„Test równowagi” – kto i kiedy zobowiązany jest do jego przeprowadzenia?

Przeprowadzenie testu równowagi jest jednym z wielu obowiązków, które RODO nakłada na administratora danych osobowych. Konieczność jego przeprowadzenia aktualizuje się w momencie, gdy administrator zamierza przetwarzać dane osobowe w oparciu o przesłankę niezbędności przetwarzania do celów wynikających z prawnie uzasadnionych interesów administratora. W swojej praktyce obserwujemy jednak, iż pomimo masowego stosowania art. 6 ust. 1 lit. f RODO, jako podstawy prawnej przetwarzania – administratorzy często zapominają o przeprowadzeniu ww. testu lub co częstsze – o jego prawidłowym udokumentowaniu.

Zawartość artykułu

Czym jest test równowagi?

To nic innego jak proces oceny, w ramach którego administrator dokonuje analizy, czy wobec jego prawnie uzasadnionych interesów nadrzędnego charakteru nie mają interesy lub podstawowe prawa i wolności osób, których dane dotyczą. Jest to więc niejako zestawienie ze sobą interesów administratora oraz interesów i praw podmiotów danych.

Wprowadzenie tego obowiązku ma na celu z jednej strony zachowanie rozsądku i dostrzeżenie, że w niektórych sytuacjach inne podstawy prawne wskazane w RODO mogą być nieadekwatne (np. ze względu na sztywne ograniczenia podmiotowe), a z drugiej – wprowadzenie pewnych ograniczeń, chroniących podmioty danych przed nadużyciami w tym zakresie.

Przeprowadzenie zatem testu równowagi jest niezbędne administratorowi do oceny czy w ogóle w danej sytuacji posiada przesłankę do przetwarzania danych osobowych, czy raczej powinien zmodyfikować sposób planowanej realizacji przedsięwzięcia.

Z tego względu test równowagi oczywiście powinien zostać przeprowadzony przed rozpoczęciem przetwarzania danych osobowych na tej podstawie.

Co należy uwzględnić przeprowadzając test równowagi?

Zgodnie z opinią Grupy roboczej art. 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora (wydanej na starym stanie prawnym) oraz przesłankami wynikającymi z art. 6 ust. 1 lit. f RODO – administrator powinien dokonać oceny następujących elementów związanych z przetwarzaniem:

  • czy cele przetwarzania wynikają z jego faktycznie istniejących prawnie uzasadnionych interesów?
  • czy przetwarzanie danych jest rzeczywiście niezbędne do realizacji ww. celów oraz
  • czy interesy lub podstawowe prawa i wolności osób, których dane dotyczą nie mają charakteru nadrzędnego w stosunku do ww. interesów administratora?

Przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO możliwe jest jedynie wówczas, gdy spełnione są dwie powyżej wskazane przesłanki pozytywne oraz nie zachodzi przesłanka negatywna. Tj. jedynie wówczas, gdy interesy administratora mają charakter równy, nadrzędny bądź zbieżny z interesami i prawami podmiotów danych.

Nie da się jednak ukryć, iż wynik ww. oceny może być uzależniony od kwalifikacji, doświadczenia i zrozumienia tematu przez osobę ją przeprowadzającą.

Czym jest „prawnie uzasadniony interes administratora”?

Prawnie uzasadniony interes administratora może być interesem różnego rodzaju. Przyjmuje się, iż nie powinno się go interpretować, jako interesu prawnego, gdyż jest on pojęciem szerszym. Interes administratora może mieć zatem charakter zarówno prawny, jak i ekonomiczny, czy gospodarczy. Nie musi być to interes wysokiej wagi, chodź z pewnością jego istotność może mieć wpływ na wynik prowadzonego testu równowagi. Jak przyjmuje się w doktrynie interes taki powinien być również zgodny z działalnością prowadzoną przez administratora danych.

Najważniejszą kwestią jest fakt, iż interes, na który powołuje się administrator musi być zgodny z prawem. Nie musi on wynikać z konkretnego przepisu prawa, gdyż wówczas administrator powinien skorzystać z innych podstaw przetwarzania, jednak musi być on po prostu legalny. Dodatkowo wskazuje się, iż interes, aby był uzasadniony nie może być sprzeczny z dobrymi obyczajami, czy też zasadami współżycia społecznego.

Co więcej interes administratora musi być faktyczny, rzeczywisty oraz sprecyzowany.  

Jak to wygląda w praktyce?

