Uzasadniony interes administratora jako przesłanka przetwarzania danych osobowych
Zastanawiasz się w jakich przypadkach możesz przetwarzać dane osobowe osób, z którymi nie łączy cię żadna umowa? Nie wiesz, jak należy rozumieć pojęcie prawnie uzasadnionych celów?
A może szukasz informacji na temat odmienności w przetwarzaniu danych osobowych w oparciu o przesłankę uzasadnionych interesów względem zasad ogólnych? W artykule znajdziesz informacje na temat:
- kiedy występuje prawnie uzasadniony interes administratora,
- jakie dodatkowe warunki należy spełnić aby przetwarzać dane osobowe na tej podstawie,
- co to jest test równowagi i jak należy go przeprowadzić,
- kiedy osobie, której dane dotyczą przysługuje prawo sprzeciwu,
- w jaki sposób należy rozpatrzyć sprzeciw i jakie są konsekwencje jego wniesienia.
Dodatkowa przesłanka przetwarzania danych osobowych
Jak zapewne wiesz, jedną z podstawowych zasad wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zasada legalizmu. Oznacza ona m.in., że przetwarzanie danych osobowych możliwe jest tylko wtedy, gdy administrator danych dysponuje podstawą prawną ich przetwarzania.
Zazwyczaj przetwarzanie opiera się bądź na zgodzie osoby, której dane dotyczą, bądź na fakcie wykonywania zawartej z nią umowy. RODO dopuszcza również możliwość ich przetwarzania, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych lub przez stronę trzecią, bez zgody osoby której dane dotyczą.
Pamiętaj, że powołując się na tą podstawę przetwarzania danych osobowych, musisz wskazać ją w informacji udostępnianej osobom, których dane dotyczą. Wskazanie to powinno przy tym zawierać informacje o rodzaju realizowanego przez ciebie interesu, o czym niżej.
Na marginesie należy wskazać, że podstawa ta nie znajduje zastosowania do przetwarzania danych osobowych dzieci.
Prawnie uzasadniony interes administratora
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należały w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Innymi słowy, z całokształtu okoliczności danego przypadku można wywnioskować, że dane osobowe konkretnej osoby, bądź grupy osób mogą być przetwarzane na określone cele leżące w interesie administratora danych. Powyższe najlepiej zobrazować kilkoma przykładami przetwarzania danych osobowych w oparciu o ww. interes. Będzie to miało miejsce, w przypadku wykorzystywania danych na cele:
- marketingu bezpośredniego lub innych działań promocyjnych i reklamowych, należy jednakże pamiętać, że sama możliwość przetwarzania danych osobowych na te cele, nie zwalnia ciebie z obowiązku uzyskania zgód wynikających z przepisów odrębnych (chodzi o zgodę na przesyłanie informacji handlowych środkami komunikacji elektronicznej oraz o zgodę na wykorzystywanie numeru telefonu na cele marketingowe – te zgody musisz uzyskać odrębnie, niezależnie od przepisów o ochronie danych osobowych),
- dochodzenia roszczeń oraz obrony przed roszczeniami, przesłanka ta nabiera szczególnego znaczenia, gdy wygaśnie umowa łącząca administratora z osobą, której dane przetwarza, to prowadzi bowiem do wygaśnięcia tej podstawy prawnej przetwarzania danych, dalsze ich przechowywanie może zostać oparte właśnie na tej przesłance,
- zapewnienia bezpieczeństwa mienia administratora danych oraz jego zasobów, w tym informatycznych (np. poprzez monitoring wizyjny, zbieranie danych osób korzystających z określonych zasobów, zapewnienie ochrony fizycznej mienia, itp.),
- korzystania z wolności wypowiedzi, o ile ujawnienie danych osobowych osoby trzeciej jest dla danej wypowiedzi konieczne,
- zamieszczenia danych osobowych pracowników i współpracowników na stronie internetowej lub w materiałach promocyjnych. Pamiętaj jednakże, iż niezależnie od powyższego musisz uzyskać zgodę na wykorzystanie wizerunku danej osoby,
- przekazywania danych osobowych pracowników i współpracowników podmiotom wewnątrz grupy kapitałowej.
Istnienie uzasadnionego interesu w przetwarzaniu określonych danych osobowych nie jest jednakże jedynym warunkiem umożliwiającym tobie powołanie się na tą podstawę przetwarzania danych osobowych. Dodatkowo powinieneś:
- wykazać niezbędność przetwarzania danych osobowych na dany cel,
- nadrzędność twojego celu przetwarzania nad ochroną praw i wolności osób, których dane przetwarzasz.
