Muszę podzielić się moją konsternacją, związaną z sięganiem po przesłankę prawnie uzasadnionego interesu administratora, jako podstawy przetwarzania danych osobowych. Od pewnego czasu coraz częściej słyszę, że jeśli administrator chce zbierać dane, ale brakuje mu przesłanki legalizującej, może to zrobić w oparciu o swój prawny interes i że wystarczy „dorobić test równowagi”. Widzę, że takie stanowisko pojawia się też na forach internetowych. Często przy okazji dyskusji o uzyskiwaniu zgody na przetwarzanie. Po co brać niewygodną i nielubianą zgodę, skoro można skorzystać z prawnie uzasadnionego interesu? Logiczne, prawda?
Zastanawiam się skąd wzięło się przekonanie, że jest to podstawa przetwrzania, po którą łatwo sięgnąć i właściwie do skorzystania z niej, wystarczy „uzasadnienie” w postaci testu równowagi?
Wiem, że jeśli pracuje się w branży, brakuje czasu na wszystko. Sama ciągle, ledwo wyrabiam na zakrętach, a urlop jest mglistym wspomnieniem z zeszłego roku. Jednak wydaje mi się, że skupiając się na pracy i problemach u administratorów, nie potrafimy wygospodarować sobie czasu na czytanie literatury branżowej, czy chociaży opinii i wytycznych EROD. Zresztą wielu moich znajomych mówi wprost, że te wytyczne są zbyt obszerne, a oni nie mają na to czasu. I rozumiem to doskonale, bo ja też go nie mam i skłamałabym mówić, że czytam je od deski do deski. Jednak mam zasadę, że jeśli coś robię (np. test równowagi, ocenę skutków, analizę ryzyka, itp.), to najpierw poświęcam chwilę, żeby sprawdzić, czy „coś się zmieniło w podejściu”, a także wytyczne, jak to zrobić. Mimo, że robiłam to wiele razy. I hej, bardzo często okazuje się, że koleżanki i koledzy z branży napisali coś pomocnego, co ułatwia mi pracę lub pomaga lepiej zrozumieć dane działanie (tak, jak też cały czas się uczę, czasami tych samych rzeczy na nowo). Wytyczne EROD uwielbiam, bo jest tam bardzo dużo przykładów, a także dlatego, że rada lubi stawiać sobie pytania. Dokładnie takie, jak my sobie stawiamy (zapewne wynika to z konsultacji treści opinii). W związku z tym znajduję nie tylko odpowiedź, ale też uzasadnienie odpowiedzi na moje pytania.
Dobra, ale do brzegu. Nie lubię zgody na przetwarzanie danych. Jednak nie zastępuję jej z automatu prawnie uzasadninym interesem. Zresztą w Opinii dawnej GR 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7, wprost wskazano, że art. 6 uat. 1 lit. f RODO „nie należy traktować jako ostateczności na wypadek rzadkich lub nieoczekiwanych sytuacji, kiedy to uznaje się, że inne podstawy legalnego przetwarzania danych nie mają zastosowania. Nie należy jednak wybierać tego przepisu automatycznie ani nadmiernie rozszerzać jego stosowania w przekonaniu, że jest on mniej ograniczający niż inne podstawy” (s.3). Test równowagi służy ocenie, czy prawnie uzasadnione interesy ADO są aktualne, uzasadnione i przeważają prawa i wolności osób. Zatem test powinien być zrealizowany przed przetwarzaniem w oparicu o prawny interes ADO, a nie jako uzasadnienie do tego działania. Zresztą w dalszej części opinii wskazano, że art. 6 ust. 1 lit. f RODO „jest czasem błędnie postrzegany jako „otwarta furtka” legitymizująca wszelkie przetwarzanie danych, do którego nie ma zastosowania którakolwiek inna podstawa prawna” (s. 6). I mam wrażenie, że właśnie z takim podejściem spotykam się coraz częściej.
Read More →