W sieci dostępnych jest wiele formularzy dla testu równowagi (m. in. kwestionariusz przygotowany i udostępniony przez ICO), a także aplikacji wspomagających administratora w tym zakresie. Niektóre mają formę checklisty, niektóre formę opisową. Niezależnie jednak od wybranej formy, najważniejszym jest to, aby podczas przeprowadzanej analizy administrator odpowiedział sobie co najmniej na następujące pytania:

  • czy rzeczywiście posiadam interes związany z przetwarzaniem danych kategorii danych osobowych?
  • Czy mój interes jest uzasadniony oraz sprecyzowany?
  • Jakie są moje cele, w ramach których planuję przetwarzać dane osobowe?
  • Czy rzeczywiście przetwarzanie danych osobowych w określonym zakresie jest niezbędne do osiągnięcia ww. celów?
  • Czy są inne (mniej inwazyjne) podstawy prawne, na których można by oprzeć przetwarzanie?
  • Jaki jest charakter danych?
    • Czy są to dane zwykłe, dane szczególnych kategorii czy też dane dotyczące dzieci?
  • Czy jestem podmiotem publicznym?
  • Jaki jest sposób przetwarzania danych osobowych w organizacji administratora oraz jakie środki techniczne i organizacyjne zapewniono celem zabezpieczenia danych?
  • Jakich kategorii danych osobowych dotyczy przetwarzanie?
    • Np. prywatne vs. służbowe dane kontaktowe
  • Czy przetwarzanie może naruszać prawa lub interesy podmiotów danych?
    • Jaka jest relacja pomiędzy administratorem a podmiotem danych? Czy podmiot danych może spodziewać się takiego przetwarzania? Od kogo dane osobowe pochodzą? Co mogłoby się stać i jakie interesy mogłyby zostać naruszone w przypadku incydentu bezpieczeństwa?
  • Czy została zapewniona transparentność takiego przetwarzania, tj. czy osoby, których dane dotyczą zostały o tym fakcie odpowiednio poinformowane (lub czy został ustalony sposób, w jaki to informowanie będzie przebiegało)?

Ważnym jest również to, aby do testu równowagi podejść z „otwartą głową” i nie dostosowywać odpowiedzi pod z góry ustaloną tezę. Celem testu jest ocena legalności naszego przetwarzania oraz ochrona danych osobowych. Zamiast zatem „naciągać” odpowiedzi, należy wprowadzić odpowiednie modyfikacje do planowanych aspektów przetwarzania, które rzeczywiście zapewnią zgodność organizacji z RODO. Często to właśnie szczegóły techniczne i organizacyjne mogą decydować o ewentualnej przewadze jednego interesu nad drugim.

I to o czym nie należy zapominać, to dokumentowanie! Niezależnie od wybranej formy przeprowadzania testu, analiza taka powinna zostać odpowiednio udokumentowana, zgodnie z zasadą rozliczalności. Jest to istotne dla administratora na wypadek ewentualnej kontroli.

Przykłady uzasadnionych interesów administratora

Przykładami przetwarzania, które oparte są na przesłance uzasadnionego interesu mogą być m. in.:

  1. przetwarzanie danych na potrzeby monitoringu,
  2. przetwarzanie danych w celach marketingowych (z zachowaniem innych wymogów prawnych w tym zakresie),
  3. przetwarzanie danych osób kontaktowych i reprezentujących po stronie kontrahentów,
  4. przesyłanie danych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych,
  5. czy też obrona przed roszczeniami.

Jak zatem widać, są to bardzo popularne cele przetwarzania, spotykane praktycznie w każdej organizacji.

Podsumowanie

  1. test równowagi jest analizą mającą na celu ocenę, czy administrator może przetwarzać dane na podstawie swoich prawnie uzasadnionych interesów,
  2. powinien on zostać przeprowadzony każdorazowo, w sytuacji gdy planowane przetwarzanie danych ma być oparte na podstawie art. 6 ust. 1 lit. f RODO,
  3. przeprowadzona analiza, zgodnie z zasadą rozliczalności, powinna zostać odpowiednio udokumentowana,
  4. w przypadku, gdy interesy i prawa podmiotów danych mają charakter nadrzędny w stosunku do interesów administratora – nie jest on uprawniony do przetwarzania danych na tej podstawie.

W przypadku, gdybyście potrzebowali Państwo wsparcia w przygotowaniu testu równowagi – nasz zespół ekspertów pozostaje do Państwa dyspozycji.

Autor: Angelika Zupka (Adwokat)