Prawnie uzasadniony interes − Jak przetwarzać dane osobowe zgodnie z RODO na podstawie art. 6 ust. 1 lit. f

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 29 października 2019

29

Paź
2019

RODO wymienia sześć warunków zgodnego z prawem przetwarzania danych osobowych. Organizacja, aby przetwarzać dane osobowe w określonym celu powinna spełniać przynajmniej jeden z nich. Może to być np. zgoda osoby bądź realizowanie umowy zawartej z podmiotem danych czy też wymóg przepisów prawa lub posiadanie prawnie uzasadnionego interesu.

W przypadku zgody, sprawa jest całkiem prosta. Jeżeli tylko prawidłowo spełniliśmy obowiązek informacyjny (art. 13 RODO) oraz osoba, której dane dotyczą wyraziła zgodę na przetwarzanie (przez działanie lub oświadczenie spełniające warunki art. 7 RODO), to posiadamy podstawę do przetwarzania danych w celach wskazanych w klauzuli informacyjnej.

Podobnie jest w przypadku umowy. Poza powiadamianiem o szczegółach przetwarzania (art. 13 RODO) oraz ograniczeniem celu przetwarzania do czynności niezbędnych do zawarcia umowy i realizacji warunków z niej wynikających (art. 6 ust. 1 lit. c RODO) organizacja nie musi spełniać dodatkowych obowiązków, aby posiadać podstawę do przetwarzania danych osobowych. Trudności mogą pojawić się z chwilą, gdy organizacja planuje przetwarzać dane osobowe w celu realizacji własnego prawnie uzasadnionego interesu lub interesu strony trzeciej.

Znaczenie prawnie uzasadnionego interesu - interpretacja przepisów

Niestety polskie tłumaczenie przepisów RODO nie pomaga we właściwej interpretacji art. 6 ust. 1 lit. f. Prawnie uzasadniony interes – polski odpowiednik wyrażenia legitimate interest, może błędnie prowadzić osobę czytającą przepis do stwierdzenia, iż występowanie interesu musi znajdować swoje uzasadnienie w jakichś szczególnych przepisach prawa. To prowadziłoby do “powstania konkurencyjnej podstawy przetwarzania danych w stosunku do art. 6 ust. 1 lit. c lub e RODO” ¹. Rzeczywiście bywa tak w istocie, że ustawodawca przewidział konkretną możliwość (a nie obowiązek) przetwarzania danych, np. w Kodeksie pracy zawarto uprawnienie pracodawcy do monitorowania swoich pracowników.

Jednakże interes prawny nie powinien ograniczać się wyłącznie do uprawnień określonych w przepisach prawa. Powinien on stanowić rozsądne uzasadnienie działań administratora i być spójny z prowadzoną przez niego działalnością lub powinien wynikać ze szczególnej sytuacji, w której znalazł się administrator. Spośród celów opartych na prawnie uzasadnionych interesach wskazać można: (wspomniane już wcześniej) rejestrowanie danych w zakresie wizerunku dla celów bezpieczeństwa, obrona przed ewentualnymi roszczeniami, czy kontaktowanie się z klientem w celu podtrzymywania relacji biznesowych lub w celu oferowania nowych usług.

Niemniej jednak kluczowym warunkiem oparcia przetwarzania danych osobowych na prawnie uzasadnionym interesie administratora lub osoby trzeciej jest jego nadrzędność wobec legalnych interesów oraz praw lub wolności osób, których dane dotyczą.

W związku z powyższym, zgodnie ze wskazaniem motywu 47 RODO, organizacje powinny przeprowadzać ocenę istnienia prawnie uzasadnionego interesu, dla każdego celu przetwarzania, który miałby się opierać na tej przesłance.

Niestety w przepisach RODO nie zawarto wytycznych jak powinno się przeprowadzać tę ocenę. W motywie 47 napotkać można jedynie zapisy wskazujące, iż przy jej dokonywaniu należy wziąć pod uwagę występowanie relacji pomiędzy administratorem a podmiotem danych oraz zbadać, czy osoby, których dane dotyczą mogą się spodziewać przetwarzania ich danych.

Ocenę spełniania warunków istnienia prawnie uzasadnionego interesu przetwarzania danych osobowych brytyjski organ nadzorczy podzielił na III etapy (tłumaczenie własne):

  1. Etap I − ocena występowania prawnie uzasadnionego interesu
  2. Etap II − ocena niezbędności przetwarzania danych dla realizacji założonego celu
  3. Etap III − ocena występowania balansu interesów, tzw. test równowagi

Aktualizacja 4.11.2019 r.

Przykładowa ocena spełnienia warunków istnienia prawnie uzasadnionego interesu

Poniżej znajduje się próba interpretacji (tłumaczenia własne) wytycznych przedstawionych przez ICO tak, aby mogły zostać one wykorzystywane przez osoby odpowiedzialne w organizacjach za nadzór nad przetwarzaniem danych osobowych do przeprowadzania oceny, czy planowany cel przetwarzania danych osobowych (realizacja interesu) będzie spełniał wymagania RODO.

