Aby określone przetwarzanie danych osobowych (które nie stanowią danych szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO) można było uznać za zgodne z RODO, takie przetwarzanie musi być prowadzone w oparciu o jedną z podstaw przetwarzania wskazanych w art. 6 ust. 1 RODO.
Możliwe podstawy przetwarzania to:
zgoda osoby, której dane dotyczą,
niezbędność przetwarzania danych w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
niezbędność przetwarzania danych w celu wykonania obowiązku prawnego,
niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
niezbędność przetwarzania danych do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Zasada legalności przetwarzania a art. 6 ust. 1 RODO
Jedną z podstawowych zasad przetwarzania danych osobowych wynikających z RODO jest tzw. zasada legalności przetwarzania (szerzej o tej zasadzie piszemy w komentarzu do art. 5 RODO). Stosownie do tej zasady, aby określone przetwarzanie danych osobowych (niestanowiących danych szczególnych kategorii, o których mowa w art. 9 ust.1 RODO) można było uznać za zgodne z RODO, takie przetwarzanie musi być prowadzone w oparciu o jedną z podstaw przetwarzania wskazanych w art. 6 ust. 1 RODO.
Innymi słowy, jeśli administrator danych osobowych nie jest w stanie zidentyfikować wynikającej z art. 6 ust. 1 RODO podstawy przetwarzania danych dotyczącej prowadzonego przez niego przetwarzania danych osobowych, to takie przetwarzanie danych stanowi naruszenie RODO przez tego administratora.
Art. 6 ust. 1 RODO wskazuje następujące podstawy przetwarzania danych osobowych:
zgoda osoby, której dane dotyczą,
niezbędność przetwarzania danych w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
niezbędność przetwarzania danych w celu wykonania obowiązku prawnego,
niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
niezbędność przetwarzania danych do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Zgoda osoby, której dane dotyczą, jako podstawa przetwarzania
Zgoda osoby, której dane dotyczą jako podstawa przetwarzania danych osobowych opisana jest w komentarzu do art. 7 RODO.
Niezbędność przetwarzania danych w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, jako podstawa przetwarzania
Zgodne z RODO jest przetwarzanie danych osobowych, które jest:
niezbędne w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub
niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Kiedy można uznać, że przetwarzanie danych jest niezbędne w celu wykonania umowy, której stroną jest osoba, której dane dotyczą?
Aby przetwarzanie danych osobowych można było oprzeć na podstawie, o której mowa w art. 6 ust. 1 lit. b) RODO, w przypadku przetwarzania w celu wykonania umowy, muszą być łącznie spełnione następujące warunki:
została zawarta umowa między administratorem danych a osobą, której dane dotyczą,
umowa, o której mowa powyżej, jest ważna z perspektywy prawnej,
realizacja przedmiotu ww. umowy (np. usługi) przez administratora na rzecz osoby, z którą administrator zawarł umowę, wymaga przetwarzania danych osobowych tej osoby przez administratora,
przetwarzanie danych osobowych, o którym mowa powyżej, jest niezbędne w celu realizacji przedmiotu umowy przez administratora.
Realizacja umów zawartych z osobami fizycznymi często łączy się z przetwarzaniem ich danych osobowych, w różnych kontekstach, dla różnych celów i w różny sposób. W praktyce odpowiedź na pytanie, czy w danym kontekście administrator danych może oprzeć przetwarzanie danych osobowych o omawianą podstawę, może być trudne. Wątpliwości może budzić zwłaszcza kwestia oceny, co jest faktycznie niezbędne w celu realizacji umowy. Należy każdorazowo wnikliwie analizować poszczególne stany faktyczne czy modele realizacji usług.
Pomocne w ocenie problematycznych kwestii związanych ze stosowaniem omawianej podstawy przetwarzania mogą być opublikowane przez Europejską Radę Ochrony Danych Wytyczne 2/2019 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) w kontekście świadczenia usług online na rzecz osób, których dane dotyczą, Wersja 2.0, 8 października 2019 r. („Wytyczne 2/2019”).
Ważność umowy a podstawa przetwarzania danych
Wytyczne 2/2019 wskazują, że:
Administrator danych może powołać się na pierwszą opcją na podstawie art. 6 ust. 1 lit. b) w celu przetwarzania danych osobowych, jeżeli – zgodnie ze swoimi obowiązkami w zakresie odpowiedzialności wynikającymi z art. 5 ust. 2 – może wykazać, że przetwarzanie odbywa się w kontekście ważnej umowy zawartej z osobą, której dane dotyczą, oraz że przetwarzanie jest niezbędne do wykonania tej konkretnej umowy zawartej z osobą, której dane dotyczą. Jeżeli administratorzy danych nie mogą wykazać, że: a) umowa istnieje, b) umowa jest ważna na mocy obowiązujących przepisów prawa umów, oraz c) przetwarzanie jest obiektywnie niezbędne w celu wykonania umowy, administrator danych powinien rozważyć zastosowanie innej podstawy prawnej przetwarzania.
Ważność umów, o których mowa powyżej, powinna być każdorazowo oceniana z perspektywy przepisów prawa właściwego dla danej umowy. Taka ocena zasadniczo, w zależności od przepisów, które będą miały zastosowanie, może obejmować ocenę:
czy prawidłowa jest forma umowy,
czy osoba, która zawarła umowę, miała zdolność do jej zawarcia,
czy umowa ma zgodny z prawem cel.
Brak zawarcia ważnej umowy pomiędzy administratorem a osobą, której dane dotyczą, wyłącza możliwość oparcia przetwarzania przez administratora danych tej osoby na podstawie wskazanej w art. 6 ust. 1 lit. b RODO.
