Jak przetwarzać dane na podstawie prawnie uzasadnionego interesu?

W październiku bieżącego roku Europejska Rada Ochrony Danych wydała wytyczne 1/2024 dotyczące przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit f RODO).

Nowe wytyczne

Nowe wytyczne zostały przyjęte po ponad dziesięciu latach od wydania przez poprzednika EROD – Grupę Roboczą art. 29 – opinii 6/2014  z 9 kwietnia 2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 poprzednio obowiązującej dyrektywy 95/46/WE.  Wytyczne bazują na treści przepisów RODO, jego motywach a także bogatej doktrynie i orzecznictwie narosłych wokół tej przesłanki, korzystając jednocześnie z całokształtu ich dorobku obejmującego oba akty prawne.

Kiedy prawnie uzasadniony interes może być przesłanką przetwarzania?

Po pierwsze wystąpić musi dążenie do uzasadnionego interesu przez administratora lub osobę trzecią. Po drugie, konieczność przetwarzania danych osobowych w celu realizacji uzasadnionego interesu (lub interesów) (tj. przetwarzanie danych osobowych musi być „konieczne” do tych celów). Po trzecie, interesy lub podstawowe wolności i prawa zainteresowanych osób, których dane dotyczą, nie mają pierwszeństwa przed uzasadnionym interesem (lub interesami) administratora lub osoby trzeciej.

Sam prawnie interes  uznać możemy za uzasadniony, gdy łącznie:

1. jest on zgodny z prawem, tj. nie jest sprzeczny z prawem UE lub państwa członkowskiego. Podczas gdy koncepcja „uzasadnionego interesu” w rozumieniu artykułu 6 ust. 1 lit f RODO nie ogranicza się do interesów określonych przez prawo, wymaga, aby uzasadniony interes był z prawem zgody,
2. interes jest jasno i precyzyjnie określony. Granica uzasadnionego interesu, którego dotyczy, musi być wyraźnie określona, ​​aby zapewnić, że będzie on właściwie zrównoważony z interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą.
3. interes jest rzeczywisty i aktualny, a nie spekulatywny. Zgodnie z wyjaśnieniem TSUE uzasadniony interes musi być obecny i skuteczny w dniu przetwarzania danych i nie może być w tym momencie hipotetyczny.

Balansowanie uzasadnionego interesu oraz praw i wolności podmiotów danych

Przed rozpoczęciem przetwarzania analizie należy poddać, czy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Wówczas podstawa taka nie może być stosowana. Zgodnie z wytycznymi metoda testowania tych dwóch wartości uwzględnia:

1. Interesy, podstawowe prawa i wolności osób, których dane dotyczą.
2. Wpływ przetwarzania na osoby, których dane dotyczą, w tym:
   1. charakter przetwarzanych danych,
   2. kontekst przetwarzania i
   3. wszelkie dalsze konsekwencje przetwarzania.
3. Uzasadnione oczekiwania osoby, której dane dotyczą.
4. Ostateczne wyważenie przeciwstawnych praw i interesów, w tym możliwość wprowadzenia dalszych środków łagodzących.

 

Relacja przesłanki prawnie uzasadnionego interesu do realizacji praw

W wytycznych opisano związek tej przesłanki przetwarzania z prawami przysługującymi osobom  których dane dotyczą. Wskazano na istotną rolę obowiązków informacyjnych, które nie mogą jednak w pełni kształtować oczekiwań osoby. Oczekiwania te (np. relacja sprzedawca-kupujący) istotnie wpływają bowiem na finalny wynik testu równowagi.

Podkreślono, że mimo iż prawo dostępu do danych nie uwzględnia przedstawienia wnioskodawcy przesłanki przetwarzania, to jednak dobrą praktyką – wynikającą również z zasady przejrzystości – jest jej wskazanie. Szerzej opisano  również prawo do sprzeciwu w związku ze szczególną sytuacją osoby oraz prawo do usunięcia danych.

Wskazano, że automatyczne podejmowanie decyzji, w tym oparte na profilowaniu nie może opierać się na prawnie uzasadnionym interesie. A oceniając, czy możemy z niej skorzystać jedynie do samego profilowania wziąć należy pod uwagę:

• poziom szczegółowości profilu (podmiot danych może być profilowany w szeroko opisanej grupie, takiej jak „osoby zainteresowane literaturą angielską” lub na poziomie bardziej szczegółowym);
• kompleksowość profilu (czy profil opisuje tylko niewielki aspekt podmiotu danych, czy też przedstawia bardziej kompleksowy obraz);
• wpływ profilowania (skutki dla podmiotu danych);
• możliwe przyszłe połączenie profili; i
• zabezpieczenia zapewniające uczciwość, niedyskryminację i dokładność w procesie profilowania.

Aplikacja w poszczególnych kontekstach

W wytycznych analizie poddano zastosowanie prawnie uzasadnionego interesu jako przesłanki przetwarzania przy wykorzystaniu danych osobowych dzieci, podkreślając wymóg ich szczególnej ochrony, rygorystycznego podejścia do testu równowagi i starannej oceny jakie dane, dzieci w jakim wieku i z jakiej grupy (uczniowie, pacjenci, gracze komputerowi) mają być przetwarzane.

Pochylono się również nad przetwarzaniem danych przez instytucje publiczne – podkreślając, że omawiana przesłanka może znaleźć zastosowanie w procesach zachodzących poza publicznymi zadaniami takich podmiotów. Omówiono również przeciwdziałanie oszustwom oraz działalność marketingową.

Pełna treść wytycznych dostępna jest tutaj: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en