15 wrz

„Zrób sobie test równowagi”

Muszę podzielić się moją konsternacją, związaną z sięganiem po przesłankę prawnie uzasadnionego interesu administratora, jako podstawy przetwarzania danych osobowych. Od pewnego czasu coraz częściej słyszę, że jeśli administrator chce zbierać dane, ale brakuje mu przesłanki legalizującej, może to zrobić w oparciu o swój prawny interes i że wystarczy „dorobić test równowagi”. Widzę, że takie stanowisko pojawia się też na forach internetowych. Często przy okazji dyskusji o uzyskiwaniu zgody na przetwarzanie. Po co brać niewygodną i nielubianą zgodę, skoro można skorzystać z prawnie uzasadnionego interesu? Logiczne, prawda?

Zastanawiam się skąd wzięło się przekonanie, że jest to podstawa przetwrzania, po którą łatwo sięgnąć i właściwie do skorzystania z niej, wystarczy „uzasadnienie” w postaci testu równowagi?

Wiem, że jeśli pracuje się w branży, brakuje czasu na wszystko. Sama ciągle, ledwo wyrabiam na zakrętach, a urlop jest mglistym wspomnieniem z zeszłego roku. Jednak wydaje mi się, że skupiając się na pracy i problemach u administratorów, nie potrafimy wygospodarować sobie czasu na czytanie literatury branżowej, czy chociaży opinii i wytycznych EROD. Zresztą wielu moich znajomych mówi wprost, że te wytyczne są zbyt obszerne, a oni nie mają na to czasu. I rozumiem to doskonale, bo ja też go nie mam i skłamałabym mówić, że czytam je od deski do deski. Jednak mam zasadę, że jeśli coś robię (np. test równowagi, ocenę skutków, analizę ryzyka, itp.), to najpierw poświęcam chwilę, żeby sprawdzić, czy „coś się zmieniło w podejściu”, a także wytyczne, jak to zrobić. Mimo, że robiłam to wiele razy. I hej, bardzo często okazuje się, że koleżanki i koledzy z branży napisali coś pomocnego, co ułatwia mi pracę lub pomaga lepiej zrozumieć dane działanie (tak, jak też cały czas się uczę, czasami tych samych rzeczy na nowo). Wytyczne EROD uwielbiam, bo jest tam bardzo dużo przykładów, a także dlatego, że rada lubi stawiać sobie pytania. Dokładnie takie, jak my sobie stawiamy (zapewne wynika to z konsultacji treści opinii). W związku z tym znajduję nie tylko odpowiedź, ale też uzasadnienie odpowiedzi na moje pytania.

Dobra, ale do brzegu. Nie lubię zgody na przetwarzanie danych. Jednak nie zastępuję jej z automatu prawnie uzasadninym interesem. Zresztą w Opinii dawnej GR 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7, wprost wskazano, że art. 6 uat. 1 lit. f RODO „nie należy traktować jako ostateczności na wypadek rzadkich lub nieoczekiwanych sytuacji, kiedy to uznaje się, że inne podstawy legalnego przetwarzania danych nie mają zastosowania. Nie należy jednak wybierać tego przepisu automatycznie ani nadmiernie rozszerzać jego stosowania w przekonaniu, że jest on mniej ograniczający niż inne podstawy” (s.3). Test równowagi służy ocenie, czy prawnie uzasadnione interesy ADO są aktualne, uzasadnione i przeważają prawa i wolności osób. Zatem test powinien być zrealizowany przed przetwarzaniem w oparicu o prawny interes ADO, a nie jako uzasadnienie do tego działania. Zresztą w dalszej części opinii wskazano, że art. 6 ust. 1 lit. f RODO „jest czasem błędnie postrzegany jako „otwarta furtka” legitymizująca wszelkie przetwarzanie danych, do którego nie ma zastosowania którakolwiek inna podstawa prawna” (s. 6). I mam wrażenie, że właśnie z takim podejściem spotykam się coraz częściej.

Z tym testem równowagi wcale nie jest tak łatwo. Wielokrotnie miałam tak, że test „nie wyszedł”. Zdarzało mi się, że nawet przed przystąpieniem do niego, wiedziałam że nie wyjdzie i mówiłam o tym administratorowi. Są sytuacje, gdy zastosowanie musi mieć inna przesłanka legalizująca lub przetwarzanie po prostu nie może być zrealizowane zgodnie z RODO. Nie da się w tym przypadku dorobić testu równowagi – takie przetwarzanie mimo wszystko będzie niezgodne z przepisami, a przesłanka legalizująca wadliwa. Często też zapomina się o tym, że nie można zastosować tej przesłanki, jako podstawy przetwarzania danych dzieci. Jest to ciekawe w kontekście tego, że właśnie takie rozwiązanie stosuje wielu organizatorów konkursów, skierowanych do dzieci. Opierają przetwarzanie ich danych na swoim prawnie uzasadnionym interesie, (czasami) prosząc jedynie rodziców lub opiekunów o zgodę na udział dziecka w konkursie.

Ja rozważając kwestię skorzystania z tej przesłanki, skupiam się w dużym stopniu na tym, jakie prawa będą przysługiwać osobie, której dane dotyczą. W szczególności, nie wyobrażam sobie prowadzić rejestru gości na podstawie zgody, którą ta osoba może odwołać w każdym momencie, jednocześnie wymagając usunięcia jej danych. Może też w ogóle jej nie wyrazić – co nie powinno stanowić powodu do niewpuszczenia jej do siedziby (gdyż wówczas zgoda nie byłaby dobrowolna). W takim wypadku rozsądne jest sięgnięcie po prawnie uzasadniony interes ADO, gdzie w teście równowagi, na jednej szali są interesy administratora (bezpieczeństwo, kontrola dostępu), a z drugiej prawa i wolności gości (możliwość wyrażnia sprzeciwu). Jest to bardzo istotna różnica, gdyż w tym wypadku gość może sprzeciwić się takiemu przetwarzaniu, ale uznanie sprzeciwu nie następuje automatycznie, jak w przypadku wycofania zgody. Sprzeciw musi być uzasadniony, gdzie o jego uzaniu będzie decydować to uzasadnienie (art. 21 ust. 1 RODO). W praktyce przetwarzanie oparte zgodę, może zostać przerwane w każdym momencie, ale to wynikające z prawnie uzasadnionych interesów, mimo sprzeciwu, może trwać dalej, jeżeli uzasadnienie sprzeciwu nie będzie przeważać o jego realizacji. Zresztą wynika to z samej konstrukcji tej przesłanki: interesy ADO są nadrzędne nad prawami osoby, której dane dotyczą. Przetwarzanie będzie realizowane tak długo, jak te interesy przeważają, czyli do momentu, gdy osoba której dane dotyczą nie wskaże na tyle negatywnych skutków oddziaływania tego przetwarzania, że przeważą jej prawa i wolności. To jest szczególna przesłanka, która stawia administratora w pozycji siły i jej „automatyczne” stosowanie, może nieść negatywne skutki dla osób, których dane dotyczą.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 15 września 2023