LexDigital

Przetwarzanie danych na podstawie prawnie uzasadnionego interesu

Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu (PUI) to nic innego jak oparcie legalności operacji wykonywanych na danych, na spełnieniu celów administratora z zastrzeżeniem, że cele te są zgodne z prawem i nie godzą w interesy, prawa i wolności osób, których dane dotyczą.

Przetwarzanie danych na podstawie prawnie uzasadnionego interesu

Prawodawca unijny bardzo szeroko definiuje „usprawiedliwiony interes administratora” podkreślając, że jego istnienie należy w każdym przypadku oceniać. Przykładowym narzędziem wykorzystywanym do oceny może być tzw. test równowagi, którego wyniki mogą być traktowane jako materiał dowodowy spełnienia wymagań RODO. Jak przeprowadzić taki test? Jakie dane wziąć pod uwagę? Jak interpretować wyniki? 

równowaga, usprawiedliwiony interes administratora, administrator ochrony danych osobowych

Na te i inne pytanie dotyczące prawnie uzasadnionego interesu postaramy się odpowiedzieć w przedstawionym artykule. 

Zgodnie z artykułem 6 ust. 1 RODO legalne przetwarzanie danych osobowych może odbywać się na kilku podstawach, wśród których obok zgody osoby, której dane dotyczą (art. 6 ust. 1 lit a) są działania:

§  kontrolowane przez administratora prowadzące do zawarcia umowy lub wywiązania się z jej postanowień (art. 6 ust. 1 lit b), 

§  niezbędne do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit c), 

§  niezbędne do ochrony żywotnego interesu osoby (art. 6 ust. 1 lit d),

§  wykonywane w interesie publicznym (art. 6 ust. 1 lit e)

§  prowadzone w ramach prawnie uzasadnionych interesów administratora lub strony trzeciej.

Nie istnieje hierarchia podstaw prawnych przetwarzania danych osobowych – wszystkie są jednakowo ważne. To na administratorzy spoczywa obowiązek wyboru odpowiedniej podstawy prawnej, adekwatnej do celu i zakresu przetwarzanych danych osobowych oraz rodzaju operacji jakie będą na nich wykonywane. Uważa się, że prawnie uzasadniony interes może być brany pod uwagę jedynie wówczas, gdy nie można użyć innej podstawy prawnej lub kiedy możliwe są inne podstawy jednak ze względu na kontekst i cel przetwarzania PUI jest najbardziej odpowiedni. Ważne jest również to, że uzasadniony interes musi być realizowany w sposób zgodny z wymogami przepisów prawa, w tym dotyczących ochrony danych osobowych.

W przypadku, kiedy administrator zdecyduje się na przetwarzanie danych na podstawie PUI, powinien on przeprowadzić i udokumentować ocenę PUI (OPUI). Pomoże mu to nie tylko wykazać stosowanie zasady rozliczalności i przejrzystości przetwarzania danych, ale również zagwarantować, że interesy poszczególnych osób w kontekście RODO będą poprawnie zinterpretowane.

Warto pamiętać, że RODO nakazuje również zapewnienie odpowiedniej ochrony osobom, których dane dotyczą, co często może wiązać się z koniecznością przedłożenia interesów oraz podstawowych prawa i wolnościtych osób nad interesy administratora.

Jak wypełniać prawa osób dla PUI?

Większość praw osób zdefiniowanych w RODO, w tym prawo do informacji, dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu, niepodlegania zautomatyzowanej decyzji w tym profilowania stosuje się niezależnie od podstawy prawnej przetwarzania danych. Jednak w przypadku wyboru PUI jako podstawy prawnej należy zwrócić szczególną uwagę na:

1. Prawo do informacji – administrator jest zobligowany jasnym i prostym językiem przekazać osobie, której dane dotyczą, informacje o celu przetwarzania oraz o przysługujących jej prawach. W przypadku PUI warto, aby administrator zapewnił podmiot danych, nie tylko że przetwarzanie nie narusza jego praw i wolności, ale jednocześnie podkreślił korzyści płynące z zamierzonego przetwarzania. Zaleca się również stosowanie podejścia warstwowego (szczegółowe informacje dostępne na życzenie), co pozwala spełnić obowiązek informacyjny w przejrzysty i prosty do zrozumienia sposób. 

