Wskazany wyżej przepis prawa wprowadza klauzulę o charakterze ogólnym, w ramach której przyjęcie, że przetwarzanie danych bez zgody osoby, której dane dotyczą, jest dopuszczalne, ale wymaga łącznego zaistnienia następujących okoliczności:

1.

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora,

2.

nie zachodzą sytuacje, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Prawnie uzasadniony interes to możliwość przetwarzania danych osobowych zagwarantowana głównie podmiotom prywatnym, przedsiębiorcom. Uzasadniony interes sprowadza się do konkretnych celów, które wynikają z prowadzonej przez te podmioty działalności gospodarczej – może to być zarówno interes faktyczny, ekonomiczny, jak i biznesowy.

Co w praktyce może być uznane za prawnie uzasadniony interes administratora, pozwalający na przetwarzanie danych osobowych? Nie ma w przepisach zamkniętego katalogu możliwych interesów, natomiast w motywach RODO można znaleźć kilka przykładów.

Jednym z przykładów, a zarazem jednym z najczęstszych przypadków stosowania tej przesłanki, jest wskazany marketing bezpośredni. Przedsiębiorstwa mogą oferować swoim klientom inne swoje usługi czy towary, bazując na ich wcześniejszych zakupach. Może to być również badanie satysfakcji klientów czy monitorowanie skuteczności kampanii reklamowych. Należy jednak pamiętać, że w polskim systemie prawnym mamy też inne przepisy, niż RODO, a mianowicie Ustawa z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne, czy Ustawa z dnia 18 lipca 2022 r. o świadczeniu usług drogą elektroniczną, która przewiduje dodatkowe warunki możliwości prowadzenia działań marketingowych, na przykład konieczność uzyskania zgody na przesyłanie informacji handlowej, czy na wykonywanie połączeń telefonicznych w celu marketingu bezpośredniego.

W motywach RODO jako przykład przetwarzania na podstawie prawnie uzasadnionego interesu znajdziemy jeszcze zapobieganie oszustwom czy zapewnienie bezpieczeństwa sieci lub bezpieczeństwa informacji. Natomiast krajowa Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych jako „prawnie usprawiedliwione cele administratora” wskazuje również możliwość dochodzenia roszczeń w związku z prowadzoną działalnością gospodarczą.

Aby zrealizować, wskazane na początku artykułu, okoliczności umożliwiające przetwarzanie danych na podstawie uzasadnionego interesu należy przede wszystkim zidentyfikować uzasadniony interes administratora. Ważne jest, aby cel był zgodny z działalnością administratora i musi on być rzeczywisty, a nie hipotetyczny. Przetwarzanie danych musi być niezbędne do realizacji tego celu, co oznacza, że bez przetwarzania tych konkretnych danych osobowych nie dałoby się tego uzasadnionego interesu osiągnąć.

I rzecz najważniejsza: administrator musi wykonać test równowagi.

Test równowagi w kontekście RODO to proces, którego celem jest ocena, czy „prawnie uzasadniony interes” podmiotu przetwarzającego dane (administratora danych) przeważa nad prawami i wolnościami osoby, której dane dotyczą. Administrator na jednej szali położy swoje uzasadnione interesy, a na drugiej szali wagi kładzie dotyczące ochrony danych osobowych interesy, prawa i wolności osoby fizycznej. W zależności od wyniku testu – administrator będzie mógł, lub nie, powołać się na prawnie uzasadniony interes. Jeśli interesy, prawa i wolności osoby fizycznej mają większą wagę niż interesy administratora, wówczas nie będzie on mógł przetwarzać danych osobowych, powołując się na prawnie uzasadniony interes. Natomiast, jeżeli okaże się, że interesy administratora czy strony trzeciej mają większą wagę (są bardziej zasadne) i ta osoba fizyczna nie ucierpi na tym, że będą przetwarzane jej dane osobowe, wówczas można się na tę podstawę przetwarzania powołać.

Niestety nie mamy w przepisach żadnych jasnych wytycznych, jak taki test powinien być wykonany, ale administrator musi tego dokonać w każdym indywidualnym przypadku, gdy chce się powołać na prawnie uzasadniony interes w przetwarzaniu danych osobowych, z uwagi na zasadę rozliczalności w RODO. Ponadto Administrator musi być w stanie wykazać, że taką analizę przeprowadził.