Niezbędność przetwarzania danych w celu realizacji umowy
Ogólnie rzecz biorąc, niezbędne w celu realizacji umowy z osobą, której dane dotyczą, będzie tylko takie przetwarzanie danych osobowych, które, po pierwsze, służy realizacji umowy przez administratora na rzecz osoby, której dane dotyczą (innymi słowy, przetwarzanie danych osobowych przez administratora jest elementem działań/usług zamówionych lub kupowanych od administratora przez osobę, której dane dotyczą, lub jest związane z innymi działaniami, bez których umowa nie zostanie zrealizowana, np. obsługą płatności). Po drugie związek między takim przetwarzaniem a realizacją usługi musi być taki, że obiektywnie oceniając, niemożliwa będzie realizacja umowy/usługi przez administratora na rzecz osoby, której dane dotyczą, bez takiego przetwarzania danych.
Jeśli chodzi o ocenę niezbędności danego przetwarzania danych dla celów realizacji umowy, Wytyczne 2/2019 wskazują nadto, że:
Do celów stosowalności art. 6 ust. 1 lit. b) wymaga się, aby przetwarzanie danych było obiektywnie niezbędne do osiągnięcia celu, jakim jest świadczenie tej usługi na rzecz osoby, której dane dotyczą. (…) Administrator danych powinien być w stanie wykazać, w jaki sposób główny przedmiot konkretnej umowy zawartej z osobą, której dane dotyczą, nie będzie mógł zostać faktycznie realizowany bez przetwarzania danych osobowych. Istotną kwestią jest tu związek między danymi osobowymi i operacjami przetwarzania a wykonaniem lub niewykonaniem usługi świadczonej na podstawie umowy.
Powyższy fragment akcentuje kwestię możliwości wykazania przez administratora, że dane przetwarzanie danych jest faktycznie niezbędne w celu realizacji umowy. Administrator na etapie projektowania danego procesu powinien przygotować odpowiednią analizę i uzasadnienie w tym zakresie, zarówno z uwagi na zasadę rozliczalności (patrz art. 5 RODO), jak i na wypadek kontroli czy kwestionowania zasadności danego przetwarzania, np. przez organ nadzoru.
Ocena tego, co jest „niezbędne” obejmuje połączoną, opartą na faktach ocenę przetwarzania „w odniesieniu do zamierzonego celu oraz tego, czy przetwarzanie jest mniej inwazyjne w porównaniu z innymi metodami osiągnięcia tego samego celu”. Jeżeli istnieją realne, mniej inwazyjne opcje, przetwarzanie nie jest „niezbędne”. Artykuł 6 ust. 1 lit. b) nie obejmuje przetwarzania, które jest przydatne, ale nie jest obiektywnie niezbędne do wykonania usługi objętej umową lub podjęcia odpowiednich działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, nawet jeżeli jest ono niezbędne do innych celów biznesowych administratora danych.
W umowie nie można w sposób sztuczny rozszerzać kategorii danych osobowych ani rodzajów operacji przetwarzania, które administrator danych musi wykonać w celu wykonania umowy w rozumieniu art. 6 ust. 1 lit. b).
Powyższy fragment akcentuje, że niezbędność przetwarzania należy oceniać z perspektywy obiektywnej (a nie wyłącznie z perspektywy administratora) i że osoby trzecie, w tym organ nadzorczy, mogą kwestionować oceny administratora w tym zakresie.
Inne praktyczne wskazówki pomocne w zakresie badania możliwości przetwarzania danych osobowych w oparciu o „niezbędność w celu wykonania umowy”
Wytyczne 2/2019 wskazują, że to, czy w danym przypadku administrator może oprzeć przetwarzanie danych osobowych na przesłance niezbędności w celu wykonania umowy, można ocenić odpowiadając na poniższe pytania:
Jaki jest charakter usługi świadczonej na rzecz osoby, które dane dotyczą? Jakie są jej cechy charakterystyczne?
Jakie jest dokładne uzasadnienie zawarcia umowy (tj. jej istota i główny przedmiot)?
Jakie są istotne elementy umowy?
Jakie są wzajemne interesy i oczekiwania stron umowy?
W jaki sposób usługa jest upowszechniana lub reklamowana osobie, której dane dotyczą?
Czy zwykły użytkownik usługi może zasadnie oczekiwać, że z uwagi na charakter usługi planowane przetwarzanie będzie miało miejsce w celu wykonania umowy, której jest stroną?
Z praktycznego punktu widzenia szczególnie istotne wydaje się ostatnie pytanie. Jeśli bowiem w danym przypadku przeciętny użytkownik / klient, racjonalnie rzecz biorąc, nie będzie oczekiwał / przewidywał, że określone przetwarzanie danych osobowych będzie miało miejsce w celu wykonania umowy, którą zawarł, to można argumentować, że tego rodzaju przetwarzanie nie powinno być prowadzone w oparciu o art. 6 ust. 1 lit. b RODO.
Co istotne, Wytyczne 2/2019 wskazują dodatkowo, że
jeżeli w trakcie trwania usługi wprowadza się nową technologię zmieniającą sposób przetwarzania danych osobowych lub usługa zmieni się w inny sposób, powyższe kryteria należy poddać ponownej ocenie, aby określić czy na podstawie art. 6 ust. 1 lit. b) można dokonać jakichkolwiek nowych lub zmienionych operacji przetwarzania.
Specyficzne sytuacje przetwarzania danych osobowych w kontekście realizacji umów
Częstym błędem popełnianym w praktyce jest wskazywanie podstawy przetwarzania z art. 6 ust. 1 lit. b RODO w zakresie przetwarzania danych osobowych osób kontaktowych lub reprezentujących kontrahenta – osobę prawną podczas wykonywania lub podpisywania umowy. Tymczasem niezbędność w celu realizacji umowy nie może być podstawą do przetwarzania danych osobowych osób innych niż osoba fizyczna, która jest stroną umowy. Innymi słowy nie może być podstawą przetwarzania danych np. osób, które zawarły umowę w imieniu kontrahenta lub które działają w imieniu kontrahenta w związku z realizacją umowy.
