolności tych osób. Konieczne jest także poinformowanie osób o przetwarzaniu i realizowanym interesie, a także umożliwienie im wyrażenia sprzeciwu wobec przetwarzania.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Art. 6 ust. 1 RODO

[3] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2015 r. poz. 2135, 2281, z 2016 r. poz. 195, 677.)

[4] Art. 6 ust. 1 lit. b) RODO

[5] Art. 6 ust. 1 RODO in fine

[6] Patrz. Motyw 47 RODO

[7] Patrz. art. 5 ust. 2 RODO oraz 24 ust. 1-2 RODO

[8] Patrz. Art. 10 ust. 2 Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204 ze zm.) oraz Art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 nr 170 poz. 1800 ze zm.)

[9] Motywy 47-50 RODO

[10] Art. 13 ust. 1 d) oraz Art. 14 ust. 2 lit. b) RODO

[11] Art. 21 ust. 1 RODO

[12] Art. 21 ust. 4 RODO

[13] Art. 6 ust. 1 pkt b) – c) RODO

Link do Magazynu ODO: http://magazyn-odo.pl/w-numerze/