Odpowiedzi na pytania powinny być udzielane najrzetelniej jak to tylko możliwie, a ich wyniki powinny być dokumentowane tak, aby posiadać możliwość udowodnienia działania w zgodzie z przepisami RODO (zgodność z zasadą „rozliczalności”, o której mowa w art. 5 ust. 2 RODO).

Przy udzielaniu odpowiedzi pomocne okazać mogą się komentarze (autorstwa własnego), które mają na celu wyjaśnienie intencji brytyjskiego organu nadzorczego.

Każda odpowiedź zawiera określenie determinujące jej wpływ na wynik przeprowadzanej oceny (wpływ pozytywny, negatywny lub obojętny).

Uwaga! Ostatecznie przy podejmowaniu decyzji organizacja powinna wziąć pod uwagę wszystkie odpowiedzi w poszczególnych etapach. Nawet jeżeli odpowiedź na jedno z poniższych pytań będzie skrajnie niekorzystna dla wyniku przeprowadzanej oceny to nie musi ona przesądzać o ostatecznym wyniku oceny.

Ostateczna decyzja dotycząca możliwości przetwarzania opartego na prawnie uzasadnionym interesie może zostać podjęta, gdy wynik oceny będzie pozytywny na każdym z 3 etapów.

W celu przeprowadzenia przykładowej oceny spełnienia warunków istnienia prawnie uzasadnionego interesu przetwarzania danych przyjmijmy hipotetyczną sytuację:

Władze pewnej Spółki świadczącej usługi z zakresu ochrony danych osobowych postanowiły przeprowadzić projekt, polegający na organizacji wolnej od opłat, corocznej konferencji. Na wydarzenia mają być zapraszani przedstawicieli organizacji, które w poprzednim roku skorzystały z usług Spółki.

Niestety nie zebrano zgód na przetwarzanie danych osobowych. Zatem, w takiej sytuacji, przetwarzanie można oprzeć wyłącznie na prawnie uzasadnionym interesie, który będzie uprawniał do przetwarzania danych kontaktowych przedstawicieli byłych klientów w celu wysłania im zaproszenia na event. Komunikacja będzie się odbywała wyłącznie pocztą elektroniczną.

Sprawdźmy czy w przedmiotowej sytuacji zasadnym będzie powołanie się na prawnie uzasadniony interes, czy może lepiej będzie odłożyć w czasie przetwarzanie w tym nowym celu i spróbować pozyskać zgody od podmiotów danych.

Poniżej przeprowadzono oceny (z punktów widzenia przykładowej Spółki), których wyniki są ściśle uwarunkowane opisaną wyżej sytuacją. Nie należy bezkrytycznie kierować się nimi przy dokonywaniu własnych ocen zasadności przetwarzania na podstawie art. 6 ust. 1 lit. f RODO. Każde planowane przetwarzanie powinno być analizowane indywidualnie.

OCENA WYSTĘPOWANIA PRAWNIE UZASADNIONEGO INTERESU

Ocena występowania prawnie uzasadnionego interesu

Na tym etapie pozytywny wynik oceny potwierdza istnienie uzasadnionego interesu, w związku z którym mogą być przetwarzane dane osobowe.

1. Dlaczego dane osobowe mają być przetwarzane?

Należy zdefiniować jakie cele organizacja zamierza osiągnąć realizując planowane przetwarzanie danych.

Odp.:
Przetwarzamy dane osobowe przedstawicieli klientów, by poinformować ich o organizowanym przez nas wydarzeniu oraz zachęcić do udziału w nim. Ponadto naszym działaniem chcemy podkreślić dbałość o naszych klientów oraz zbudować w nich przeświadczenie, iż zależy nam na długoterminowej współpracy.

2. Czy przetwarzanie jest proporcjonalne dla osiągnięcia założonego celu?

Należy zbadać, czy przetwarzanie (np. zakres i forma zbieranych danych lub okres przechowywania danych) jest proporcjonalne do przewidywanego celu.

Odp.:

Wysyłanie informacji drogą elektroniczną na służbowe adresy mailowe przedstawicieli klientów jest proporcjonalne czynność do planowanego celu. Zakres danych również jest adekwatny.

3. Jakich korzyści spodziewać się mogą inne podmioty (strony trzecie)?

Podobnie jak w poprzednim pytaniu, aby udzielić poprawnej odpowiedzi należy zidentyfikować korzyści płynące z planowanego przetwarzania, tylko tym razem ich beneficjentem nie będzie nasza organizacja tylko strony trzecie tj. organizacje zatrudniające osoby zapraszane na konferencję, które nie są związane z realizowanym przez naszą organizację przetwarzaniem danych.

Odp.:
Organizacje te (klienci naszej Spółki) dzięki planowanemu przetwarzaniu będą miały szansę wydelegować swoich pracowników na darmowe szkolenie, dzięki któremu m.in. dowiedzą się oni o istotnych zmianach dotyczących przepisów regulujących przetwarzanie danych osobowych oraz o aktualnych wytycznych Europejskiej Rady Ochrony Danych i polskiego organu nadzorczego, a także poznają ciekawostki ze środowiska branżowego ochrony danych osobowych.