Pierwszym etapem przeprowadzenia testu równowagi powinna być odpowiedź na pytanie, czy administrator rzeczywiście dysponuje uzasadnionym interesem. Kolejnym etapem testu równowagi będzie ocena wpływu przetwarzania danych osobowych na interesy lub prawa i wolności osób, których dane dotyczą. Nie chodzi jednak tutaj wyłącznie o tak oczywiste negatywne skutki, jak dyskryminacja czy zniesławienie, ale także szerszy kontekst związany z tym, jak dana osoba czuje się z faktem, że jej dane osobowe są przetwarzane.

Niestety nie można wskazać na zamkniętą listę pytań testu równowagi, nie da się tego zrobić, ponieważ na legalność przetwarzania danych w kontekście przesłanki uzasadnionego interesu wpływa zbyt wiele czynników. Niemniej jednak warto wskazać kierunki, w jakich powinny podążać pytania, jakie zadaje sobie administrator:

• czy osoba, której dane dotyczą, może się spodziewać, że jej dane osobowe będą przetwarzane;
• w jaki sposób przetwarzanie danych osobowych na podstawie art. 6 lit. f wpływa na wartość towaru lub usługi;
• czy istnieje ryzyko, że przetwarzanie danych wyrządzi szkodę osobie, której dane dotyczą, a jeżeli tak, jak duże jest to ryzyko i jaka może być potencjalna szkoda;
• czy brak przetwarzania danych na podstawie uzasadnionego interesu może wywołać negatywne skutki dla administratora danych;
• czy interesy osoby, której dane są przetwarzane – są zbieżne z interesami administratora;
• jakie relacje występują między administratorem a osobą, której dane są przetwarzane;
• czy administrator przetwarza dane osobowe z zachowaniem zasady minimalizacji, w sposób zapewniający integralność i poufność tych informacji.

Wytyczne Grupy Roboczej wskazują na cały szereg środków technicznych i organizacyjnych, których zastosowanie pozwala na ograniczenie ryzyka związanego z przetwarzaniem danych osobowych na podstawie nieostrych przesłanek.

Zalicza się do nich m.in.:

• oddzielenie danych w taki sposób, aby mogły być wykorzystane tylko w jednym celu;
• stosowanie anonimizacji danych osobowych;
• agregowanie danych osobowych;
• wprowadzenie bezwarunkowej możliwości rezygnacji z przetwarzania danych przez osobę, której te procesy dotyczą;
• szyfrowanie danych.

Należy podkreślić, że powyższa lista nie ma charakteru wyczerpującego i powinna być modyfikowana w zależności od skali i celu przetwarzania danych osobowych oraz specyfiki prowadzonej działalności gospodarczej. Ważne jest, aby te środki, tak jak sam test równowagi przeprowadzić z wyprzedzeniem, a nie po fakcie, kiedy dane zostały już przetworzone. Dotychczasowa praktyka w obsłudze podmiotów gospodarczych, że w bardzo dużej liczbie przypadków, administratorzy, którzy przetwarzają dane osobowe na podstawie prawnie uzasadnionego interesu, nie wykonali testu równowagi lub nie są w stanie wykazać przeprowadzenia takiego testu.

Brak powyższego może być uznane za brak transparentności w procesie przetwarzania danych osobowych, a także za przetwarzanie niezgodne z prawem.

W konsekwencji niewłaściwe przetwarzanie danych osobowych może skutkować:

• Nałożeniem kar finansowych: Organy nadzoru mogą nałożyć dotkliwe kary pieniężne na firmę, której działania były sprzeczne z RODO, sięgające nawet do 4% rocznych obrotów.
• Obowiązkiem naprawy szkody: Osoby, których dane zostały niewłaściwie przetwarzane, mogą domagać się odszkodowania za doznane szkody, co może prowadzić do znacznych wydatków sądowych.
• Utratą reputacji: W sytuacji, gdy klienci dowiedzą się o niewłaściwym przetwarzaniu ich danych, firma naraża się na utratę zaufania i reputacji na rynku.

Należy podkreślić, że dokumentowanie przeprowadzenia testu równowagi pozwala wykazać, że administrator przestrzega przepisów RODO. Jest to szczególnie ważne, jeśli administrator zostanie poproszony o udowodnienie zgodności z RODO przez UODO.