2. Prawo do usunięcia– nie wykonuje się go automatycznie, w przypadku PUI należy usunąć dane osoby, wówczas, gdy: 

§ administrator nie będzie mógł uzasadnić konieczności ich przetwarzania, 

§ dane nie są już potrzebne do celu, dla którego pierwotnie zostały zebrane, 

§ przetwarzanie jest niezgodne z prawem.

3. Prawo do sprzeciwu– administrator wyraźnie powinien poinformować osoby o posiadanym przez nich prawie do sprzeciwu wobec przetwarzania w momencie pozyskiwania danych lub najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą. Należy jednak podkreślić, że w niektórych przypadkach samo wniesienie sprzeciwu wobec przetwarzania może nie być wystarczające. Wszystko zależy od celu w jakim administrator dokonuje operacji na danych. Uważa się, że sprzeciw może być niewystarczający w sytuacji, w której dane osobowe przetwarzane są w celu zapobiegania oszustwom lub zapewnieniu bezpieczeństwa sieci i systemów informatycznych

Niemniej administrator powinien wdrożyć odpowiednie narzędzia lub procedury umożliwiające wniesienie sprzeciwu, dostosowane do celu i specyfiki przetwarzania danych, np. w przypadku marketingu bezpośredniego sprzeciw może być dostępny bezpośrednio w aplikacji i wykonywany automatycznie – rezygnacja z subskrypcji za pomocą linku w wiadomości lub zmiana ustawień w koncie. Natomiast, kiedy sprzeciw będzie wniesiony w innej formie i dla innego celu przetwarzania danych należy zweryfikować słuszność sprzeciwu i dopiero wówczas podjąć działanie. W każdym przypadku należy poinformować osobę o realizacji jej prawa do sprzeciwu.

Wpływ sprzeciwu osób na przetwarzanie danych opartych na PUI i sposób jego realizacji powinien być rozpatrzony w fazie projektowania procesu i udokumentowany w teście równowagi. 

Kiedy administrator może stosować PUI?

Zgodnie z zapisami RODO administrator może przetwarzać dane osobowe w oparciu o prawnie uzasadniony interes wówczas, gdy:

§ uzyska pozytywną ocenę w 3-etapowym teście – OPUI, na którą składa się test celu, niezbędności i równowagi,

§ odpowiednio zdefiniuje relację pomiędzy nim a podmiotem danych osobowych,

§  w przypadku pozyskania danych od strony trzeciej odpowiednio poinformuje o podstawie prawnej przetwarzania danych osoby (art. 14 RODO). 

Co więcej, w motywach od 47 do 50 preambuły RODO prawodawca bezpośrednio wskazuje przykłady przetwarzania, w których PUI może być podstawą prawną, np.: 

§ marketing bezpośredni, 

§ zapobieganie oszustwom,

§ przekazywanie danych osobowych w ramach grupy przedsiębiorstw powiązanych do realizacji wewnętrznych celów,

§ zapewnienie bezpieczeństwa sieci i informacji, np. monitorowanie dostępu autoryzacji użytkowników do sieci komputerowej administratora w celu zapobiegania cyberatakom.

Ocena prawnie uzasadnionego interesu

Podstawową zasadą przy stosowaniu prawnie uzasadnionego interesu jest zachowanie równowagi między interesami administratora a interesami oraz prawami i wolnością osób, których dane dotyczą. Wskazane jest również, aby administrator, w celu zapewnienia zgodności z art. 5 ust. 2 RODO (zasada rozliczalności) posiadał dokument potwierdzający przeprowadzenie oceny oraz powody, dla których doszedł do wniosku, że spełnił kryteria równowagi interesów, co z kolei pozwoli wykazać należyte uwzględnienie praw osób w procesie przetwarzania. 