4. Czy planowane przetwarzanie przyniesie znaczące korzyści publiczne?

Podobnie jak w poprzednim pytaniu, aby udzielić poprawnej odpowiedzi należy zidentyfikować korzyści płynące z realizowania planowanego przetwarzania, tylko tym razem beneficjentem jest społeczeństwo.

Odp.:
Oceniamy, iż przetwarzanie nie przyniesie znaczących korzyści publicznych, jednakże można pewne wskazać − realizacja planowanego przetwarzania może podnieść poziom wiedzy osób odpowiedzialnych za pełnienie nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych w organizacjach, co może przełożyć się na lepszą realizację praw oraz ochronę osób fizycznych.

5. Jak ważne są wszystkie zidentyfikowane wcześniej korzyści?

Dokonać należy oceny istotności wszystkich wyszczególnionych wcześniej korzyści, tj. dla prowadzonej działalności, stron trzecich, jak również dobra publicznego (w naszym przykładzie już wiemy, że te ostatnie nie będą znaczące, chociaż warte zauważenia).

Odp.:
Dla Spółki, wcześniej wyszczególnione korzyści stanowią fundament jej działalności tj. wizerunek, długofalowa współpraca oraz potrzeba pozyskiwania nowych projektów biznesowych.

Dla klientów oraz ich przedstawicieli biorących udział w organizowanym przez nas wydarzeniu posiadanie aktualnych informacji na temat prawidłowej realizacji wymagań przepisów prawa regulujących ochronę danych osobowych oraz wytycznych wydanych przez Europejską Radę Ochrony Danych i organ nadzorczy może pomóc uniknąć naruszeń przepisów prawa oraz podnieść poziom bezpieczeństwa przetwarzanych danych osobowych.

Ponadto za pewnik możemy przyjąć, iż dla wszystkich osób fizycznych, ochrona danych, które ich dotyczą oraz prawidłowa realizacja praw im przysługujących, jest ważna.

6. Co się stanie, jeżeli nie będziesz mógł przetwarzać danych w planowanym celu?

Należy wskazać skutki, jakich organizacja będzie mogła się spodziewać w sytuacji zaniechania przetwarzania danych w planowanym celu. Odpowiedź wskaże jak niezbędna dla funkcjonowania organizacji jest realizacja wcześniej zidentyfikowanych interesów.

Odp.:
Brak przetwarzania danych w planowanym celu doprowadzić może do braku możliwości realizacji wcześniej zidentyfikowanych interesów, co w konsekwencji skutkować może utratą szansy na polepszenie wizerunku, lepszej pozycji na rynku czy szansy na nawiązanie dalszej współpracy w przyszłości.

7. Czy przetwarzanie danych będzie spełniało szczególne zasady ochrony danych osobowych?

Należy sprawdzić, czy planowane przetwarzanie spełnia szczególne zasady ochrony danych takie jak np. wymagania dotyczące profilowania.

Odp.:
Nie stwierdzono występowania szczególnych zasad ochrony danych osobowych, które miałyby zastosowanie do planowanego przetwarzania.

8. Czy planowane przetwarzanie nie będzie naruszało przepisów szczegółowych regulujących ochronę danych osobowych?

Należy dokonać przeglądu europejskich lub krajowych przepisów, które zawierają szczegółowe wytyczne, co do przetwarzania danych osobowych np. przy realizacji marketingu lub usług realizowanych drogą elektroniczną będą to przepisy ustawy Prawo Telekomunikacyjne z dnia 16 lipca 2004 r. (PT) oraz ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (uśude).

Odp.:
Ponieważ planowane do wysłania wiadomości będą zawierały treści, których charakter mógłby zostać uznany za marketingowy, należy poddać analizie, czy planowane przetwarzanie danych powinno spełniać wymogi przepisów prawa: art. 172 PT oraz art. 10 uśude.

  1. Analiza zgodności planowanego przetwarzania z wymaganiami art. 172 ustawy Prawo Telekomunikacyjne z dnia 16 lipca 2004 r.

    W naszej ocenie, planowanego przetwarzania nie można uznać za marketing bezpośredni. Definicją marketingu bezpośredniego wartą przytoczenia jest definicja prof. dr hab. Stanisława Piątka: marketing bezpośredni można uznać za ,,działalność polegająca na dostarczaniu bezpośrednio klientom informacji lub propozycji dotyczących sprzedaży towarów i usług poprzez różne kanały komunikowania się. (…) Istotą marketingu bezpośredniego jest dostarczanie informacji o możliwości nabycia towarów lub usług oraz składanie potencjalnym klientom propozycji zawarcia umowy.” (tak. S. Piątek, Prawo telekomunikacyjne. Komentarz, Wyd. C.H. Beck, Warszawa 2073, str. 1008). Celem planowanego przetwarzania nie jest przedstawienie konkretnej oferty czy zawarcie umowy. Poza tym treść wiadomości kierowana jest do organizacji, a nie do użytkownika końcowego (kontaktujemy się z osobami wskazanymi do kontaktu, natomiast decyzję kto weźmie udział w szkoleniu podejmą władze organizacji). Biorąc pod uwagę powyższe, art. 172 ustawy Prawo Telekomunikacyjne nie będzie miał zastosowania przy realizacji planowanego przetwarzania.
  2. Analiza zgodności planowanego przetwarzania z wymaganiami art. 10 ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r.

