Na podstawie RODO możliwe jest przetwarzanie danych osobowych, jeśli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Dopuszczone jest więc korzystanie z danych osobowych, jeśli jest to uzasadnione obiektywną korzyścią jaką może to przynieść administratorowi lub osobie trzeciej. Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu jest przy tym tak samo legalne, jak np. przetwarzanie w oparciu o zgodę osoby, lub inną podstawę prawną.
Prawnie uzasadnione interesy administratora lub osób trzecich mogą być różnorodne. Nie wskazując ich zamkniętego katalogu, RODO wymienia tutaj m.in. przeciwdziałanie oszustwom i nadużyciom, zapewnienie bezpieczeństwa sieci i informacji, marketing bezpośredni oraz przekazywanie danych między spółkami z grupy kapitałowej w celach administracyjnych. W praktyce wiele innych operacji również będzie przynosić administratorowi wymierną korzyść, wobec tego będą one mogły być również uznane za usprawiedliwione. Chodzi przykładowo o takie działania jak: prowadzenie analityki korzystania z serwisu internetowego, przetwarzanie danych pracowników w celu organizacji wyjazdów służbowych lub szkoleń, udostępnianie przez agencję rekrutacyjną przesłanych aplikacji potencjalnym pracodawcom, przetwarzanie danych pracowników kontrahenta w celach kontaktowych, czy śledzenie floty samochodów z wykorzystaniem technologii GPS.
Należy jednak pamiętać, że samo odnoszenie korzyści z operacji przetwarzania przez administratora lub osobę trzecią nie stanowi jeszcze o jej dopuszczalności. Zgodnie z art. 6 ust. 1 pkt. f) RODO podstawa ta nie będzie mogła być zastosowana, jeśli nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą, a w szczególności dzieci.
Trzystopniowy test
Na podstawie RODO można zatem mówić o trzech konstruktywnych elementach prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych. Te trzy elementy muszą zostać uwzględnione przez administratora w formie tzw. testu trzystopniowego, w celu oceny, czy podstawa uzasadnionego interesu może być w danym przypadku zastosowana.
Po pierwsze, administrator musi jasno określić i zidentyfikować cel przetwarzania i interes jaki ma być realizowany („test celowości”). Przetwarzanie musi przynosić realną korzyść administratorowi, osobie trzeciej lub szerszej społeczności. Sam interes musi być rzeczywisty, nie może być sformułowany ogólnikowy, a także musi być zgodny z prawem i normami etycznymi (co wyklucza uznanie, że wysyłanie spamu może być realizowane w uzasadnionym interesie).
Po drugie, przetwarzanie musi być niezbędne dla osiągnięcia tego interesu („test niezbędności”). Oznacza to, że jeśli istnieje realna (tj. niewiążąca się z niewspółmiernie większym wysiłkiem lub kosztami) alternatywa wobec planowanego procesu, mniej ingerująca w prywatność i prawa osób fizycznych, proces ten nie jest niezbędny oraz nie może być oparty na prawnie uzasadnianym interesie.
Po trzecie, administrator musi zważyć własne interesy z interesami oraz osób, których dane mają być przetwarzane („test balansujący”). Konieczne jest przeanalizowanie w sposób obiektywny, czy planowany proces może np. prowadzić do ograniczenia ich prywatności, utrudniać wykonywanie przez nich swoich praw, doprowadzić do utraty przez nich kontroli nad danymi, lub też grozić powstaniem jakichkolwiek strat moralnych lub finansowych po ich stronie. Te interesy administrator musi zważyć względem innych interesów, odpowiadając przykładowo na pytania, jakie skutki będzie miało zaniechanie operacji przetwarzania, czy przetwarzanie służy także interesowi społecznemu lub osobom, których dotyczy itd.
Test trzystopniowy należy rozpatrywać także w kontekście wynikającej z RODO zasady rozliczalności, która wiąże się z koniecznością wykazania przez administratora przestrzegania obowiązków w zakresie ochrony danych osobowych. Tym samym administrator powinien również dokumentować przeprowadzenie trzystopniowego testu w odniesieniu do każdej operacji, która ma zostać oparta na podstawie prawnie uzasadnionego interesu. Dokument zawierający wynik przeprowadzonej analizy może być jedynym sposobem wykazania w razie ewentualnej kontroli, że wybierając tę podstawę przetwarzania, administrator dokonał oceny zasadności tego wyboru oraz uwzględniło prawa i interesy osób, których dane mają być przetwarzane.
Kiedy stosować prawnie uzasadniony interes
Ze względu na swoją elastyczność i możliwość zastosowania do różnorodnych operacji przetwarzania, podstawa prawnie uzasadnionego interesu może okazać się bardzo przydatnym rozwiązaniem dla administratorów. Na tej podstawie mogą być realizowane rutynowe procesy w ramach organizacji związane z przetwarzaniem danych, które nie mogą być oparte na innych podstawach. Z drugiej strony, jeśli istnieje możliwość oparcia przetwarzania na innej podstawie (np. w związku z koniecznością realizacji umowy), prawnie uzasadniony interes nie powinien być wykorzystywany.
Przetwarzanie takie nie powinno również nadmiernie ingerować w prywatność osób fizycznych lub wiązać się ze znacznym ryzykiem wyrządzenia im szkody. W każdym razie, co do zasady, operacje dokonywane w ramach prawnie uzasadnionego interesu należy zasadniczo ograniczyć tylko do tych, których osoby mogą lub powinny się spodziewać, na przykład ze względu na istniejącą relację z administratorem. Tym samym prawnie uzasadniony interes nie powinien być domyślną podstawą przetwarzania, którą stosuje się do większości operacji, ze względu na pozorna łatwość jej zastosowania. Podstawa ta nie będzie mogła być wykorzystywana w każdym przypadku.
Jednocześnie jej wybór wiąże się z dodatkowymi obowiązkami. Oprócz konieczności przeprowadzenia i udokumentowania wyników testu trzystopniowego, administrator powinien poinformować osoby, których dane dotyczą o tym jakie uzasadnione interesy są realizowane oraz powinien umożliwić im wyrażenie sprzeciwu wobec operacji opartych na tej podstawie.
Artur Piechocki, radca prawny i Daniel Siciński LLM, aplikant radcowski w Kancelarii APLaw Artur Piechocki