Prawnie uzasadniony interes administratora jako podstawa przetwarzania danych osobowych zgodnie z RODO

Dzisiaj na naszym blogu omówimy najbardziej tajemniczą z przesłanek przetwarzania danych osobowych z RODO tj. prawnie uzasadniony interes administratora lub strony trzeciej.
Zgodnie z art. 6 ust. 1 lit. f przetwarzanie jest zgodne z prawem, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Takie prawnie uzasadnione interesy mogą być różne. RODO nie wskazuje ich zamkniętego katalogu, jednak wymienia przykłady takie jak m.in. zapobieganie oszustwom czy marketing bezpośredni. Co ważne, interes ten musi być rzeczywisty i konkretny, szczególnie, że należy go wskazać w klauzuli obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO.
Powyższa podstawa przetwarzania ma zastosowanie na równi z innymi takimi jak zgoda, umowa czy obowiązek prawny ciążący na administratorze. Należy jednak zastrzec, że dotyczy ona przetwarzania jedynie tzw. danych zwykłych. Zatem w swoim interesie administrator nie może przetwarzać danych szczególnej kategorii, np. dotyczących zdrowia czy poglądów politycznych.
Kolejnym zastrzeżeniem dotyczącym tej przesłanki wskazanym w RODO jest ograniczenie jej stosowania przez organy publiczne. Przesłanka ta nie ma bowiem zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Dodatkowo, w motywie 47 RODO czytamy, że podstawą przetwarzania mogą być prawnie uzasadnione interesy administratora, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy osoby, której dane dotyczą. Mowa tutaj o pewnego rodzaju „teście równowagi”, który należy przeprowadzić przed zastosowaniem omawianej przesłanki. Administrator musi zastanowić się, czy planowane przetwarzanie nie ingeruje w prawa i wolności osób, których dane dotyczą w sposób niewspółmierny do jego własnego interesu lub interesy strony trzeciej. Zawsze bowiem należy mieć na uwadze ochronę praw podmiotów danych osobowych. Administrator powinien również ocenić czy osoby, których dane dotyczą spodziewają się przetwarzania danych osobowych planowanego rodzaju. Jeżeli osoby te nie mają rozsądnych przesłanek by spodziewać się przetwarzania, interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych.

Warto zapamiętać!

  • Prawnie uzasadniony interes administratora lub strony trzeciej jako przesłanka przetwarzania danych osobowych musi byś konkretnie określony. Nie można tej przesłanki traktować jako znajdującej zastosowanie gdy administrator nie ma innych podstaw do przetwarzania danych.
  • Osoby, których dane dotyczą winny spodziewać się planowanego rodzaju przetwarzania.
  • Każdorazowo przez procesem opartym na tej przesłance administrator powinien wykonać „test równowagi” by skonfrontować interes własny lub strony trzeciej z interesem podmiotów danych.

 

Roksana Amza
konsultant ds. ochrony danych osobowych w PBSG SA

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.