    Podobnie jak w przypadku wymagań art. 172 ustawy Prawa Telekomunikacyjnego, wymagania art. 10 ustawy o świadczeniu usług drogą elektroniczną, w naszej ocenie nie będą miały zastosowania. Art. 10 przytoczonej ustawy w swojej treści dotyczy przesyłania niezamówionych informacji handlowych skierowanych do osób fizycznych. Jak już zostało wcześniej wspomniane: informacja o organizowanym przez nas szkoleniu nie jest kierowana do osób fizycznych, tylko do władz organizacji. Dlatego przy realizacji planowanego przetwarzania nie będą miały zastosowania wymagania art. 10 ustawy o świadczeniu usług drogą elektroniczną.

Podsumowując, planowane przetwarzanie danych nie będzie naruszało innych przepisów prawa.

9. Czy realizacja planowanego przetwarzania będzie zgodna z sektorowymi wytycznymi lub kodeksami postępowania?

Należy dokonać identyfikacji występowania sektorowych wytycznych oraz kodeksów postępowania, które mogą określać zasady ochrony danych w stosunku do planowanego przetwarzania.

Odp.:
Nie stwierdzono występowania sektorowych wytycznych oraz kodeksów postępowania określających zasady ochrony danych osobowych w stosunku do planowanego przetwarzania.

10. Czy z planowanym przetwarzaniem będą miały związek jakieś etyczne kwestie?

Należy zbadać, czy realizacja przetwarzania nie będzie stała w opozycji z powszechnie funkcjonującymi normami moralnymi.

Odp.:
Realizacja planowanego przetwarzania nie będzie naruszać powszechnie funkcjonujących norm moralnych.

Aktualizacja 8.11.2019 r.

OCENA, CZY PRZETWARZANIE JEST FAKTYCZNIE NIEZBĘDNE DO OSIĄGNIĘCIA ZAŁOŻONEGO CELU

niezbędność przetwarzania danych

Na tym etapie pozytywny wynik oceny potwierdza, że przetwarzanie danych jest rzeczywiście niezbędne do osiągnięcia celu.

1. Czy faktycznie planowane przetwarzanie pomoże osiągnąć zaplanowany cel?

Należy dokonać oceny wpływu zrealizowania przetwarzania na osiągnięcie zaplanowanego celu.

Odp.:
Tak, planowane przetwarzanie będzie miało znaczący wpływ na powodzenie realizacji zaplanowanego celu. Brak przetwarzania danych osobowych doprowadzić może do sytuacji, w której informacja o organizowanym przez nas wydarzeniu umknie uwadze znaczącej części organizacji, do których kierowane jest zaproszenie. To z kolei skutkowałoby brakiem możliwości wzięcia udziału w konferencji.

2. Czy przetwarzanie jest proporcjonalne dla osiągnięcia założonego celu?

Należy zbadać, czy przetwarzanie (np. zakres i forma zbieranych danych lub okres przechowywania danych) jest proporcjonalne do przewidywanego celu.

Odp.:
Wysyłanie informacji drogą elektroniczną na służbowe adresy mailowe przedstawicieli klientów jest proporcjonalną czynnością do planowanego celu. Zakres danych również jest adekwatny.

3. Czy możesz osiągnąć ten sam cel bez przetwarzania danych osobowych?

Sprawdź, czy przypadkiem możesz osiągnąć ten sam cel bez potrzeby przetwarzania danych osobowych.

Odp.:
Moglibyśmy informować organizacje wysyłając wiadomości e-mail na firmowe (bezosobowe) skrzynki mailowe, jednakże oceniamy, iż wysłane w ten sposób wiadomości mogą zostać przeoczone lub osoba, która odczyta wiadomość nie skojarzy faktu podjętej w przeszłości współpracy i potraktuje ją jako spam. Skutkować to będzie nieosiągnięciem zamierzonego celu.

Większe prawdopodobieństwo odczytania wiadomości będzie występowało w sytuacji, gdy wiadomość e-mail zostanie nadana do konkretnej osoby, z którą wcześniej bezpośrednio współpracowano.

4. Czy możesz osiągnąć ten sam cel ograniczając planowane przetwarzanie?

Należy zbadać czy można osiągnąć zakładany cel przetwarzając mniejszą ilość danych lub przetwarzając dane w inny bardziej oczywisty lub mniej inwazyjny sposób?

Odp.:
Planowane przetwarzanie nie należy do skomplikowanych przedsięwzięć (wysyłka i archiwizacja wiadomości), co sprawia, że nie ma możliwości dalszego ograniczenia liczby podejmowanych operacji przetwarzania, aby osiągnąć założony cel.

Aktualizacja 15.11.2019 r.

OCENA WYSTĘPOWANIA BALANSU INTERESÓW TZW. TEST RÓWNOWAGI

test równowagi RODO

Poniższy test ma na celu zbadanie wpływu planowanego przetwarzania na interesy oraz prawa i wolności osób, których dane dotyczą. Wynik oceny powinien wskazać czy interesy oraz swobody osób, których dane dotyczą nie będą istotniejsze od interesu Spółki.