Niezbędność przetwarzania
Zgodnie z zasadą minimalizacji danych, możesz przetwarzać jedynie te kategorie danych osobowych, które są konieczne do osiągnięcia celu ich przetwarzania. Nie możesz zatem gromadzić dodatkowych danych osobowych, zbędnych dla tego celu.
Przykładowo, jeżeli zamierzasz przetwarzać dane osobowe w celu telefonicznego marketingu bezpośredniego, to przetwarzanie pełnego adresu zamieszkania danej osoby, bądź informacji o imionach jej rodziców nie znajduje uzasadnienia w tym celu. Dane te są bowiem zbędne do telefonicznego przedstawienia oferty.
Test równowagi
Korzystanie z omawianej przesłanki przetwarzania danych osobowych wymaga przeprowadzenia dodatkowej analizy. Wynika to z faktu, że powołanie się na nią nie jest możliwe w sytuacjach, w których nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Powinieneś zatem rozważyć, czy realizacja założonego przez ciebie celu przetwarzania nie wpłynie negatywnie na osoby, których dane dotyczą. A jeżeli miałaby taki wpływ, to czy twój interes można uznać za istotniejszy. Warto prześledzić to na kilku przykładach:
- przetwarzanie danych osobowych dłużnika w celu dochodzenia od niego roszczeń może wywoływać dla niego negatywne skutki, jednakże będąc wierzycielem możesz podejmować określone działania celem odzyskania należności,
- wykorzystywanie numeru telefonu lub adresu e-mail do częstego przekazywania ofert może naruszać prywatność adresata, a nawet przybrać formę nękania. W takich przypadkach interes osoby, której dane dotyczą będzie przeważał nad twoim.
Prawo sprzeciwu
W każdym przypadku, w którym podstawę prawną przetwarzania danych stanowi uzasadniony interes realizowany przez administratora, osoba której dane są wykorzystywane, może wnieść sprzeciw. Niemniej, należy rozróżnić dwie sytuacje:
- gdy przetwarzasz dane osobowe w celu marketingu bezpośredniego – sprzeciw nie wymaga żadnego uzasadnienia i jest dla ciebie wiążący. Oznacza to, że z chwilą jego otrzymania powinieneś zaprzestać przetwarzania danych osobowych na ten cel,
- gdy realizujesz inny uzasadniony interes, niż marketing bezpośredni – w takim przypadku sprzeciw powinien być umotywowany szczególną sytuacją osoby go wnoszącej.
W tym drugim przypadku powinieneś rozpatrzyć sprzeciw oraz ocenić, czy owa szczególna sytuacja osoby, której dane dotyczą sprawia, że jej interes jest ważniejszy od realizowanego przez ciebie. Tu też możemy posłużyć się kilkoma przykładami:
- twój dłużnik wnosi sprzeciw względem przetwarzania jego danych osobowych w celu dochodzenia roszczeń, jako powód sprzeciwu podaje, że wysyłane przez ciebie wezwania do zapłaty naruszają jego prywatność i godność, bowiem o jego zadłużeniu dowiedziała się jego najbliższa rodzina – osoba zalegająca z płatnością powinna się liczyć z tym, że wierzyciel będzie domagał się zwrotu jego należności. O ile zatem działania wierzyciela będą pozostawały w granicach prawa, to sprzeciw dłużnika względem przetwarzania jego danych osobowych nie musi zostać uwzględniony,
- osoba, które dane osobowe przetwarzasz na potrzeby kontaktów biznesowych zaprzestała prowadzenia działalności gospodarczej ze względu na jej stan zdrowia, telefony od twoich pracowników zaburzają jej proces leczenia i rehabilitacji – w takim przypadku należałoby uznać, że sprzeciw oparty jest na szczególnej sytuacji osoby go wnoszącej. Powinieneś zatem zaprzestać dalszego przetwarzania jej danych osobowych.
Na zakończenie należy zwrócić uwagę na sposób postępowania po rozpatrzeniu sprzeciwu. Inaczej niż było to przed wejście w życie RODO, w przypadku uznania przez ciebie sprzeciwu za nieuzasadniony, informujesz o tym osobę, która go wniosła. Nie przesyłasz zatem sprzeciwu do Prezesa Urzędu Ochrony Danych Osobowych. To osoba, której dane dotyczą, po otrzymaniu odpowiedzi na swój sprzeciw będzie uprawniona do wniesienia skargi na przetwarzanie danych osobowych przez ciebie. Wskazany organ po rozpatrzeniu skargi albo uzna ją za niezasadną, albo nakaże tobie zaprzestanie przetwarzania danych osobowych skarżącego.