Zgodnie z treścią art. 6 ust. 1 lit. f RODO administrator danych osobowych może w określonych przypadkach przetwarzać dane na podstawie realizowania swojego. Podjęcie decyzji o zastosowaniu tej podstawy przetwarzania obliguje jednak każdego administratora do przeprowadzenia testu równowagi (ang. balance check). Zignorowanie tego obowiązku lub jego nieprawidłowe wykonanie mogą skutkować naruszeniem przepisów RODO, a w efekcie nałożenie kar administracyjnych na administratora.
Na czym polega balance check?
Obowiązek przeprowadzenia testu wynika z interpretacji przepisu art. 6 ust. 1 lit. f RODO, zgodnie z nim:
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Test równowagi polega zatem na porównaniu wagi interesu administratora realizowanego w związku z konkretną czynnością przetwarzania danych z interesami lub podstawowymi prawami i wolnościami podmiotu danych. W wyniku tego porównania administrator powinien zdecydować, który z powyższych interesów ma charakter nadrzędny oraz w jaki sposób poprzez przetwarzanie danych w oparciu o tę przesłankę może naruszyć prawa i wolności podmiotów danych. W przypadku, gdy ważniejsze okażą się interesy lub podstawowe prawa i wolności osoby fizycznej, administrator nie może oprzeć przetwarzania danych na przesłance wynikającej z art. 6 ust. 1 lit. f RODO.
Mówiąc o podstawowych prawach i wolnościach podmiotów danych, wydaje się, że w tym aspekcie powinno się poczynić odwołanie do praw przyznanych przez RODO, zasad przetwarzania danych, a także podstawowych praw gwarantowanych przez Unię Europejską (Karta praw podstawowych Unii Europejskiej) oraz do przepisów Konstytucji. Interesy oraz prawa i wolności osób, których dane dotyczą, powinny być ważone w odniesieniu do każdej czynności przetwarzania danych, którą administrator ma zamiar oprzeć na prawnie uzasadnionym interesie ADO.
Nadrzędność interesów
Wątpliwości dotyczące tego, czym jest „nadrzędność interesów” zostają nieco rozwiane treścią motywu 47 RODO, w którym wskazano, że interesy i prawa podstawowe osób, których dane dotyczą, mogą być nadrzędne wobec interesu administratora szczególnie w przypadkach, w których osoby te nie posiadają rozsądnych przesłanek, by spodziewać się przetwarzania w tym celu. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, może posiąść rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w interesie administratora.
Podsumowując, test równowagi ma decydujące znaczenie dla administratorów danych, ponieważ przesądza o możliwości zastosowania tej jednej z przesłanek z art. 6 ust. 1 RODO. Administratorzy są zobowiązani do przeprowadzenia go zanim rozpoczną czynności przetwarzania danych osobowych oparte na realizacji prawnie uzasadnionego interesu administratora danych, ponieważ test równowagi może zdyskwalifikować tę przesłankę.
W jakich celach przetwarzanie może być oparte o przesłankę prawnie uzasadnionego interesu?
Motyw 47 RODO wskazuje, że za działania wykonywane na podstawie prawnie realizowanego interesu administratora można uznać przykładowo przetwarzanie danych:
- w celu marketingowym lub
- przetwarzanie danych bezwzględnie niezbędne do zapobiegania oszustwom.
Katalog tych czynności jest szeroki, albowiem możemy do niego zaliczyć niemal każde działanie związane z zapewnianiem bezpieczeństwa danych, sieci oraz usług a także działania w ramach grupy przedsiębiorców, np. przesyłanie danych pracowników w celach administracyjnych. Konieczne jest jednak wykazanie w każdym przypadku, że przetwarzanie danych na potrzeby realizacji prawnie uzasadnionego interesu jest niezbędne, tj. że bez tego przetwarzania realizacja tego interesu administratora jest niemożliwa na podstawie innych przesłanek.
Dodatkowo należy wskazać, że w doktrynie prawa ochrony danych[1] zauważono, że termin „uzasadnione interesy” jest unijnym odpowiednikiem znanego już wcześniej na gruncie polskiej ustawy o ochronie danych osobowych pojęcia „usprawiedliwione cele”. Oznacza to, że stanowi klauzulę generalną, która może zostać oceniania przez organ nadzoru w sposób nie do końca sformalizowany oraz indywidualny, co szczególnie podkreśla istotność przeprowadzenia i udokumentowania testu równowagi, który może stanowić dla administratora danych ochronę w takiej sytuacji i zagwarantować spełnienie zasady rozliczalności.
Szczególną uwagę należy w tym aspekcie poświęcić danym dzieci. Dodatkowo możemy spotkać się z poglądem, że literalne brzmienie art. 6 ust. 1 lit. f RODO wskazuje, że dane dzieci w ogóle nie mogą zostać przetwarzane na podstawie tej przesłanki, albowiem ich interesy, prawa i wolności będą mieć zawsze nadrzędny charakter względem interesu administratora.
Możliwość przetwarzania danych osobowych na podstawie realizacji prawnie uzasadnionego interesu administratora danych pozwala wysnuć wniosek, że przesłanka ta może legalizować także udostępnienie danych innemu podmiotowi, jednak tylko w takiej sytuacji, gdy będzie się on również legitymował prawnie doniosłą podstawą przetwarzania udostępnianych danych.
Etapy testu równowagi
Przeprowadzając test równowagi, warto oprzeć go o ustandaryzowaną procedurę, zwłaszcza, jeśli w naszej organizacji dochodzi do przetwarzania w dużej ilości czynności przetwarzania opartych o realizację interesu administratora. Procedura ta może zostać opracowana wraz z wewnętrzną dokumentacją organizacji dotyczącą ochrony danych osobowych.
Proponowane etapy testu równowagi są następujące:
- zidentyfikowanie prawnie uzasadnionych interesów administratora, realizowanych przez niego w związku z przesłanką określoną w art. 6 ust. 1 lit. f RODO, interesy te muszą być zgodne z prawem, konkretne (na tyle by mogły zostać porównane z interesami podmiotów danych), rzeczywiste i aktualne;
- określenie interesów lub podstawowych praw i wolności podmiotów danych, które mogą zostać naruszone przetwarzaniem danych w oparciu o ww. przesłankę;
- zbadanie, czy przetwarzanie danych w związku z daną czynności jest niezbędne do realizacji prawnie uzasadnionego interesu administratora, jeśli nie jest, wynik testu równowagi będzie zawsze negatywny, albowiem interesy podmiotu danych będą w takiej sytuacji miały charakter nadrzędny;
- w przypadku pozytywnej odpowiedzi na powyższe pytanie, należy określić, czyj interes w danej sytuacji ma charakter nadrzędny, w tym celu należy zwrócić uwagę na takie czynniki jak: charakter danych osobowych, kategorie podmiotów danych, sposoby przetwarzania danych, środki bezpieczeństwa, istotność tego przetwarzania dla administratora, czy podmiot danych jest dzieckiem etc.;
- udokumentowanie przeprowadzenia testu oraz jego wyniku.
Ustandaryzowanie powyższego procesu jest o tyle istotne, że w przypadku jednolitej procedury jego wyniki w podobnych sytuacjach będą do siebie zbliżone. Rozbieżność wyników takiego testu, która zależałaby od czynników ludzkich, stanowiłaby niepożądaną sytuację, która poprzez brak konsekwencji w przeprowadzaniu testu mogłaby narazić administratora danych na negatywny wynik kontroli organu nadzoru.
[1] P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.