W przypadku, gdy interesy administratora i osoby nie będą wyrównane, administrator zobowiązany jest do określenia czy prawa osoby są nadrzędne nad jego interesami oraz jakie potencjalne szkody mogą wyniknąć z przetwarzania danych. Co więcej, administrator, który polega na PUI jako legalnej podstawie dla przetwarzania danych, powinien być w stanie wykazać organowi nadzoru lub osobie, której dane dotyczą, że w pełni rozważył cel przetwarzania danych oraz wypełnia prawa podmiotów danych. W tym celu zaleca się przeprowadzenie tzw. 3-częściowego testu OPUI. 

3-częściowy test OPUI

RODO określa kryteria dla przetwarzania danych opartych na PUI. Obejmują one ustalenie celu, dla którego niezbędne jest przetwarzanie danych osobowych oraz przeprowadzenie testu równowagi. W zależności od czynności przetwarzania OPUI może być prosta lub bardziej złożona, jednak w obu przypadkach kluczowe znaczenie będzie miało udokumentowanie decyzji o stosowaniu tej podstawy przetwarzania.

OPUI przeprowadza się na podstawie 3-częściowego testu:

1.    Test celu – zdefiniowanie interesu administratora, czyli celu, dla realizacji którego przetwarzać będzie dane osobowe. 

Definiując cel przetwarzania warto odpowiedzieć sobie na poniższe pytania:

§ Dlaczego chcę przetwarzać dane – co chcę osiągnąć?

§ Kto czerpie korzyści z przetwarzania i jak są one ważne? 

§ Jaki byłby wpływ, gdybym nie mógł kontynuować przetwarzania? 

§ Czy wykorzystanie danych byłoby w jakikolwiek sposób nieetyczne lub niezgodne z prawem? 

2. Test niezbędności– określenie czy przetwarzanie danych osobowych jest niezbędne do realizacji celów handlowych lub biznesowych. 

Przetwarzanie można oprzeć na PUI i uznać za niezbędne wówczas, gdy: 

§ nie istnieje inny sposób osiągnięcia określonego celu, 

§ inny sposób wymagałby nieproporcjonalnego wysiłku (i można to wykazać).

Jeżeli natomiast istnieje wiele sposobów osiągnięcia celu, to wybór jego realizacji powinien być oparty na ocenie sutków dla ochrony danych. 

Podczas przeprowadzania testu niezbędności rozważ: 

§ Czy przetwarzanie rzeczywiście przyczynia się do realizacji Twojego celu? 

§ Czy potrafisz przedstawić i uzasadnić racjonalny powód stosowania przetwarzania? 

§ Czy istnieje inny, mniej inwazyjny sposób, aby osiągnąć ten sam rezultat? 

3.  Test równowagi– określenie czy interesy i prawa osób są nadrzędne względem prawnie uzasadnionego interesu administratora.

Test równowagi powinien być zawsze przeprowadzony w sposób uczciwy. Administrator nie powinien podejmować prób dokonania stronniczej oceny i zawsze powinien zwracać należytą uwagę na prawa i wolności osób fizycznych.

Dobrą praktyką jest, aby OPUI była przeprowadzana przez osobę, która zna proces, jest niezależna i uczestniczy w procesie decyzyjnym.

Podczas wykonywaniu testu równowagi administrator powinien wziąć pod uwagę charakter interesów, zakres i kategoria przetwarzanych danych, to czy osoby, których dane dotyczą mogą spodziewać się takiego przetwarzania oraz jaki to ma na nie wpływ. Ważne jest również określenie statusu osoby (np. klient, dziecko, pracownik) i administratora oraz sposobu przetwarzania danych, np. czy przetwarzanie obejmuje profilowanie danych. Nie bez znaczenia pozostaje to, czy dokonywana jest publikacja lub ujawnienia danych dużej liczbie osób oraz czy przetwarzanie odbywa się na dużą skalę. 