Przed przystąpieniem to testu należy sprawdzić, czy nie będzie miał zastosowania obowiązek przeprowadzania oceny skutków dla ochrony danych, o którym mowa w art. 35 RODO. Obowiązek ten dotyczy szczególnych rodzajów przetwarzania, wymienionych m.in. w Komunikacie Prezesa UODO, dlatego najczęściej nie będzie on występował (o tym, kiedy oraz w jakich sytuacjach przeprowadza się taką ocenę napiszemy na łamach kolejnych artykułów).

Test równowagi składa się z trzech części:
  1. Analizy specyfiki danych osobowych;
  2. Badania oczekiwań osób, których dane dotyczą wobec podjęcia planowanego przetwarzania;
  3. Oceny ryzyka związanego z przetwarzaniem.

ANALIZA SPECYFIKI DANYCH OSOBOWYCH

1. Czy planowane przetwarzanie będzie dotyczyło danych szczególnej kategorii?

Art. 9 ust. 1 RODO stanowi zakaz przetwarzania danych szczególnej kategorii. W sytuacji, gdy planowane przetwarzanie ma dotyczyć właśnie takich danych, organizacja powinna spełnić jeden z warunków wskazanych w art. 9 ust. 2 RODO.

Odp.:
Planowane przetwarzanie nie będzie dotyczyło danych mieszczących się w zakresie danych szczególnej kategorii, o których mowa w art. 9 ust. 1 RODO. W związku z tym Spółka nie jest zobowiązana do spełnienia warunków określonych w art. 9 ust. 2 RODO.

Dodatkowa wskazówka:
W przypadku, gdyby organizacja planowała przetwarzać dane szczególnej kategorii, prócz spełnienia warunków art. 9. ust. 2 RODO powinna bardziej zachowawczo podejść do oceny ryzyka związanego z przetwarzaniem. Naruszenie ochrony danych szczególnej kategorii może doprowadzić do wystąpienia bardzo poważnych skutków dla osób, których dane dotyczą.

2. Czy przetwarzanie będzie dotyczyło danych dotyczących wyroków skazujących lub czynów zabronionych lub powiązanych środków bezpieczeństwa?

Dane dotyczące wyroków skazujących można przetwarzać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. 

Odp.:
Nie, planowane przetwarzanie nie będzie dotyczyło danych dotyczących wyroków skazujących ani czynów zabronionych jak również powiązanych środków bezpieczeństwa.

Dodatkowa wskazówka:
Organizacja, która planuje w oparciu o prawnie uzasadniony interes przetwarzać dane zaliczające się do przedmiotowej kategorii, zgodnie z art. 10 RODO, musi uwzględnić, iż przetwarzanie to powinno być dozwolone prawem Unii lub prawem państwa członkowskiego, które będzie przewidywało odpowiednie zabezpieczenie praw i wolności osób, których dane dotyczą.

3. Czy przetwarzanie dotyczy danych prywatnych czy służbowych?

Do zakresu danych służbowych zaliczają się dane bezpośrednio związane z zajmowanym stanowiskiem w organizacji oraz dane związane z wykonywaną pracą. Są to np. adres e-mail służbowej skrzynki pocztowej, służbowy numer telefonu czy informacje na temat zajmowanego stanowiska.

Odp.:
Planowane przetwarzanie będzie dotyczyło wyłącznie danych służbowych.

4. Czy dane objęte przetwarzaniem mogą zostać uznane za szczególnie prywatne (intymne)?

Do danych uznanych jako szczególnie prywatne zaliczyć można np. dane dotyczące osiąganych wynagrodzeń, posiadanych zobowiązań.

Odp.:
Planowane przetwarzanie będzie dotyczyło wyłącznie służbowych danych kontaktowych, co sprawia, iż niemożliwym jest uznanie ich za szczególnie prywatne.

5. Czy osoby, których dane dotyczą nie należą do grupy ludzi szczególnie podatnych na ewentualne negatywne skutki przetwarzania?

Należy ocenić, czy osoby, których dane dotyczą mogą być szczególnie podatne na ewentualne negatywne skutki przetwarzania. Do grona osób szczególnie podatnych zaliczyć można dzieci, osoby starsze, osoby z pewnymi niepełnosprawnościami.

Odp.:
Planowane przetwarzanie nie będzie dotyczyło osób szczególnie podatnych na ewentualne negatywne skutki przetwarzania – okoliczności, stan zdrowia lub stan umysłowy osób, których dane dotyczą, nie ograniczają ich zdolności do swobodnego wyrażenia sprzeciwu wobec przetwarzania danych osobowych lub zrozumienia konsekwencji przetwarzania.

Aktualizacja 22.11.2019 r.

BADANIE OCZEKIWANIA OSÓB, KTÓRYCH DANE DOTYCZĄ WOBEC PODJĘCIA PLANOWANEGO PRZETWARZANIA

1.A. Czy organizację łączy jakaś relacja z osobami, których dane mają być przetwarzane?