Zgodnie z Wytycznymi 2/2019:
Gwarancja umowna może stanowić część realizacji umowy, a tym samym przechowywanie pewnych danych przez określony czas po zakończeniu wymiany towarów/usług/płatności do celów gwarancji może być niezbędne do wykonania umowy.
(...) art. 6 ust. 1 lit. b) zasadniczo nie stanowi odpowiedniej i zgodnej z prawem podstawy przetwarzania do celów poprawy jakości usługi lub opracowania nowych funkcji w ramach istniejącej usługi.
Zasadniczo przetwarzanie danych osobowych do celów reklamy behawioralnej nie jest niezbędne do wykonania umowy na usługi online. Ponadto art. 6 ust. 1 lit. b) nie może stanowić podstawy prawnej dla internetowej reklamy behawioralnej tylko dlatego, że reklama taka pośrednio finansuje świadczenie usługi. Chociaż taki rodzaj przetwarzania może stanowić wsparcie dla świadczenia usługi, fakt ten sam w sobie nie wystarcza, aby wykazać, że jest ono niezbędne do wykonania danej umowy.
(...) personalizacja treści może (ale nie zawsze musi) stanowić nieodłączny i oczekiwany element niektórych usług online, a zatem w niektórych przypadkach można ją uznać za niezbędną do wykonania umowy zawartej z użytkownikiem usługi. To, czy taki rodzaj przetwarzania można postrzegać jako nieodłączny element usługi online, zależeć będzie od charakteru świadczonej usługi, oczekiwań przeciętnej osoby, której dane dotyczą, w świetle nie tylko warunków świadczenia usługi, ale również sposobu jej reklamowania użytkownikom, jak również od tego, czy usługę można świadczyć bez personalizacji. Jeżeli personalizacja treści nie jest obiektywnie niezbędna do wykonania danej umowy, na przykład gdy spersonalizowane treści służą zwiększeniu zaangażowania użytkownika w usługę, a nie stanowią jej integralnej części, administratorzy danych powinni, w stosownych przypadkach, rozważyć zastosowanie innej podstawy prawnej.
Kiedy można uznać, że przetwarzanie danych jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy?
Aby przetwarzanie danych osobowych można było oprzeć na podstawie, o której mowa w art. 6 ust. 1 lit. b) RODO, w przypadku przetwarzania danych osobowych przed zawarciem umowy muszą być łącznie spełnione następujące warunki:
Osoba, której dane dotyczą, zaangażowana jest w rozmowy / interakcje z administratorem w związku z rozważanym zawarciem umowy pomiędzy tą osobą a administratorem danych – przy czym inicjatywa rozmów / interakcji w tym zakresie zasadniczo powinna wyjść od osoby, której dane dotyczą,
Osoba, której dane dotyczą, wnioskuje o podjęcie przez administratora działań związanych z rozważanym zawarciem umowy, o której mowa w pkt a), np. o przygotowanie oferty czy projektu umowy do podpisu,
Działania, o których mowa w pkt b), związane są z przetwarzaniem przez administratora danych osobowych osoby, której dane dotyczą,
Przetwarzanie danych, o którym mowa w pkt c), jest niezbędne do podjęcia działań, o których mowa w pkt b).
Jeśli chodzi o ocenę niezbędności danego przetwarzania w celu podjęcia działań przed zawarciem umowy to, ogólnie rzecz biorąc, niezbędne w tym rozumieniu będzie tylko takie przetwarzanie danych osobowych, które, po pierwsze, służy realizacji przez administratora działań na rzecz osoby, której dane dotyczą, o które osoba ta wnioskowała. Po drugie związek między takim przetwarzaniem a realizacją działań przed zawarciem umowy będzie taki, że obiektywnie oceniając, niemożliwa będzie realizacja takich działań przez administratora bez takiego przetwarzania danych.
Dodatkowo Wytyczne 2/2019 wskazują, że:
Druga opcja przewidziana w art. 6 ust. 1 lit. b) może jednak mieć zastosowanie, o ile osoba, której dane dotyczą, wystąpi z żądaniem w kontekście ewentualnego zawarcia umowy, a przetwarzanie danych jest niezbędne do podjęcia wymaganych działań. Zgodnie z powyższym, jeżeli osoba, której dane dotyczą, kontaktuje się z administratorem danych w celu uzyskania informacji na temat oferty usług administratora danych, przetwarzanie danych osobowych osoby, której dane dotyczą, w celu udzielenia odpowiedzi na zapytanie można oprzeć na art. 6 ust. 1 lit. b) (np. przesyła zapytanie o przedstawienie oferty poprzez formularz kontaktowy na stronie internetowej administratora – przyp. autorów).
W żadnym przypadku przepis ten (art. 6 ust. 1 lit. b RODO – przyp. autora) nie obejmuje niezamówionego marketingu ani innego rodzaju przetwarzania dokonywanego wyłącznie z inicjatywy administratora danych lub na żądanie osoby trzeciej.
Niezbędność przetwarzania danych w celu wykonania obowiązku prawnego jako podstawa przetwarzania
Zgodne z RODO jest również przetwarzanie danych osobowych prowadzone przez administratora, które jest niezbędne do wykonania przez administratora obowiązku prawnego.
Przetwarzanie danych osobowych na omawianej podstawie będzie zatem legalne o ile i w zakresie, w jakim spełnione będą łącznie następujące warunki:
na administratorze spoczywa obowiązek określonego działania / zaniechania wynikający z przepisów prawa UE lub państwa członkowskiego, któremu podlega administrator (ustaw, umów międzynarodowych opublikowanych w Dzienniku Ustaw, rozporządzeń unijnych, rozporządzeń krajowych), który wskazuje m.in. cel przetwarzania,
w celu realizacji ww. obowiązku prawnego przez administratora niezbędne jest przetwarzanie danych osobowych przez administratora.
