W ICD Express omawiamy aktualne wydarzenia lub krótko wyjaśniamy ciekawe, lub ważne zagadnienia, na przykład zagadnienia prawne. W tym odcinku na warsztat bierzemy temat „prawnie uzasadnionego interesu administratora”. Co to jest i w ogóle skąd pomysł na taki temat? Otóż przyniosło go doświadczenie.
Trochę teorii
Art. 6 ust. 1 RODO określa sześć warunków, spośród których każdy jeden może stanowić wystarczającą podstawę prawną do przetwarzania danych osobowych w konkretnym celu. Warunki są oznaczone literami od a) do f). W naszych materiałach najbardziej pochylaliśmy się nad lit. a), czyli zgodą osoby, której dane dotyczą. Dla niniejszego artykułu istotne będą:
- lit. c) – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, oraz
- lit. f) – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. – czyli tytułowy „Uzasadniony Interes”.
ICD Express: Odcinek #2
Ten sam temat poruszamy w nowej serii ICD Express, którego możecie posłuchać tutaj:
Co znaczy „prawnie uzasadniony”
Pojęcie „prawnie uzasadnionego interesu” jest często mylone z „prawnym obowiązkiem przetwarzania danych”.
Jako inspektor ochrony danych odpowiadam na wiadomości od osób, których dane są przetwarzane. Wśród nich są żądania usunięcia danych osobowych. Często zdarza się, że w imieniu administratora odpowiadam: nie jest możliwe usunięcie wszystkich danych, bo istnieje nadal podstawa prawna do ich przetwarzania, a konkretnie tą podstawą jest prawnie uzasadniony interes.
Zdarzyło mi się, że klient administratora stwierdził, że skoro istnieje podstawa prawna do przetwarzania danych, to powinnam wskazać przepis konkretnej ustawy, która mówi, że administrator ma obowiązek przetwarzać dane osobowe. To nie jest prawidłowe rozumienie tej przesłanki Prawnie Uzasadnionego Interesu.
Gdyby administrator miał obowiązek wynikający z jakiejś ustawy, aby przetwarzać dane osobowe, to mówilibyśmy, że przetwarza dane osobowe na podstawie artykułu 6 ust. 1 lit. c RODO, który właśnie mówi o konieczności przetwarzania danych w celu realizacji obowiązków prawnych ciążących na administratorze, no i poza tym wskazaniem artykułu 6 ust. 1 lit. c podałabym przepis z jakiejś ustawy, na przykład ustawy o rachunkowości, czy z przepisów podatkowych, który nakazuje dalsze przechowywanie (zawierającej dane osobowe) dokumentacji księgowej przez 5 lat.
Natomiast przesłanka i podstawa prawna przetwarzania danych na mocy Prawnie Uzasadnionego Interesu jest czymś zupełnie odrębnym od prawnego obowiązku. Spotkałam się z reakcją jednego z klientów administratora, który powiedział, że gdyby tak rozumieć Prawnie Uzasadniony Interes, tzn. jako uprawnienie do przetwarzania danych osobowych, a nie: jakiś obowiązek wynikający z ustawy, to de facto oznaczałoby, że ten interes to jest interes biznesowy, gospodarczy, ekonomiczny administratora. To jest w istocie prawda! Właśnie po to została przewidziana w przepisach możliwość przetwarzania danych osobowych w celu realizacji Prawnie Uzasadnionych Interesów administratora, aby była czymś odrębnym od tych obowiązków przetwarzania, i aby dawała administratorowi możliwość przetwarzania danych, gdy jest to po prostu słuszne, uzasadnione z punktu widzenia działalności, jaką on prowadzi.
Kto może powoływać się na uzasadniony interes?
Prawnie Uzasadniony Interes to możliwość przetwarzania danych osobowych zagwarantowana głównie podmiotom prywatnym, przedsiębiorcom. Bo ten interes sprowadza się do jakichś celów, które wynikają z prowadzonej przez te podmioty działalności gospodarczej — może to być zarówno interes faktyczny, ekonomiczny, jak i biznesowy. Nie jest to obowiązek przetwarzania danych osobowych wynikający z przepisów prawa. To, że ten interes musi być prawnie uzasadniony, oznacza tyle, że interes musi być zgodny z prawem — nie może naruszać przepisów prawa.
To nie jest tak, że administrator może sobie dowolnie stosować uzasadniony interes, choć jest to „klauzula generalna”.
Co do zasady podmioty publiczne (urzędy) nie powinny powoływać się na tę podstawę przetwarzania danych osobowych, z tego względu, że ich działalność jest regulowana przepisami prawa i powinny działać, wykonując swoje zadania publiczne, właśnie w ramach tych przepisów. Jednak nie jest tak, że nigdy nie jest możliwe przetwarzanie danych w celu realizacji Prawnie Uzasadnionych Interesów przez podmioty publiczne. Wyjątkowo może się tak zdarzyć, choć niektórzy uważają inaczej. Ja uważam, że jest to możliwe, na przykład w zakresie monitoringu, czy jakichś kwestii związanych z przetwarzaniem informacji pracowników. Po drugie, Prawnie Uzasadniony Interes może dotyczyć administratora, czyli na przykład jakiejś spółki, która obsługuje klientów, albo może to być interes strony trzeciej, czyli jakiegoś podmiotu, który do tej pory nie uczestniczył w procesie przetwarzania danych osobowych, ale zasadne jest, aby zostały mu na przykład przekazane/udostępnione dane osobowe.
Jakie warunki musi spełniać uzasadniony interes
To nie jest tak, że administrator może sobie dowolnie stosować uzasadniony interes, choć jest to właśnie, tak jak nadmieniłam, „klauzula generalna”.
Ma ona zapewnić swobodę administratorom, gdy nie mamy umowy, nie mamy przepisu prawnego, który nakazuje przetwarzanie danych, ale wydaje się słuszne, aby administrator mógł przetwarzać te dane, aby mógł się powołać na tę właśnie przesłankę. Jednak są określone warunki, które muszą być spełnione przez administratora, czy stronę trzecią, żeby mówić, że to przetwarzanie jest zgodne z prawem.
Po pierwsze, musimy zidentyfikować jakiś interes: uzasadniony interes administratora czy strony trzeciej.
Po drugie, przetwarzanie danych musi być niezbędne do realizacji tego celu, co oznacza, że bez przetwarzania tych danych osobowych nie dałoby się tego uzasadnionego interesu osiągnąć.
Po trzecie, najważniejsze: administrator musi wykonać test równowagi. Można sobie wyobrazić, że faktycznie musi na jednej szali położyć swoje uzasadnione interesy, a na drugiej szali wagi kładzie dotyczące ochrony danych osobowych interesy, prawa i wolności osoby fizycznej. W zależności od wyniku testu, administrator lub strona trzecia będzie mogła, lub nie, powołać się na Prawnie Uzasadniony Interes. Jeśli interesy, prawa i wolności osoby fizycznej mają większą wagę niż interesy administratora, wówczas nie będzie on mógł przetwarzać danych osobowych powołując się na Prawnie Uzasadniony Interes (art. 6. ust. 1 lit. f RODO). Natomiast, jeżeli okaże się, że interesy administratora czy strony trzeciej mają większą wagę (są bardziej zasadne) i ta osoba fizyczna nie ucierpi na tym, że będą przetwarzane jej dane osobowe, wówczas można się na tę podstawę przetwarzania powołać.
Jak w praktyce dokonać takiej oceny interesów? Niestety nie mamy w przepisach żadnych jasnych wytycznych, ale administrator powinien tego dokonać w każdym indywidualnym przypadku, gdy chce się powołać na Prawnie Uzasadniony Interes w przetwarzaniu danych osobowych, z uwagi na zasadę rozliczalności w RODO. Administrator musi być w stanie wykazać, że taką analizę przeprowadził. W praktyce można skorzystać ze wskazówek brytyjskiego organu nadzorczego, który wydał przystępne wytyczne. Nie są one oczywiście wiążące, ale z uwagi na brak lepszych wzorców warto sięgnąć do tych wskazówek.
Co może być uzasadnionym interesem?
Co w praktyce może być Prawnie Uzasadnionym Interesem administratora, pozwalającym na przetwarzanie danych osobowych? Nie mamy w przepisach zamkniętego katalogu możliwych interesów, natomiast w motywach RODO (czyli w części niewiążącej w sensie prawnym, natomiast dającej wskazówki dot. interpretacji tych przepisów), mamy kilka przykładów.
