Kilka miesięcy po wprowadzeniu w życie ustawy Rozporządzenie Parlamentu Europejskiego I Rady (Ue) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej w praktyce występują problemy z wdrożeniem przepisów w życie. RODO wprowadza swoje wytyczne w zakresie przetwarzania danych osobowych, które należy poznać i stosować. Jednym z nich jest test równowagi.
Test równowagi według RODO
Jedną z podstaw prawnych przetwarzania danych osobowych jest klauzula prawnie uzasadnionych interesów, na podstawie art. 6 ust. 1 lit. f RODO. Zgodnie z tym przepisem, administrator może przetwarzać dane osobowe, gdy jest to niezbędne do realizacji prawnie uzasadnionych celów administratora.
W przypadku, gdy administrator chciałby skorzystać z tej podstawy przetwarzania danych, powinien przeprowadzić tzw. test ważenia interesów i praw. Polega to na dokonaniu oceny czy interes administratora lub strony trzeciej, przemawiający za przetwarzaniem danych, jest prawnie uzasadniony, a także czy przetwarzanie jest niezbędne do realizacji celu wynikającego z tego interesu. Następnie administrator musi rozważyć, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą nie przeważają nad prawnie uzasadnionym interesem administratora lub strony trzeciej.
Klauzule niedookreślone w praktyce
Słabością interpretacji RODO są występujące licznie w dokumencie klauzule generalne. Nie zawsze po przeczytaniu danego przepisu wiemy, jak zastosować go w praktyce. Pomocne z pewnością mogą okazać się wskazówki zawarte w Opinii 6/2014 Grupy Roboczej Art. 29 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE.
Najbardziej typowymi przykładami prawnie uzasadnionych interesów są: marketing bezpośredni i dochodzenie roszczeń, stosowanie monitoringu wizyjnego w celu zapewnienia bezpieczeństwa, a także przekazywanie danych osobowych (pracowników lub klientów) w ramach grupy przedsiębiorstw (grupy kapitałowej) do wewnętrznych celów administracyjnych oraz przetwarzanie danych w zakresie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji uznaje się za prawnie uzasadniony interes.
Nie wydaje się możliwe wskazanie pełnego katalogu prawnie usprawiedliwionych interesów – ocena w tym zakresie powinna być dokonywana indywidualnie, z uwzględnieniem okoliczności faktycznych w danym przypadku.
Po pierwsze musimy rozpoznać zaistnienie potrzeby przetwarzania danych osobowych w oparciu o klauzulę prawie uzasadnionych interesów.
Klauzula prawnie usprawiedliwionego interesu jest jedną z podstaw wskazanych w art. 6 ust. 1 RODO. Może być ona postrzegana jako przejaw uznania przez prawodawcę unijnego, iż mogą zaistnieć sytuacje, w których administrator nie może powołać się na zgodę, przepis ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych. Jednak w takiej sytuacji za dopuszczalnością przetwarzania musi przemawiać „prawnie uzasadniony interes”. Tę klauzulę należy traktować jako przesłankę dodatkową wobec pozostałych.
W przypadku stwierdzenia, że interes nie jest prawnie uzasadniony, przetwarzanie nie jest niezbędne, bądź interesy lub podstawowe prawa i wolności osoby, której dane dotyczą mają charakter nadrzędny nad prawnie uzasadnionym interesem administratora lub strony trzeciej, oparcie przetwarzania danych o omawianą podstawę nie jest dopuszczalne.
Klauzula prawnie uzasadnionych celów nie dla organów administracji publicznej
Dodatkowo należy podkreślić, że z podstawy tej nie powinny korzystać organy publiczne. Prawodawca unijny uznał, że przesłanka prawnie uzasadnionych interesów nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Oznacza to, że podmioty publiczne (organy administracji publicznej) powinny opierać przetwarzanie przede wszystkim na przepisach prawa – gdy jest to niezbędne do wykonania obowiązku prawnego (art. 6 ust. 1 lit. c RODO) lub gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e RODO).
Klauzula prawnie uzasadnionych celów nie dla danych szczególnych kategorii
Klauzula prawnie uzasadnionego interesu stanowi podstawę przetwarzania jedynie tzw. danych „zwykłych”, natomiast w oparciu o tę podstawę nie mogą być przetwarzane szczególne kategorie danych. Za dane te uważa się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Ochrona praw i wolności osoby, których dane dotyczą
Ocena spełnienia przesłanki prawnie uzasadnionego interesu powinna być negatywna, gdy prowadzi do wniosku, że interes nie znajduje, choćby ogólnego, usprawiedliwienia (uzasadnienia) w przepisach prawa. Szczególnie, gdy narusza obowiązujące przepisy i przetwarzanie nie powinno być dokonywane w oparciu o tę podstawę.
Istotą testu ważenia interesów i praw jest dokonanie oceny, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (w szczególności gdy osoba, której dane dotyczą, jest dzieckiem) mają nadrzędny charakter, wobec interesów administratora lub osoby trzeciej, związanych z przetwarzaniem danych.
Użyte w przepisie określenia: „interesy, podstawowe prawa i wolności” również są sformułowaniami ogólnymi, wymagającymi konkretyzacji. Mogą one być różnie interpretowane i obejmują m.in. interes ekonomiczny czy też prawo do prywatności. W omawianej przesłance nie chodzi jednak o to, by interesy, podstawowe prawa i wolności w żaden sposób nie zostały naruszone wskutek przetwarzania danych, a o dokonanie wyważenia pozostających w konflikcie interesów i praw podmiotu danych i administratora (strony trzeciej).
Przykładem sytuacji, gdy interesy i prawa osoby nie mają nadrzędnego charakteru względem interesów administratora może być przetwarzanie danych w celu dochodzenia roszczeń z działalności gospodarczej. Fakt, że tego rodzaju przetwarzanie nie leży w interesie dłużnika nie oznacza niedopuszczalności przetwarzania danych – wręcz przeciwnie, to interes wierzyciela (przedsiębiorcy, administratora) należy uznać za przeważający.
Jako przykład sytuacji, w której należy uznać, że interesy i prawa osoby, której dane dotyczą mają przeważający charakter nad prawnie uzasadnionym interesem administratora można wskazać przypadek, gdy administrator chciałby przetwarzać do celów marketingowych dane osoby, która wcześniej odmówiła wyrażenia zgody na przetwarzanie danych w tym celu lub uprzednio wyrażoną zgodę odwołała. W tym przypadku powoływanie się na klauzulę prawnie uzasadnionego interesu nie byłoby prawidłowe.