W przypadku polegania na omawianej podstawie przetwarzania danych, z praktycznego punktu widzenia, należy każdorazowo wziąć pod uwagę następujące kwestie:
wskazana jest weryfikacja, czy dany obowiązek prawny faktycznie spoczywa na administratorze, w szczególności czy zachodzą przewidziane w przepisach przesłanki, by oczekiwać od administratora określonego działania czy zaniechania,
należy rozważyć, czy dany obowiązek spoczywający na administratorze rzeczywiście ma charakter obowiązku prawnego w rozumieniu RODO – przykładowo dokumenty o charakterze zaleceń, wytycznych, standardów, dokumenty publikowane przez stowarzyszenia czy izby handlowe nie ustanawiają, co do zasady, obowiązków prawnych w rozumieniu RODO,
jeśli przepisy zawierają bardziej szczegółowe obowiązki w zakresie przetwarzania, np. wskazują, jakie dane osobowe i w jaki sposób przetwarzać w celu realizacji danego obowiązku, administrator powinien ściśle stosować się do treści przepisów w trakcie przetwarzania danych osobowych,
jeśli przepisy przewidują możliwość przetwarzania danych o różnym stopniu inwazyjności czy intensywności, wybór pozostawiając administratorowi, administrator powinien w miarę możliwość wybierać sposoby o mniejszym stopniu inwazyjności czy intensywności (przy założeniu, że cel w postaci realizacji obowiązku zostanie osiągnięty),
jeśli przepisy nie wskazują wyraźnie, jakie dane osobowe i w jaki sposób przetwarzać, nakładając jedynie ogólny obowiązek, należy ocenić, czy i w jakim zakresie przetwarzanie danych osobowych jest niezbędne dla realizacji takiego obowiązku, przy czym niezbędne będzie tylko przetwarzanie w sposób i w zakresie, bez którego nie jest obiektywnie możliwa realizacja obowiązku,
należy rozważyć, czy przepisy przewidują możliwość przetwarzania danych osobowych (np. uprawnienie do stosowania przez pracodawcę monitoringu zgodnie z Kodeksem pracy), czy nakazują określone przetwarzanie – wpływa to na możliwość skorzystania z podstawy przetwarzania z art. 6 ust. 1 lit. c RODO.
Niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej
Zgodne z RODO jest również przetwarzanie danych osobowych prowadzone przez administratora, które jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Ogólnie rzecz biorąc, omawiana podstawa przetwarzania będzie znajdować zastosowanie w wyjątkowych okolicznościach. W Motywie 46 do RODO wskazano:
Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej.
Ponadto, jak słusznie podkreśla doktryna:
rozstrzygnięcie, czy przetwarzanie danych jest niezbędne, powinno być dokonywane indywidualnie, w konkretnym przypadku, z uwzględnieniem faktycznych okoliczności przetwarzania danych (patrz: P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 6).
Przetwarzanie danych osobowych w oparciu o omawianą podstawę będzie legalne, o ile i w zakresie, w jakim spełnione będą następujące warunki:
istnieją żywotne interesy osoby, której dane dotyczą, lub innej osoby fizycznej, które są zagrożone i wymagają ochrony,
administrator może ochronić ww. interesy, ale w tym celu niezbędne jest przetwarzanie danych osobowych przez administratora – „niezbędność” w tym kontekście należy rozumieć w ten sposób, że obiektywnie rzecz oceniając, nie jest możliwa skuteczna ochrona żywotnych interesów bez przetwarzania danych osobowych.
Jak rozumieć pojęcie „żywotne interesy”?
RODO nie zawiera definicji „żywotnych interesów”. Wydaje się, że żywotne interesy są zagrożone przede wszystkim w sytuacjach, w których zagrożone jest życie lub, w sposób poważny, zdrowie danej osoby. Dyskusyjne jest, czy „żywotne interesy”, o których mowa w art. 6 RODO, obejmują również interesy o charakterze majątkowym.
Jako pewną wskazówkę interpretacyjną w doktrynie wskazano:
Zasadniczo przetwarzanie danych osobowych powinno być dopuszczone w takich przypadkach, w których racjonalnie można zakładać, że zainteresowany – gdyby istniała taka możliwość – udzieliłby zgody na przetwarzanie danych. (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 6).
Niezbędność przetwarzania danych do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
Zgodne z RODO jest również przetwarzanie danych osobowych prowadzone przez administratora, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Przetwarzanie danych osobowych na omawianej podstawie będzie zatem legalne, o ile i w zakresie, w jakim spełnione będą łącznie następujące warunki:
administrator realizuje zadania w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, a kwestia realizacji tych zadań uregulowana jest w przepisach prawa (ustawach, umowach międzynarodowych opublikowanych w Dzienniku Ustaw, rozporządzeniach unijnych, rozporządzeniach krajowych), które wskazują m.in. cel przetwarzania danych przez administratora,
w celu realizacji ww. zadań przez administratora niezbędne jest przetwarzanie danych osobowych przez administratora.
W przypadku polegania na omawianej podstawie przetwarzania danych z praktycznego punktu widzenia wskazane jest, by każdorazowo wziąć pod uwagę następujące kwestie:
wskazana jest weryfikacja, czy konieczność realizacji danego zadania faktycznie spoczywa na administratorze, w szczególności czy zachodzą przewidziane w przepisach przesłanki, by oczekiwać od administratora określonego działania czy zaniechania,
należy rozważyć, czy dane zadanie uregulowane jest w przepisach prawa – przykładowo dokumenty o charakterze zaleceń, wytycznych, standardów, dokumenty publikowane przez stowarzyszenia czy izby handlowe nie ustanawiają, co do zasady, „zadań” w rozumieniu np. art. 6 ust. 1 lit. e RODO,
jeśli przepisy zawierają bardziej szczegółowe obowiązki w zakresie przetwarzania, np. wskazują, jakie dane osobowe i w jaki sposób przetwarzać w celu realizacji danego zadania, administrator powinien ściśle stosować się do treści przepisów w trakcie przetwarzania danych osobowych,
jeśli przepisy przewidują możliwość przetwarzania danych o różnym stopniu inwazyjności czy intensywności, wybór pozostawiając administratorowi, administrator powinien w miarę możliwość wybierać sposoby o mniejszym stopniu inwazyjności czy intensywności (przy założeniu, że cel w postaci realizacji obowiązku zostanie osiągnięty),
jeśli przepisy nie wskazują wyraźnie, jakie dane osobowe i w jaki sposób przetwarzać, nakładając jedynie ogólny obowiązek realizacji zadań, należy ocenić, czy i w jakim zakresie przetwarzanie danych osobowych jest niezbędne dla realizacji takiego zadania, przy czym niezbędne będzie tylko przetwarzanie w sposób i w zakresie, bez którego nie jest obiektywnie możliwa realizacja zadania.
Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
Zgodne z RODO jest również przetwarzanie danych osobowych, jeśli jest niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przetwarzanie danych osobowych na omawianej podstawie będzie zatem legalne, o ile i w zakresie, w jakim spełnione będą łącznie następujące warunki:
administrator zamierza prowadzić określone działania w ramach prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
ww. działania wiążą się z przetwarzaniem danych osobowych,
przetwarzanie danych w ramach ww. działań będzie prowadzone w zakresie niezbędnym dla realizacji celów przetwarzania w ramach prawnie uzasadnionych interesów, o których mowa powyżej,
interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem, nie mają nadrzędnego charakteru wobec prawnie uzasadnionych interesów, o których mowa powyżej.
Jak rozumieć „działania w ramach prawnie uzasadnionych interesów”?
„Prawnie uzasadniony interes” nie jest zdefiniowany w RODO. W motywach do RODO wskazano jednak pewne wskazówki interpretacyjne. Motyw 47 wskazuje:
Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Mając na uwadze powyższe, można próbować sformułować następujące ogólne praktyczne wskazówki co do tego, czy określone działania można uznać za „działania w ramach prawnie uzasadnionego interesu”:
muszą być to działania, które są zgodne z prawem,
jednocześnie administrator musi być, ogólnie rzecz biorąc, uprawniony do prowadzenia takich działań (tzn. takie działania, zgodnie z prawem, mogą być – nawet teoretycznie – wykonywane przez administratora),
jednocześnie muszą być to działania, które przynoszą realne, możliwe do zdefiniowania i opisania korzyści administratorowi lub stronie trzeciej.
Jak rozumieć „niezbędność przetwarzania dla realizacji celów przetwarzania w ramach prawnie uzasadnionych interesów”?
Jeśli chodzi o ocenę niezbędności danego przetwarzania w celu podjęcia działań w ramach prawnie uzasadnionego interesu, to, ogólnie rzecz biorąc, niezbędne w tym rozumieniu będzie tylko takie przetwarzanie danych osobowych, które, po pierwsze, służy realizacji przez administratora prawnie uzasadnionych interesów, a po drugie związek między takim przetwarzaniem a realizacją działań będzie taki, że obiektywnie oceniając, niemożliwa będzie realizacja prawnie uzasadnionych interesów przez administratora bez takiego przetwarzania danych.
„Test równowagi” – kluczowe narzędzie w przypadku przetwarzania danych osobowych w ramach prawnie uzasadnionego interesu
Zgodnie z Motywem 47 RODO:
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Z powyższego wynika, że każde przetwarzanie danych osobowych w oparciu o prawnie uzasadniony interes powinno być poprzedzone przeprowadzeniem przez administratora dokładnej oceny, co najmniej w zakresie tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Wskazane jest, by taka ocena (zwana często „testem równowagi”), z punktu widzenia zasady rozliczalności, była również uzupełniona o analizę uzasadniającą stanowisko administratora, że:
określone przetwarzanie danych osobowych prowadzone jest w prawnie uzasadnionym interesie administratora lub strony trzeciej (w tym poprzez odpowiednie opisanie tego interesu),
zaś interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (w szczególności gdy osoba, której dane dotyczą, jest dzieckiem), nie mają nadrzędnego charakteru wobec prawnie uzasadnionych interesów, o których mowa powyżej.
RODO nie przewiduje sposobu wykonania tego rodzaju oceny ani żadnych formalnych wymogów w tym zakresie – administrator ma dowolność co do sposobu, formy i treści takiej oceny. Ważne jest jednak, by ocena zawierała co najmniej odpowiednie uzasadnienie co do kwestii wskazanych powyżej. Rekomendowane jest również, by administrator udokumentował przeprowadzenie takiej oceny i odpowiednio ją zarchiwował, tak aby była łatwo dostępna na wypadek kontroli organu.
Specyficzne sytuacje przetwarzania danych osobowych w ramach prawnie uzasadnionego interesu
W praktyce administratorzy danych często decydują się na przetwarzanie danych osobowych w ramach prawnie uzasadnionego interesu w celu dochodzenia roszczeń, ustalenia roszczeń czy obrony przed roszczeniami przez okres przedawnienia roszczeń. Oceniając pragmatycznie, takie podejście wydaje się uzasadnione. Niemniej należy zwrócić uwagę, że organy nadzorcze, w tym PUODO, niekiedy argumentują, że tego rodzaju przetwarzanie nie jest uzasadnione, o ile nie dotyczy konkretnego roszczenia lub tylko roszczeń o dużym ryzyku wystąpienia.
Motyw 47 RODO wskazuje, że:
Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom.