Końcowy wynik testu równowagi determinowany jest także przez rodzaj stosowanych przez administratora zabezpieczeń, czyli środków kontrolnych wdrożonych w celu ochrony osoby, przyczyniających się do ograniczenia ryzyka lub potencjalnie negatywnego wpływu na przetwarzanie. Zabezpieczenia powinny być zidentyfikowane w ramach oceny skutków dla ochrony danych przeprowadzonej w związku z proponowanym przetwarzaniem. Powszechnie stosowanymi zabezpieczeniami ochrony danych rozpatrywanymi w fazie projektowania, są minimalizacja danych, pseudonimizacja lub anonimizacja, uwierzytelnianie wielopoziomowe, ograniczony czas oraz dostęp przetwarzania danych oraz szyfrowanie.  

Oceń swój prawnie uzasadniony interes przy pomocy tabeli OPUI – stanowi ona nie tylko wygodne narzędzie do przeprowadzenia oceny, ale również materiał dowodowy spełnienia wymogów RODO. (tu podlinkowany pdf)

Prawnie uzasadniony interes (PUI) – test badania równowagi

A co w przypadku, gdy wynik OPUI jest negatywny? 

W przypadku, kiedy wynik przeprowadzonego 3-częściowego testu OPUI jest negatywny administrator może rozważyć: 

§ zmniejszenie zakresu danych, 

§ zmianę charakteru przetwarzania,

§ wprowadzić dodatkowe zabezpieczenia. 

Bez względu jednak, którą w wymienionych możliwości administrator zdecyduje się zastosować zobowiązany jest on do ponownego przeprowadzenia testu równowagi. Jeżeli wprowadzone zmiany nie zmienią wyniku testu, administrator nie może przetwarzać danych na podstawie PUI i powinien znaleźć alternatywną podstawę prawną lub nie rozpoczynać takiego przetwarzania.

Przykłady stosowania PUI

Zakres działań, w przypadku których administrator może rozważyć wykorzystanie PUI jako legalnej podstawy przetwarzania danych osobowych przy uwzględnieniu OPUI jest bardzo szeroki. Działania takie mogą obejmować przetwarzanie danych osobowych w celu: 

§ zapobiegania oszustwom (np. zwalczanie nadużyć finansowych),

§ oceny ryzyka potencjalnych klientów (np. określnie zdolności kredytowej klienta), 

§ zapobiegania kradzieży i zapewnienia odpowiedniego stopnia ochrony danych poprzez monitorowanie poczty elektronicznej, ruchu w sieci oraz ograniczeniu dostęp do kont systemów IT,

§ realizacji praw osób, których dane dotyczą (np. przechowywanie danych osób, które wniosły sprzeciw wobec przetwarzania po to, aby móc je zidentyfikować i tym samym zapobiegnąć dalszemu niepożądanemu przetwarzaniu w celach, wobec których został wniesiony sprzeciw lub wycofana zgoda),

§ optymalizacji przyszłych kampanii marketingowych poprzez ocenę liczby odwiedzających, wpisów, odsłon stron, recenzji i osób obserwujących wykorzystując do tego specjalne narzędzia diagnostyczne, tzw. web analytics.

Wśród innych wskazuje się także hostowanie danych w chmurze, profilowanie, monitorowanie sezonowych trendów zdrowotnych w celach naukowych badań statystycznych, czy wspominany już marketing bezpośredni. 

Podsumowując, elementem kluczowym koncepcji przetwarzania danych w oparciu o prawnie usprawiedliwiony interes (art. 6 ust. 1 lit. f RODO) jest zachowanie równowagi pomiędzy celami administratora a interesami, prawami i wolnością osoby, której dane dotyczą. Przetwarzanie takie jest jednak zgodne z prawiem i warto z niego korzystać pamiętając o stosowaniu zasady rozliczalności i przeprowadzaniu okresowych przeglądów OPUI, w szczególności, kiedy kryteria stosowane w ocenie ulegną zmianie. 

Pobierz test badania równowagi:


Prawnie uzasadniony interes (PUI) – test badania równowagi

Do wglądu Artykuł 6 RODO - Zgodność przetwarzania z prawem - Punkt 1 dotyczący przetwarzania zgodnego z prawem:

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)     osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)     przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)     przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)     przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Sprawdź także: 

Co to jest anonimizacja i pseudonimizacja?

Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę?

Zasada minimalizacji danych


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk