Test równowagi (PUI)-Prawnie uzasadnionego interesu

BySylwia Ostrowska

test równowagi

Wśród podstaw określających legalne przetwarzanie danych osobowych (art. 6 ust 1 lit. f) RODO), największe wątpliwości wywołuje podstawa, związana z przetwarzaniem niezbędnych danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią. Podstawę prawnie uzasadnionego interesu administratora lub strony trzeciej można uznać za najbardziej elastyczną przesłankę prawną, na której administrator może oprzeć przetwarzanie danych osobowych.

Prawnie uzasadniony interes

Administrator przetwarzając dane osobowe jest zobowiązany do wyboru właściwej podstawy prawnej. Adekwatnej do celu i zakresu przetwarzania danych, a także rodzaju czynności jakie chcę na nich wykonywać. Uważa się, że prawnie uzasadniony interes bierze się pod uwagę jedynie wówczas, gdy nie można użyć innej podstawy prawnej lub nie możliwe są inne podstawy. Administrator, chcąc w pełni legalnie powołując się na przesłankę uzasadnionego interesu, musi być w stanie wykazać, że:

  • przetwarzanie danych osobowych we wskazanym celu jest niezbędne, konieczne i proporcjonalne do tego celu;
  • interesy lub podstawowe prawa i wolności osób, których dane dotyczą nie mają charakteru nadrzędnego nad interesami administratora lub strony trzeciej.
Wykazanie legalności PUI

Administrator musi dokonać analizy i oceny niezbędnej do przetwarzania danych. Wykazać także jaki będzie to miało wpływ na interesy i podstawowe prawa osoby fizycznej. W tym celu należy przeprowadzić tzw. Test równowagi Prawnie Uzasadnionego Interesu (PUI). Następnie powinien go stosownie udokumentować w ramach zasady rozliczalności. Test równowagi należy przeprowadzić przed rozpoczęciem przetwarzania danych osobowych. Wynik testu wykaże nam czy interesy administratora lub strony trzeciej są rzeczywiście prawnie uzasadnione.

Wykonujemy test równowagi

Wykonując test równowagi administrator powinien wziąć pod uwagę charakter interesów, zakres i kategorie przetwarzanych danych. Także to czy osoby, których dane dotyczą mogą spodziewać się takiego przetwarzania oraz jaki to ma na nie wpływ. Ważne jest również określenie statusu osoby i administratora oraz sposobu przetwarzania danych, np. czy przetwarzanie obejmuje profilowanie danych. Prawidłowo przeprowadzony test równowagi, którego wartość nie zostanie podważona, powinien badać całokształt okoliczności planowanego przetwarzania danych. Test rozpoczyna się od wstępnego ustalenia równowagi interesów obu stron, tzn.:

  • zidentyfikowania prawnie uzasadnionych interesów administratora i celu, w którym są one realizowane, przy czym administrator zapewnia że jego interesy są zgodne z prawem, konkretne i rzeczywiste
  • wskazania interesów, podstawowych praw i wolności podmiotu danych, które mogą być naruszone przez przetwarzanie danych osobowych.
Test równowagi wynik pozytywny

Jeśli test wskaże, że interes Administratora jest nadrzędny w stosunku do interesu podmiotu danych, to może on przetwarzać dane na podstawie PUI. Wiąże się to z wpływem zastosowania danej podstawy przetwarzania na realizację obowiązków prawnych spoczywających na Administratorze.

Negatywny wynik testu

Jeżeli w wyniku przeprowadzonego testu równowagi administrator oceni, że nie powinien opierać przetwarzania w danym celu na podstawie prawnie uzasadnionego interesu, powinien zaniechać przetwarzania, lub spróbować oprzeć przetwarzanie na innej podstawie prawnej tj. np. zgodzie (art. 6 ust. 1 lit. a) RODO). W tym wypadku należy jednak pamiętać, że aby zgoda była legalna musi spełniać określone wymagania wymienione w art. 7-8 RODO.

Przykład zastosowania PUI

Przykładem jest tu stosowanie monitoringu wizyjnego przez Administratora, który trzeba uzasadnić i posiadać podstawę w przepisach RODO. Najczęstszą z podstaw będzie okoliczność, iż przetwarzanie danych osobowych w wykorzystaniem obrazu niezbędne jest do celów wynikających z PUI administratora. W ramach zapewnienia bezpieczeństwa osób przebywających na terenie administratora i jego mienia.

RODO daje możliwość Administratorowi powołania się na przesłankę prawnie uzasadnionego interesu tylko wtedy, gdy ma on nadrzędny charakter. Administrator musi wykazać, że był uprawniony do skorzystania z tej szczególnej przesłanki legalizującej. Niezgodne z przepisami przetwarzanie danych, w szczególności przetwarzanie ich bez wystarczającej podstawy prawnej, może skutkować nałożeniem kary pieniężnej. Istotna jest możliwość wykazania odpowiedniego wyważenia interesu administratora.

Więcej o karach nakładanych przez Prezesa UODO dowiecie się z naszego wcześniejszego artykułu („kontrole i kary UODO”).