Motyw 47 RODO wskazuje również, że:
Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Należy jednak zaznaczyć, że nie każde działanie w celu prowadzenia marketingu bezpośredniego będzie można uznać za działanie w ramach prawnie uzasadnionego interesu. Dodatkowo niekiedy realizacja takich działań będzie wymagała dodatkowych czynności ze strony administratora, np. uzyskania zgody adresata na przesyłanie informacji handlowych drogą elektroniczną.
Motyw 48 RODO wskazuje:
Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.
Transfery danych osobowych w ramach grupy kapitałowej to złożone zagadnienie, które obejmuje różne kwestie. Ogólnie rzecz biorąc, choć RODO wskazuje, że:
administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych
wskazane jest przed rozpoczęciem takiego przesyłania dokonanie analizy, czy i w jakim zakresie przedsiębiorcy mogą polegać na prawnie uzasadnionym interesie przy przesyłaniu danych oraz czy konieczne jest spełnienie dodatkowych obowiązków wynikających z RODO w tym zakresie.
W szczególności należy zweryfikować, czy:
przesyłanie danych nastąpi w relacji administrator – administrator czy innej, np. administrator – podmiot przetwarzający, co wiązałoby się z koniecznością zawarcia umowy powierzenia przetwarzania danych,
przesyłanie danych będzie wiązało się z transferem danych osobowych poza Europejski Obszar Gospodarczy, co będzie powodowało konieczność znalezienia podstawy legalizującej taki transfer,
przesyłanie danych miałoby objąć szczególnej kategorii dane osobowe – wtedy podstawą przekazania takich danych nie mógłby być art. 6 ust. 1 lit. f RODO.
Motyw 49 RODO stanowi, że
Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji - tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych - oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.
Prawnie uzasadniony interes a realizacja zadań przez organy publiczne
Omawiana podstawa przetwarzania nie może mieć zastosowania do przetwarzania danych osobowych, którego dokonują organy publiczne w ramach realizacji swoich zadań. Organy publiczne w ramach realizacji swoich zadań powinny polegać na innych podstawach przetwarzania, którymi najczęściej będą:
niezbędność przetwarzania w celu realizacji obowiązku prawnego lub
niezbędność przetwarzania w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Zgodnie ze stanowiskiem PUODO nie oznacza to jednak, że organy publiczne nie będą mogły w ogóle oprzeć się podczas przetwarzania danych na omawianej przesłance:
Analiza tej normy prowadzi do wniosku, że omawiana przesłanka może być stosowana również przez podmioty publiczne, jednakże nie w sytuacji, w której realizują one swoje zadania określone w przepisach jako ustawowe kompetencje.
Komentarz do art. 6
Zasada legalności przetwarzania a art. 6 ust. 1 RODO
Jedną z podstawowych zasad przetwarzania danych osobowych wynikających z RODO jest tzw. zasada legalności przetwarzania (szerzej o tej zasadzie piszemy w komentarzu do art. 5 RODO). Stosownie do tej zasady, aby określone przetwarzanie danych osobowych (niestanowiących danych szczególnych kategorii, o których mowa w art. 9 ust.1 RODO) można było uznać za zgodne z RODO, takie przetwarzanie musi być prowadzone w oparciu o jedną z podstaw przetwarzania wskazanych w art. 6 ust. 1 RODO.
Innymi słowy, jeśli administrator danych osobowych nie jest w stanie zidentyfikować wynikającej z art. 6 ust. 1 RODO podstawy przetwarzania danych dotyczącej prowadzonego przez niego przetwarzania danych osobowych, to takie przetwarzanie danych stanowi naruszenie RODO przez tego administratora.
Art. 6 ust. 1 RODO wskazuje następujące podstawy przetwarzania danych osobowych:
Zgoda osoby, której dane dotyczą, jako podstawa przetwarzania
Zgoda osoby, której dane dotyczą jako podstawa przetwarzania danych osobowych opisana jest w komentarzu do art. 7 RODO.
Niezbędność przetwarzania danych w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, jako podstawa przetwarzania
Zgodne z RODO jest przetwarzanie danych osobowych, które jest:
Kiedy można uznać, że przetwarzanie danych jest niezbędne w celu wykonania umowy, której stroną jest osoba, której dane dotyczą?
Aby przetwarzanie danych osobowych można było oprzeć na podstawie, o której mowa w art. 6 ust. 1 lit. b) RODO, w przypadku przetwarzania w celu wykonania umowy, muszą być łącznie spełnione następujące warunki:
Realizacja umów zawartych z osobami fizycznymi często łączy się z przetwarzaniem ich danych osobowych, w różnych kontekstach, dla różnych celów i w różny sposób. W praktyce odpowiedź na pytanie, czy w danym kontekście administrator danych może oprzeć przetwarzanie danych osobowych o omawianą podstawę, może być trudne. Wątpliwości może budzić zwłaszcza kwestia oceny, co jest faktycznie niezbędne w celu realizacji umowy. Należy każdorazowo wnikliwie analizować poszczególne stany faktyczne czy modele realizacji usług.
Pomocne w ocenie problematycznych kwestii związanych ze stosowaniem omawianej podstawy przetwarzania mogą być opublikowane przez Europejską Radę Ochrony Danych Wytyczne 2/2019 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) w kontekście świadczenia usług online na rzecz osób, których dane dotyczą, Wersja 2.0, 8 października 2019 r. („Wytyczne 2/2019”).
Ważność umowy a podstawa przetwarzania danych
Wytyczne 2/2019 wskazują, że:
Ważność umów, o których mowa powyżej, powinna być każdorazowo oceniana z perspektywy przepisów prawa właściwego dla danej umowy. Taka ocena zasadniczo, w zależności od przepisów, które będą miały zastosowanie, może obejmować ocenę:
Brak zawarcia ważnej umowy pomiędzy administratorem a osobą, której dane dotyczą, wyłącza możliwość oparcia przetwarzania przez administratora danych tej osoby na podstawie wskazanej w art. 6 ust. 1 lit. b RODO.