Do specjalnej relacji zaliczyć można np. obowiązującą umowę współpracy. Zauważyć można, iż przypadku zrealizowanej umowy występować może relacja polegająca na dochodzeniu przez podmiot danych roszczeń, jednakże jest to relacja domniemana – wystąpi ona dopiero z chwilą wniesienia roszczeń. Dodatkowo z dużym prawdopodobieństwem dane kontaktowe przedstawicieli Klientów zostały zarchiwizowane w Rejestrze korespondencji Spółki, w związku z obowiązującą w zakresie tego zbioru polityką retencji danych.

Odp.:
Nie, Spółki nie łączy już żadna bezpośrednia relacja z osobami, których dane będą przetwarzane.

1.B. Jaka jest specyfika relacji?

Należy opisać relację łączącą organizację z osobami, których dane dotyczą, biorąc pod uwagę między innymi, czy zachodzi równowaga pomiędzy pozycją jaką zajmuje organizacją a osobami, których dane dotyczą. W przypadku braku równowagi np. w relacji pracodawca – pracownik, należy sprawdzić, czy relacja nie wpływa negatywnie na realizację praw przysługujących na mocy RODO. Nierówna relacja mogłaby doprowadzić do sytuacji, w której np. pracownik będzie obawiał się skorzystać ze swoich praw (np. prawa do sprzeciwu) z powodu ewentualnych negatywnych konsekwencji jakie mogłyby go spotkać ze strony pracodawcy.

Odp.:
Nie stwierdzono występowania specjalnej relacji. Wcześniej istniejąca relacja nie nosiła znamion braku równowagi pomiędzy Spółką a podmiotami danych.

2. W jaki sposób dane osobowe były przetwarzane w przeszłości?

Opisać należy realizowane w przeszłości procesy przetwarzania danych osób, których dotyczyć będzie planowane przetwarzanie. Oceń związek wcześniejszego przetwarzania z planowanym oraz jego wpływ na to, czy osoby, których dane dotyczą mogą spodziewać się przetwarzania.

Odp.
Dane osobowe przedstawicieli klientów przetwarzane były w celu zawarcia oraz realizacji umów o świadczenie usług z zakresu ochrony danych osobowych. Do kategorii przetwarzanych danych zaliczały się dane identyfikacyjne (imię i nazwisko) oraz dane kontaktowe (służbowy numer telefonu oraz służbowy adres e-mail). Dane przetwarzane były wyłącznie elektronicznie. Planowane przetwarzanie dotyczyło realizacji projektu związanego z ochroną danych osobowych (w tym szkolenia). Organizowana przez Spółkę konferencja będzie stanowiła uzupełnienie do wcześniej świadczonej usługi.

3. Czy dane zbierane były bezpośrednio od osób, których dane dotyczą? Czy przedstawiane były informacje dotyczące przetwarzania danych osobowych?

Należy zwrócić w szczególności uwagę na komunikację realizowaną z podmiotem danych w ramach realizacji obowiązku, o których mowa w art. 13 RODO.

Odp.:
Dane osobowe mogły być zbierane zarówno od osób, których dane dotyczą (np. w sytuacji, gdy przedstawiciel organizacji kontaktował się w sprawie przygotowania oferty), jak również dane mogły zostać zebrane w sposób inny (np. przez pozyskanie ze strony internetowej organizacji lub otrzymanie danych osób kontaktowych od samej organizacji np. z chwilą zawarcia umowy). Osoby, których dane dotyczą były informowane o szczegółach przetwarzania za pośrednictwem:

  1. klauzuli informacyjnej znajdującej się w treści zawartej umowy o świadczenie usługi (każda ze stron oświadczała, iż udostępni klauzulę wskazanym w umowie osobom kontaktowym);
  2. umieszczonej w stopce e-mail krótkiej odpowiednio wyeksponowanej adnotacji oraz linku prowadzącego do strony internetowej, zawierającej odpowiednią treść klauzuli informacyjnej.

Część osób wyraziła zgodę na kontakt w celu przedstawienia oferty Spółki.

Dodatkowa wskazówka:
Spółka planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane. Z tego powodu w celu zachowania przejrzystości planowanego przetwarzania oraz zgodności z art. 13 ust. 3 RODO, przed takim dalszym przetwarzaniem powinna poinformować osoby, których dane dotyczą, o tym innym celu. Powinna również udzielić wszelkich innych stosownych informacji, o których mowa w art. 13 ust. 2 RODO (za wyjątkiem znanych już im informacji).

4. Jeżeli dane uzyskane były od podmiotów będących stroną trzecią, to jakie informacje były przedstawione podmiotom danych? Czy przekazane przez te podmioty informacje obejmowały wykorzystywanie danych przez Twoją organizację?

Odp.:
Osoby, których dane dotyczą były informowane o szczegółach przetwarzania w zakresie zgodnym z art. 14 RODO. Zapisami umownymi zobowiązaliśmy organizację udostępniającą Spółce dane osobowe (Klienta) do realizacji obowiązku informacyjnego.

5. Jak dawno dane zostały zebrane? Czy nastąpiły jakieś zmiany w technologii lub w kontekście przetwarzania, które mogłyby mieć wpływ na to, czy osoby mogą spodziewać się przetwarzania?

Powyższe pytanie odnosi się do sytuacji, w których np. planując promować technologię, z której podmiot danych już dawno przestał korzystać − fakt ten może negatywnie wpłynąć na to czy osoba, której dane dotyczą będzie spodziewała się przetwarzania.

Odp.:
Dane osobowe były zebrane w ubiegłym roku. Nie stwierdzono zmian, które mogłyby negatywnie wpłynąć na to, czy osoba, której dane dotyczą będzie spodziewała się przetwarzania w nowym celu. Natomiast stwierdzono występowanie zmian w przepisach prawa, które mogą pozytywnie wpłynąć na oczekiwania osoby wobec nowego celu przetwarzania (potrzeba zaktualizowania informacji).

6. Czy cel oraz sposób przetwarzania należą do powszechnie spotykanych i mogą być dobrze znane osobom, których dane dotyczą?

Odp.:
Cel i sposób przetwarzania są powszechnie spotykane i mogą być znane osobom, których dane dotyczą.

7. Czy planowane przetwarzanie jest czymś zupełnie nowym lub innowacyjnym?

Odp.:
Planowany cel przetwarzania nie jest niczym nowym ani innowacyjnym.

Dodatkowa wskazówka:
Innowacyjne projekty z uwagi na wprowadzanie nowości negatywnie wpływają na to czy osoby, których dane dotyczą mogą spodziewać się takiego przetwarzania danych. Ponadto podnoszą ryzyko przetwarzania i mogą wymagać przeprowadzenia DPIA.

8. Czy posiadasz jakieś dowody potwierdzające oczekiwania przetwarzania osób, których dane dotyczą − badania rynku, sondy, przeprowadzone ankiety?

Odp.:
Posiadamy dowody potwierdzające, że osoby, których dane dotyczą mogą spodziewać się planowanego przetwarzania tj. otrzymywaliśmy wiele zapytań mailowych oraz wiele osób, których dane dotyczą jest subskrybentami newsletteru Spółki.

9. Czy występują jakieś inne przesłanki, wskazujące na to, że osoba może lub nie może się spodziewać przetwarzania danych w planowanym celu?

Odp.:
Z uwagi na mnogość zmian prawnych z zakresu ochrony danych osobowych, mających miejsce w b.r., można wnioskować, iż wiele organizacji może poszukiwać na ten temat informacji.

Aktualizacja 29.11.2019 r.

OCENA RYZYKA ZWIĄZANEGO Z PRZETWARZANIEM

1. Jakie skutki może wywołać przetwarzanie danych osobowych?

Odp.:
Nie stwierdzono możliwości występowania skutków przetwarzania, które bezpośrednio naruszałyby prawa lub wolności osób, których dane dotyczą. Jedynie naruszenie ochrony danych osobowych mogłoby doprowadzić do wspomnianych wcześniej naruszeń. Stałoby się tak np. w sytuacji, gdy do błędnego adresata zostanie omyłkowo wysłana wiadomość zawierająca dane osobowe jednego z przedstawicieli innej organizacji lub wiadomość zostanie przechwycona, a następnie osoba nieupoważniona, będzie planowała wykorzystać dane zawarte w korespondencji do podjęcia prób wyłudzenia dodatkowych danych osobowych.

2. Czy osoby fizyczne mogą utracić kontrolę nad przetwarzaniem ich danych osobowych?

Odp.:
Ponieważ planowane przetwarzanie nie dotyczy sprzedaży danych osobowych, to utrata kontroli nad danymi może wystąpić jedynie w wyniku wystąpienia naruszenia ochrony danych osobowych.

W przypadku prowadzenia korespondencji w nowym wątku, ujawnienie informacji w szerszym zakresie niż mogłyby być dostępne publicznie, jest mało prawdopodobne i tylko w minimalnym stopniu może zmniejszyć kontrolę osoby nad wykorzystaniem jej danych służbowych.

3. Jakie jest ryzyko (prawdopodobieństwo oraz wpływ) każdego zidentyfikowanego potencjalnego skutku?

Odp.:
Niskie prawdopodobieństwo wystąpienia ryzyka (pkt 1 + 2) oraz jego średnio negatywne konsekwencje składają się na ryzyko na poziomie względnie niskim.

4. Czy występują osoby, które prawdopodobnie mogą zakwestionować planowane przetwarzanie lub uznać je za natarczywe?

Odp.:
Brak informacji oraz przesłanek wskazujących na występowanie takich osób. Osoba zatrudniona w danej organizacji powinna spodziewać się otrzymywania wiadomości związanych z pracą wykonywaną dla swojego pracodawcy.

5. Czy chętnie wyjaśnisz osobom, których dane dotyczą, na czym będzie polegało przetwarzanie ich danych osobowych?

Odp.:
Tak, nie będzie to stanowiło problemu. Przed rozpoczęciem przetwarzania jego szczegóły zostaną przekazane adresatom korespondencji. Podane zostaną również dane kontaktowe, na które mogą być kierowane wszelkie zapytania dotyczące ochrony lub przetwarzania danych osobowych.

