LexDigital

Przetwarzanie danych na podstawie prawnie uzasadnionego interesu

Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu (PUI) to nic innego jak oparcie legalności operacji wykonywanych na danych, na spełnieniu celów administratora z zastrzeżeniem, że cele te są zgodne z prawem i nie godzą w interesy, prawa i wolności osób, których dane dotyczą.

Przetwarzanie danych na podstawie prawnie uzasadnionego interesu

Prawodawca unijny bardzo szeroko definiuje „usprawiedliwiony interes administratora” podkreślając, że jego istnienie należy w każdym przypadku oceniać. Przykładowym narzędziem wykorzystywanym do oceny może być tzw. test równowagi, którego wyniki mogą być traktowane jako materiał dowodowy spełnienia wymagań RODO. Jak przeprowadzić taki test? Jakie dane wziąć pod uwagę? Jak interpretować wyniki? 

Na te i inne pytanie dotyczące prawnie uzasadnionego interesu postaramy się odpowiedzieć w przedstawionym artykule. 

Zgodnie z artykułem 6 ust. 1 RODO legalne przetwarzanie danych osobowych może odbywać się na kilku podstawach, wśród których obok zgody osoby, której dane dotyczą (art. 6 ust. 1 lit a) są działania:

§  kontrolowane przez administratora prowadzące do zawarcia umowy lub wywiązania się z jej postanowień (art. 6 ust. 1 lit b), 

§  niezbędne do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit c), 

§  niezbędne do ochrony żywotnego interesu osoby (art. 6 ust. 1 lit d),

§  wykonywane w interesie publicznym (art. 6 ust. 1 lit e)

§  prowadzone w ramach prawnie uzasadnionych interesów administratora lub strony trzeciej.

Nie istnieje hierarchia podstaw prawnych przetwarzania danych osobowych – wszystkie są jednakowo ważne. To na administratorzy spoczywa obowiązek wyboru odpowiedniej podstawy prawnej, adekwatnej do celu i zakresu przetwarzanych danych osobowych oraz rodzaju operacji jakie będą na nich wykonywane. Uważa się, że prawnie uzasadniony interes może być brany pod uwagę jedynie wówczas, gdy nie można użyć innej podstawy prawnej lub kiedy możliwe są inne podstawy jednak ze względu na kontekst i cel przetwarzania PUI jest najbardziej odpowiedni. Ważne jest również to, że uzasadniony interes musi być realizowany w sposób zgodny z wymogami przepisów prawa, w tym dotyczących ochrony danych osobowych.

W przypadku, kiedy administrator zdecyduje się na przetwarzanie danych na podstawie PUI, powinien on przeprowadzić i udokumentować ocenę PUI (OPUI). Pomoże mu to nie tylko wykazać stosowanie zasady rozliczalności i przejrzystości przetwarzania danych, ale również zagwarantować, że interesy poszczególnych osób w kontekście RODO będą poprawnie zinterpretowane.

Warto pamiętać, że RODO nakazuje również zapewnienie odpowiedniej ochrony osobom, których dane dotyczą, co często może wiązać się z koniecznością przedłożenia interesów oraz podstawowych prawa i wolnościtych osób nad interesy administratora.

Jak wypełniać prawa osób dla PUI?

Większość praw osób zdefiniowanych w RODO, w tym prawo do informacji, dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu, niepodlegania zautomatyzowanej decyzji w tym profilowania stosuje się niezależnie od podstawy prawnej przetwarzania danych. Jednak w przypadku wyboru PUI jako podstawy prawnej należy zwrócić szczególną uwagę na:

1. Prawo do informacji – administrator jest zobligowany jasnym i prostym językiem przekazać osobie, której dane dotyczą, informacje o celu przetwarzania oraz o przysługujących jej prawach. W przypadku PUI warto, aby administrator zapewnił podmiot danych, nie tylko że przetwarzanie nie narusza jego praw i wolności, ale jednocześnie podkreślił korzyści płynące z zamierzonego przetwarzania. Zaleca się również stosowanie podejścia warstwowego (szczegółowe informacje dostępne na życzenie), co pozwala spełnić obowiązek informacyjny w przejrzysty i prosty do zrozumienia sposób. 

2. Prawo do usunięcia– nie wykonuje się go automatycznie, w przypadku PUI należy usunąć dane osoby, wówczas, gdy: 

§ administrator nie będzie mógł uzasadnić konieczności ich przetwarzania, 

§ dane nie są już potrzebne do celu, dla którego pierwotnie zostały zebrane, 

§ przetwarzanie jest niezgodne z prawem.

3. Prawo do sprzeciwu– administrator wyraźnie powinien poinformować osoby o posiadanym przez nich prawie do sprzeciwu wobec przetwarzania w momencie pozyskiwania danych lub najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą. Należy jednak podkreślić, że w niektórych przypadkach samo wniesienie sprzeciwu wobec przetwarzania może nie być wystarczające. Wszystko zależy od celu w jakim administrator dokonuje operacji na danych. Uważa się, że sprzeciw może być niewystarczający w sytuacji, w której dane osobowe przetwarzane są w celu zapobiegania oszustwom lub zapewnieniu bezpieczeństwa sieci i systemów informatycznych

Niemniej administrator powinien wdrożyć odpowiednie narzędzia lub procedury umożliwiające wniesienie sprzeciwu, dostosowane do celu i specyfiki przetwarzania danych, np. w przypadku marketingu bezpośredniego sprzeciw może być dostępny bezpośrednio w aplikacji i wykonywany automatycznie – rezygnacja z subskrypcji za pomocą linku w wiadomości lub zmiana ustawień w koncie. Natomiast, kiedy sprzeciw będzie wniesiony w innej formie i dla innego celu przetwarzania danych należy zweryfikować słuszność sprzeciwu i dopiero wówczas podjąć działanie. W każdym przypadku należy poinformować osobę o realizacji jej prawa do sprzeciwu.

Wpływ sprzeciwu osób na przetwarzanie danych opartych na PUI i sposób jego realizacji powinien być rozpatrzony w fazie projektowania procesu i udokumentowany w teście równowagi. 

Kiedy administrator może stosować PUI?

Zgodnie z zapisami RODO administrator może przetwarzać dane osobowe w oparciu o prawnie uzasadniony interes wówczas, gdy:

§ uzyska pozytywną ocenę w 3-etapowym teście – OPUI, na którą składa się test celu, niezbędności i równowagi,

§ odpowiednio zdefiniuje relację pomiędzy nim a podmiotem danych osobowych,

§  w przypadku pozyskania danych od strony trzeciej odpowiednio poinformuje o podstawie prawnej przetwarzania danych osoby (art. 14 RODO). 

Co więcej, w motywach od 47 do 50 preambuły RODO prawodawca bezpośrednio wskazuje przykłady przetwarzania, w których PUI może być podstawą prawną, np.: 

§ marketing bezpośredni, 

§ zapobieganie oszustwom,

§ przekazywanie danych osobowych w ramach grupy przedsiębiorstw powiązanych do realizacji wewnętrznych celów,

§ zapewnienie bezpieczeństwa sieci i informacji, np. monitorowanie dostępu autoryzacji użytkowników do sieci komputerowej administratora w celu zapobiegania cyberatakom.

Ocena prawnie uzasadnionego interesu

Podstawową zasadą przy stosowaniu prawnie uzasadnionego interesu jest zachowanie równowagi między interesami administratora a interesami oraz prawami i wolnością osób, których dane dotyczą. Wskazane jest również, aby administrator, w celu zapewnienia zgodności z art. 5 ust. 2 RODO (zasada rozliczalności) posiadał dokument potwierdzający przeprowadzenie oceny oraz powody, dla których doszedł do wniosku, że spełnił kryteria równowagi interesów, co z kolei pozwoli wykazać należyte uwzględnienie praw osób w procesie przetwarzania. 

W przypadku, gdy interesy administratora i osoby nie będą wyrównane, administrator zobowiązany jest do określenia czy prawa osoby są nadrzędne nad jego interesami oraz jakie potencjalne szkody mogą wyniknąć z przetwarzania danych. Co więcej, administrator, który polega na PUI jako legalnej podstawie dla przetwarzania danych, powinien być w stanie wykazać organowi nadzoru lub osobie, której dane dotyczą, że w pełni rozważył cel przetwarzania danych oraz wypełnia prawa podmiotów danych. W tym celu zaleca się przeprowadzenie tzw. 3-częściowego testu OPUI. 

3-częściowy test OPUI

RODO określa kryteria dla przetwarzania danych opartych na PUI. Obejmują one ustalenie celu, dla którego niezbędne jest przetwarzanie danych osobowych oraz przeprowadzenie testu równowagi. W zależności od czynności przetwarzania OPUI może być prosta lub bardziej złożona, jednak w obu przypadkach kluczowe znaczenie będzie miało udokumentowanie decyzji o stosowaniu tej podstawy przetwarzania.

OPUI przeprowadza się na podstawie 3-częściowego testu:

1.    Test celu – zdefiniowanie interesu administratora, czyli celu, dla realizacji którego przetwarzać będzie dane osobowe. 

Definiując cel przetwarzania warto odpowiedzieć sobie na poniższe pytania:

§ Dlaczego chcę przetwarzać dane – co chcę osiągnąć?

§ Kto czerpie korzyści z przetwarzania i jak są one ważne? 

§ Jaki byłby wpływ, gdybym nie mógł kontynuować przetwarzania? 

§ Czy wykorzystanie danych byłoby w jakikolwiek sposób nieetyczne lub niezgodne z prawem? 

2. Test niezbędności– określenie czy przetwarzanie danych osobowych jest niezbędne do realizacji celów handlowych lub biznesowych. 

Przetwarzanie można oprzeć na PUI i uznać za niezbędne wówczas, gdy: 

§ nie istnieje inny sposób osiągnięcia określonego celu, 

§ inny sposób wymagałby nieproporcjonalnego wysiłku (i można to wykazać).

Jeżeli natomiast istnieje wiele sposobów osiągnięcia celu, to wybór jego realizacji powinien być oparty na ocenie sutków dla ochrony danych. 

Podczas przeprowadzania testu niezbędności rozważ: 

§ Czy przetwarzanie rzeczywiście przyczynia się do realizacji Twojego celu? 

§ Czy potrafisz przedstawić i uzasadnić racjonalny powód stosowania przetwarzania? 

§ Czy istnieje inny, mniej inwazyjny sposób, aby osiągnąć ten sam rezultat? 

3.  Test równowagi– określenie czy interesy i prawa osób są nadrzędne względem prawnie uzasadnionego interesu administratora.

Test równowagi powinien być zawsze przeprowadzony w sposób uczciwy. Administrator nie powinien podejmować prób dokonania stronniczej oceny i zawsze powinien zwracać należytą uwagę na prawa i wolności osób fizycznych.

Dobrą praktyką jest, aby OPUI była przeprowadzana przez osobę, która zna proces, jest niezależna i uczestniczy w procesie decyzyjnym.

Podczas wykonywaniu testu równowagi administrator powinien wziąć pod uwagę charakter interesów, zakres i kategoria przetwarzanych danych, to czy osoby, których dane dotyczą mogą spodziewać się takiego przetwarzania oraz jaki to ma na nie wpływ. Ważne jest również określenie statusu osoby (np. klient, dziecko, pracownik) i administratora oraz sposobu przetwarzania danych, np. czy przetwarzanie obejmuje profilowanie danych. Nie bez znaczenia pozostaje to, czy dokonywana jest publikacja lub ujawnienia danych dużej liczbie osób oraz czy przetwarzanie odbywa się na dużą skalę. 

Końcowy wynik testu równowagi determinowany jest także przez rodzaj stosowanych przez administratora zabezpieczeń, czyli środków kontrolnych wdrożonych w celu ochrony osoby, przyczyniających się do ograniczenia ryzyka lub potencjalnie negatywnego wpływu na przetwarzanie. Zabezpieczenia powinny być zidentyfikowane w ramach oceny skutków dla ochrony danych przeprowadzonej w związku z proponowanym przetwarzaniem. Powszechnie stosowanymi zabezpieczeniami ochrony danych rozpatrywanymi w fazie projektowania, są minimalizacja danych, pseudonimizacja lub anonimizacja, uwierzytelnianie wielopoziomowe, ograniczony czas oraz dostęp przetwarzania danych oraz szyfrowanie.  

Oceń swój prawnie uzasadniony interes przy pomocy tabeli OPUI – stanowi ona nie tylko wygodne narzędzie do przeprowadzenia oceny, ale również materiał dowodowy spełnienia wymogów RODO. (tu podlinkowany pdf)

Prawnie uzasadniony interes (PUI) – test badania równowagi

A co w przypadku, gdy wynik OPUI jest negatywny? 

W przypadku, kiedy wynik przeprowadzonego 3-częściowego testu OPUI jest negatywny administrator może rozważyć: 

§ zmniejszenie zakresu danych, 

§ zmianę charakteru przetwarzania,

§ wprowadzić dodatkowe zabezpieczenia. 

Bez względu jednak, którą w wymienionych możliwości administrator zdecyduje się zastosować zobowiązany jest on do ponownego przeprowadzenia testu równowagi. Jeżeli wprowadzone zmiany nie zmienią wyniku testu, administrator nie może przetwarzać danych na podstawie PUI i powinien znaleźć alternatywną podstawę prawną lub nie rozpoczynać takiego przetwarzania.

Przykłady stosowania PUI

Zakres działań, w przypadku których administrator może rozważyć wykorzystanie PUI jako legalnej podstawy przetwarzania danych osobowych przy uwzględnieniu OPUI jest bardzo szeroki. Działania takie mogą obejmować przetwarzanie danych osobowych w celu: 

§ zapobiegania oszustwom (np. zwalczanie nadużyć finansowych),

§ oceny ryzyka potencjalnych klientów (np. określnie zdolności kredytowej klienta), 

§ zapobiegania kradzieży i zapewnienia odpowiedniego stopnia ochrony danych poprzez monitorowanie poczty elektronicznej, ruchu w sieci oraz ograniczeniu dostęp do kont systemów IT,

§ realizacji praw osób, których dane dotyczą (np. przechowywanie danych osób, które wniosły sprzeciw wobec przetwarzania po to, aby móc je zidentyfikować i tym samym zapobiegnąć dalszemu niepożądanemu przetwarzaniu w celach, wobec których został wniesiony sprzeciw lub wycofana zgoda),

§ optymalizacji przyszłych kampanii marketingowych poprzez ocenę liczby odwiedzających, wpisów, odsłon stron, recenzji i osób obserwujących wykorzystując do tego specjalne narzędzia diagnostyczne, tzw. web analytics.

Wśród innych wskazuje się także hostowanie danych w chmurze, profilowanie, monitorowanie sezonowych trendów zdrowotnych w celach naukowych badań statystycznych, czy wspominany już marketing bezpośredni. 

Podsumowując, elementem kluczowym koncepcji przetwarzania danych w oparciu o prawnie usprawiedliwiony interes (art. 6 ust. 1 lit. f RODO) jest zachowanie równowagi pomiędzy celami administratora a interesami, prawami i wolnością osoby, której dane dotyczą. Przetwarzanie takie jest jednak zgodne z prawiem i warto z niego korzystać pamiętając o stosowaniu zasady rozliczalności i przeprowadzaniu okresowych przeglądów OPUI, w szczególności, kiedy kryteria stosowane w ocenie ulegną zmianie. 

Pobierz test badania równowagi:


Prawnie uzasadniony interes (PUI) – test badania równowagi

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.