Niezbędność przetwarzania danych w celu realizacji umowy
Ogólnie rzecz biorąc, niezbędne w celu realizacji umowy z osobą, której dane dotyczą, będzie tylko takie przetwarzanie danych osobowych, które, po pierwsze, służy realizacji umowy przez administratora na rzecz osoby, której dane dotyczą (innymi słowy, przetwarzanie danych osobowych przez administratora jest elementem działań/usług zamówionych lub kupowanych od administratora przez osobę, której dane dotyczą, lub jest związane z innymi działaniami, bez których umowa nie zostanie zrealizowana, np. obsługą płatności). Po drugie związek między takim przetwarzaniem a realizacją usługi musi być taki, że obiektywnie oceniając, niemożliwa będzie realizacja umowy/usługi przez administratora na rzecz osoby, której dane dotyczą, bez takiego przetwarzania danych.
Jeśli chodzi o ocenę niezbędności danego przetwarzania danych dla celów realizacji umowy, Wytyczne 2/2019 wskazują nadto, że:
Powyższy fragment akcentuje kwestię możliwości wykazania przez administratora, że dane przetwarzanie danych jest faktycznie niezbędne w celu realizacji umowy. Administrator na etapie projektowania danego procesu powinien przygotować odpowiednią analizę i uzasadnienie w tym zakresie, zarówno z uwagi na zasadę rozliczalności (patrz art. 5 RODO), jak i na wypadek kontroli czy kwestionowania zasadności danego przetwarzania, np. przez organ nadzoru.
Powyższy fragment akcentuje, że niezbędność przetwarzania należy oceniać z perspektywy obiektywnej (a nie wyłącznie z perspektywy administratora) i że osoby trzecie, w tym organ nadzorczy, mogą kwestionować oceny administratora w tym zakresie.
Inne praktyczne wskazówki pomocne w zakresie badania możliwości przetwarzania danych osobowych w oparciu o „niezbędność w celu wykonania umowy”
Wytyczne 2/2019 wskazują, że to, czy w danym przypadku administrator może oprzeć przetwarzanie danych osobowych na przesłance niezbędności w celu wykonania umowy, można ocenić odpowiadając na poniższe pytania:
Z praktycznego punktu widzenia szczególnie istotne wydaje się ostatnie pytanie. Jeśli bowiem w danym przypadku przeciętny użytkownik / klient, racjonalnie rzecz biorąc, nie będzie oczekiwał / przewidywał, że określone przetwarzanie danych osobowych będzie miało miejsce w celu wykonania umowy, którą zawarł, to można argumentować, że tego rodzaju przetwarzanie nie powinno być prowadzone w oparciu o art. 6 ust. 1 lit. b RODO.
Co istotne, Wytyczne 2/2019 wskazują dodatkowo, że
Specyficzne sytuacje przetwarzania danych osobowych w kontekście realizacji umów
Częstym błędem popełnianym w praktyce jest wskazywanie podstawy przetwarzania z art. 6 ust. 1 lit. b RODO w zakresie przetwarzania danych osobowych osób kontaktowych lub reprezentujących kontrahenta – osobę prawną podczas wykonywania lub podpisywania umowy. Tymczasem niezbędność w celu realizacji umowy nie może być podstawą do przetwarzania danych osobowych osób innych niż osoba fizyczna, która jest stroną umowy. Innymi słowy nie może być podstawą przetwarzania danych np. osób, które zawarły umowę w imieniu kontrahenta lub które działają w imieniu kontrahenta w związku z realizacją umowy.
Zgodnie z Wytycznymi 2/2019:
Kiedy można uznać, że przetwarzanie danych jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy?
Aby przetwarzanie danych osobowych można było oprzeć na podstawie, o której mowa w art. 6 ust. 1 lit. b) RODO, w przypadku przetwarzania danych osobowych przed zawarciem umowy muszą być łącznie spełnione następujące warunki:
Jeśli chodzi o ocenę niezbędności danego przetwarzania w celu podjęcia działań przed zawarciem umowy to, ogólnie rzecz biorąc, niezbędne w tym rozumieniu będzie tylko takie przetwarzanie danych osobowych, które, po pierwsze, służy realizacji przez administratora działań na rzecz osoby, której dane dotyczą, o które osoba ta wnioskowała. Po drugie związek między takim przetwarzaniem a realizacją działań przed zawarciem umowy będzie taki, że obiektywnie oceniając, niemożliwa będzie realizacja takich działań przez administratora bez takiego przetwarzania danych.
Dodatkowo Wytyczne 2/2019 wskazują, że:
Niezbędność przetwarzania danych w celu wykonania obowiązku prawnego jako podstawa przetwarzania
Zgodne z RODO jest również przetwarzanie danych osobowych prowadzone przez administratora, które jest niezbędne do wykonania przez administratora obowiązku prawnego.
Przetwarzanie danych osobowych na omawianej podstawie będzie zatem legalne o ile i w zakresie, w jakim spełnione będą łącznie następujące warunki:
W przypadku polegania na omawianej podstawie przetwarzania danych, z praktycznego punktu widzenia, należy każdorazowo wziąć pod uwagę następujące kwestie:
Niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej
Zgodne z RODO jest również przetwarzanie danych osobowych prowadzone przez administratora, które jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Ogólnie rzecz biorąc, omawiana podstawa przetwarzania będzie znajdować zastosowanie w wyjątkowych okolicznościach. W Motywie 46 do RODO wskazano:
Ponadto, jak słusznie podkreśla doktryna:
Przetwarzanie danych osobowych w oparciu o omawianą podstawę będzie legalne, o ile i w zakresie, w jakim spełnione będą następujące warunki:
Jak rozumieć pojęcie „żywotne interesy”?