6. Czy możesz zaimplementować jakieś zabezpieczenia w celu zmniejszenia negatywnych skutków przetwarzania?

Odp.:
Obecnie stosowane zabezpieczenia zdają się być wystarczające. Spółka posiada wdrożoną Politykę Ochrony Danych Osobowych. Personel przetwarzający dane osobowe jest stale szkolony i został zobowiązany do zachowania w tajemnicy wszelkich danych osobowych przetwarzanych przez Spółkę oraz środków ich ochrony. System IT chroniony jest przed złośliwym oprogramowaniem. System ten jest również stale monitorowany pod względem występowania luk, podatności oraz działań potencjalnie niepożądanych. Komunikacja mailowa realizowana jest za pośrednictwem szyfrowanego połączenia.

Dodatkowa wskazówka:
W przypadku wielu odpowiedzi wpływających negatywnie na wynik oceny (przy zidentyfikowanym wysokim ryzyku przetwarzania), w tym miejscu warto zaplanować działania, które zmitygują ryzyko lub całkiem je wyeliminują, tj. np. minimalizacja danych, wprowadzenie dodatkowych zabezpieczeń (np. implementacja szyfrowania protokołu komunikacyjnego), analiza skutków przetwarzania danych (DPIA) oraz dalsze działania z niej wynikające.

7. Czy osoba, której dane dotyczą będzie mogła sprzeciwić się przetwarzaniu?

Odp.:
Tak, w przypadku zgłoszenia odpowiednio umotywowanego sprzeciwu zostanie on rozpatrzony pomyślnie. Osoby, które wyraziły zgodę, mogą ją wycofać w każdym czasie.

DECYZJA

decyzja przetwarzania danych osobowych

Przeanalizuj udzielone odpowiedzi na powyższe pytania i podejmij decyzję czy przetwarzanie będzie mogło być realizowane na podstawie prawnie uzasadnionego interesu.

Odp.:
Powyższe wyniki wskazują na:

  1. występowanie prawnie uzasadnionego interesu Spółki, planującej kontaktować się z przedstawicielami Klientów w celu zaproszenia na organizowane wydarzenie − ocena pozytywna (9 odpowiedzi o charakterze pozytywnym; 1 obojętna);
  2. niezbędność przetwarzania dla realizacji osiągnięcia planowanego celu − ocena pozytywna (4 odpowiedzi o charakterze pozytywnym)
  3. występowanie właściwego balansu interesów:
    1. analiza charakteru danych osobowych (5 odpowiedzi o charakterze pozytywnym);
    2. badanie oczekiwania osób, których dane dotyczą wobec podjęcia planowanego przetwarzania (8 odpowiedzi o charakterze pozytywnym; 1 o charakterze obojętnym; 1 o charakterze negatywnym)
    3. ocena ryzyka związanego z przetwarzaniem (7 odpowiedzi o charakterze pozytywnym).

Biorąc pod uwagę powyższe, Spółka będzie mogła przy realizacji planowanego przetwarzania oprzeć się na przesłance prawnie uzasadnionego interesu, określonej w art. 6 ust. 1 lit. f RODO.

Podsumowanie

Dokonywanie oceny zasadności powoływania się na art. 6 ust. 1 lit f RODO, zgodnie z wytycznymi brytyjskiego organu nadzorczego wydawać może się działaniem żmudnym i czasochłonnym. Jednakże jej prawidłowe przeprowadzenie pozwolić może organizacjom nie tylko uchronić się przed sankcjami wynikającymi z naruszenia obowiązku jej przeprowadzenia, ale również może pomóc uniknąć nieprzyjemności wynikających z roszczeń osób, których dane dotyczą. Tu np. pomocne mogą się okazać wyniki badania oczekiwań osób, których dane dotyczą, w odniesieniu do planowanego przetwarzania.

Przeprowadzenie pełnej oceny będzie szczególnie istotne, w przypadku celów przetwarzania danych związanych z nietypowymi lub innowacyjnymi procesami. Ponadto, przeprowadzanie analizy planowanego przetwarzania w pewnym stopniu pozwala również zrealizować zasadę uwzględnienia prywatności w fazie projektowania (“Privacy by design”), co powinno dodatkowo zachęcać do przeprowadzania przedmiotowej oceny.

Przedmiot naszych rozważań stanowił dość prosty przypadek, gdyż intencją autorów było przede wszystkim przedstawienie sposobu przeprowadzania oceny zasadności powoływania się na prawnie uzasadniony interes w jak najbardziej przejrzysty sposób. W rzeczywistości będą pojawiać się również mniej oczywiste przypadki, nastręczające dużo więcej trudności osobom przeprowadzającym ocenę. Obecnie sami stoimy przed dwoma takimi interesującymi wyzwaniami u naszych Klientów.

Wszystkich czytelników gorąco zachęcamy do dzielenia się w komentarzach własnymi przemyśleniami na temat oceny zasadności oparcia przetwarzania danych o prawnie uzasadniony interes oraz do zapisywania się na listę subskrybentów naszego Newslettera, gdzie z pewnością będziemy rozwijać ten i inne tematy.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.