Po pierwsze, został wskazany marketing bezpośredni. Tylko małe zastrzeżenie: musimy pamiętać, że mamy też inne przepisy, niż RODO, a mianowicie Prawo Telekomunikacyjne, czy Ustawa o świadczeniu usług drogą elektroniczną, która przewiduje dodatkowe warunki możliwości prowadzenia działań marketingowych, na przykład konieczność uzyskania zgody na przesyłanie informacji handlowej, czy na wykonywanie połączeń telefonicznych w celu marketingu bezpośredniego.
Innym przykładem podanym w motywach RODO jest przekazywanie danych w ramach grupy przedsiębiorstw dla wewnętrznych celów administracyjnych. O co chodzi? Otóż możemy sobie wyobrazić jakąś grupę kapitałową, w której prowadzona jest wspólna polityka wynagrodzeń wobec pracowników. W związku z tym zasadne i usprawiedliwione jest, żeby spółki wymieniały się informacjami o pracownikach i o stanowiskach, jakie oni pełnią, aby ustalać tę politykę wynagrodzeń. W takiej sytuacji nie wydaje się, aby interesy pracowników były zagrożone, czy aby stały wyżej niż te interesy spółek, w związku z czym może to być uznane za prawnie uzasadniony interes administratora w przetwarzaniu danych osobowych.
W motywach RODO jako przykład znajdziemy jeszcze zapobieganie oszustwom czy zapewnienie bezpieczeństwa sieci, bezpieczeństwa informacji. Poprzedzająca RODO polska ustawa o ochronie danych osobowych jako „prawnie usprawiedliwione cele administratora” wskazywała również możliwość dochodzenia roszczeń w związku z prowadzoną działalnością gospodarczą. Przykład ten pozostaje aktualny. Trudno sobie wyobrazić, żebyśmy musieli prosić o zgodę dłużnika na to, aby przetwarzać jego dane osobowe w celu wniesienia powództwa do sądu, w sytuacji, gdy dłużnik nie zapłacił nam należnego wynagrodzenia – tutaj oczywiste jest, że osoba, która wykonała jakąś usługę, ma ważny i Prawnie Uzasadniony Interes w tym, aby dochodzić swojego roszczenia i interes dłużnika na pewno nie będzie stał wyżej, niż interesy wierzyciela.
Możliwość wniesienia sprzeciwu
Podmiot danych ma zawsze możliwość wniesienia sprzeciwu wobec przetwarzania danych osobowych, kiedy administrator powołuje się na właśnie tę podstawę przetwarzania danych. Tam, gdzie Prawnie Uzasadnionym Interesem jest marketing bezpośredni, administrator zawsze musi uwzględnić ten przepis i nie może dalej przetwarzać danych osobowych w tym celu po otrzymaniu sprzeciwu.
Natomiast w innych przypadkach administrator może odmówić uwzględnienia sprzeciwu. Podmiot danych powinien wskazać swoją szczególną sytuację, ze względu na którą wnosi sprzeciw, ale administrator nadal może stwierdzić, że jego interesy jednak stoją wyżej w hierarchii, niż te prawa, wolności i interesy osoby fizycznej, na które powołuje się podmiot danych, i może odmówić uwzględnienia sprzeciwu. Oczywiście podmiot danych zawsze może się z tym nie zgodzić i wnieść skargę do organu nadzorczego.
Trzeba wziąć pod uwagę, że musi istnieć tak naprawdę jakaś swoboda dla administratorów, aby mogli przetwarzać dane osobowe wtedy, kiedy „ma to sens”. Ale to nie jest „dzika karta”, która pozwala administratorom usprawiedliwiać dowolne procesy przetwarzania danych, ponieważ administrator ma prawny obowiązek ważyć zawsze interesy swoje i podmiotu danych. Musi stosować poza tym wszelkie zasady ochrony danych osobowych i dbać o te dane, jeżeli je dalej przetwarza.
Mam nadzieję, że przybliżyłam wam to enigmatyczne pojęcie, jakim jest Prawnie Uzasadniony Interes. W następnych materiałach poruszymy temat tego, jak Uzasadniony Interes ma się do tematu Cookiesów. Do usłyszenia/przeczytania w następnym ICD Express!
Źródła, materiały
Wytyczne ICO dotyczące testu równowagi: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/
Ustawa Prawo Telekomunikacyjne: https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20041711800/U/D20041800Lj.pdf
Ustawa o świadczeniu usług drogą elektroniczną - https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20021441204