RODO nie zawiera definicji „żywotnych interesów”. Wydaje się, że żywotne interesy są zagrożone przede wszystkim w sytuacjach, w których zagrożone jest życie lub, w sposób poważny, zdrowie danej osoby. Dyskusyjne jest, czy „żywotne interesy”, o których mowa w art. 6 RODO, obejmują również interesy o charakterze majątkowym.
Jako pewną wskazówkę interpretacyjną w doktrynie wskazano:
Niezbędność przetwarzania danych do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
Zgodne z RODO jest również przetwarzanie danych osobowych prowadzone przez administratora, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Przetwarzanie danych osobowych na omawianej podstawie będzie zatem legalne, o ile i w zakresie, w jakim spełnione będą łącznie następujące warunki:
W przypadku polegania na omawianej podstawie przetwarzania danych z praktycznego punktu widzenia wskazane jest, by każdorazowo wziąć pod uwagę następujące kwestie:
Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
Zgodne z RODO jest również przetwarzanie danych osobowych, jeśli jest niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przetwarzanie danych osobowych na omawianej podstawie będzie zatem legalne, o ile i w zakresie, w jakim spełnione będą łącznie następujące warunki:
Jak rozumieć „działania w ramach prawnie uzasadnionych interesów”?
„Prawnie uzasadniony interes” nie jest zdefiniowany w RODO. W motywach do RODO wskazano jednak pewne wskazówki interpretacyjne. Motyw 47 wskazuje:
Mając na uwadze powyższe, można próbować sformułować następujące ogólne praktyczne wskazówki co do tego, czy określone działania można uznać za „działania w ramach prawnie uzasadnionego interesu”:
Jak rozumieć „niezbędność przetwarzania dla realizacji celów przetwarzania w ramach prawnie uzasadnionych interesów”?
Jeśli chodzi o ocenę niezbędności danego przetwarzania w celu podjęcia działań w ramach prawnie uzasadnionego interesu, to, ogólnie rzecz biorąc, niezbędne w tym rozumieniu będzie tylko takie przetwarzanie danych osobowych, które, po pierwsze, służy realizacji przez administratora prawnie uzasadnionych interesów, a po drugie związek między takim przetwarzaniem a realizacją działań będzie taki, że obiektywnie oceniając, niemożliwa będzie realizacja prawnie uzasadnionych interesów przez administratora bez takiego przetwarzania danych.
„Test równowagi” – kluczowe narzędzie w przypadku przetwarzania danych osobowych w ramach prawnie uzasadnionego interesu
Zgodnie z Motywem 47 RODO:
Z powyższego wynika, że każde przetwarzanie danych osobowych w oparciu o prawnie uzasadniony interes powinno być poprzedzone przeprowadzeniem przez administratora dokładnej oceny, co najmniej w zakresie tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Wskazane jest, by taka ocena (zwana często „testem równowagi”), z punktu widzenia zasady rozliczalności, była również uzupełniona o analizę uzasadniającą stanowisko administratora, że:
RODO nie przewiduje sposobu wykonania tego rodzaju oceny ani żadnych formalnych wymogów w tym zakresie – administrator ma dowolność co do sposobu, formy i treści takiej oceny. Ważne jest jednak, by ocena zawierała co najmniej odpowiednie uzasadnienie co do kwestii wskazanych powyżej. Rekomendowane jest również, by administrator udokumentował przeprowadzenie takiej oceny i odpowiednio ją zarchiwował, tak aby była łatwo dostępna na wypadek kontroli organu.
Specyficzne sytuacje przetwarzania danych osobowych w ramach prawnie uzasadnionego interesu
W praktyce administratorzy danych często decydują się na przetwarzanie danych osobowych w ramach prawnie uzasadnionego interesu w celu dochodzenia roszczeń, ustalenia roszczeń czy obrony przed roszczeniami przez okres przedawnienia roszczeń. Oceniając pragmatycznie, takie podejście wydaje się uzasadnione. Niemniej należy zwrócić uwagę, że organy nadzorcze, w tym PUODO, niekiedy argumentują, że tego rodzaju przetwarzanie nie jest uzasadnione, o ile nie dotyczy konkretnego roszczenia lub tylko roszczeń o dużym ryzyku wystąpienia.
Motyw 47 RODO wskazuje, że:
Motyw 47 RODO wskazuje również, że:
Należy jednak zaznaczyć, że nie każde działanie w celu prowadzenia marketingu bezpośredniego będzie można uznać za działanie w ramach prawnie uzasadnionego interesu. Dodatkowo niekiedy realizacja takich działań będzie wymagała dodatkowych czynności ze strony administratora, np. uzyskania zgody adresata na przesyłanie informacji handlowych drogą elektroniczną.
Motyw 48 RODO wskazuje:
Transfery danych osobowych w ramach grupy kapitałowej to złożone zagadnienie, które obejmuje różne kwestie. Ogólnie rzecz biorąc, choć RODO wskazuje, że:
wskazane jest przed rozpoczęciem takiego przesyłania dokonanie analizy, czy i w jakim zakresie przedsiębiorcy mogą polegać na prawnie uzasadnionym interesie przy przesyłaniu danych oraz czy konieczne jest spełnienie dodatkowych obowiązków wynikających z RODO w tym zakresie.
W szczególności należy zweryfikować, czy:
Motyw 49 RODO stanowi, że
Prawnie uzasadniony interes a realizacja zadań przez organy publiczne
Omawiana podstawa przetwarzania nie może mieć zastosowania do przetwarzania danych osobowych, którego dokonują organy publiczne w ramach realizacji swoich zadań. Organy publiczne w ramach realizacji swoich zadań powinny polegać na innych podstawach przetwarzania, którymi najczęściej będą:
Zgodnie ze stanowiskiem PUODO nie oznacza to jednak, że organy publiczne nie będą mogły w ogóle oprzeć się podczas przetwarzania danych na omawianej przesłance: