Co to za prawny interes, jaki może mieć administrator?
Prawnie uzasadniony interes administratora, to nic innego jak działanie będące uzasadnione gospodarczo w kontekście prowadzonej działalności. Mówiąc inaczej – jest to coś niezbędnego do skutecznego prowadzenia firmy, bez czego mogłaby ona ucierpieć (materialnie czy prawnie).
Dla wielu podmiotów niezbędnym elementem prowadzenia firmy są działania marketingowe. Bez nich nie byłoby klientów, a bez klientów – sprzedaży (czyli pieniędzy). Oznacza to, że działania marketingowe zabezpieczają przychód przedsiębiorstwa, są więc prawnie uzasadnione. Do omówienia kwestii prawnie uzasadnionego interesu przy działaniach marketingowych jeszcze wrócimy, a tymczasem zapoznajmy się z kilkoma innymi przykładami celów, do jakich możemy wykorzystać dane na podstawie prawnie uzasadnionego interesu:
- kiedy chcemy chronić ludzi i mienie poprzez monitoring wizyjny,
- aktywne działania w mediach społecznościowych (np. fanpage),
- gdy chcemy zabezpieczyć się przed ewentualnymi roszczeniami,
- wprowadzenie systemu identyfikującego klientów, na przykład na podstawie numeru klienta
- wszelkie inne działania uzasadnione gospodarczo, które nie naruszają interesów osoby, której dane przetwarzamy
Co trzeba zrobić żeby przetwarzać dane osobowe na podstawie prawnie uzasadnionego interesu?
Możliwości przetwarzania danych osobowych zawsze wtedy, kiedy mamy ku temu cel gospodarczy uszczęśliwiłaby wielu przedsiębiorców. Niestety nie wygląda to tak prosto. Aby wykorzystać prawnie uzasadniony interes jako podstawę prawną przetwarzania danych należy spełnić kilka warunków:
• Po pierwsze – należy przeanalizować czy interes jaki mamy nie narusza interesu osoby, której dane mamy przetwarzać. Przykładowo rozpoczynając działania marketingowe musimy liczyć się z tym, że dana osoba może sobie nie życzyć i nie spodziewać się otrzymania maila promocyjnego. Wprowadzając monitoring wizyjny w miejscu pracy musimy liczyć się z możliwością naruszenia poufności pracowników itd. Aby ocenić wagę interesów należy przeprowadzić tak zwany test równowagi.
• Po drugie – wykorzystanie prawnie uzasadnionego interesu do przetwarzania danych jest możliwe wtedy, kiedy nie mamy żadnej innej legalnej podstawy (możliwości). Chodzi tutaj o sytuacje kiedy nie jesteśmy w stanie pozyskać zgody, dane nie są potrzebne do realizacji umowy, czy też nie mamy obowiązku prawnego. Nie jesteśmy też w stanie w żaden inny sposób osiągnąć założonego celu bez przetwarzania danych.
• Po trzecie – przetwarzanie danych będzie odbywało się z poszanowaniem zasad opisanych w art. 5 RODO (rzetelność, legalność, przejrzystość przetwarzania, określenie celu, prawidłowość, ograniczenie przetwarzania, poufność, rozliczalność).
Jak wygląda test prawnie uzasadnionego interesu?
Kiedy uznamy już, że prawnie uzasadniony interes jest jedynym sposobem na osiągnięcie założonego przez nas celu, pora na przeprowadzenie testu. Dzieli się on na 3 części, których skomplikowanie i ilość kwestii do ustalenia zależy od sposobu i zakresu danych, jakie zamierzamy przetwarzać. Będą to kolejno:
- Cześć 1 – test celu, czyli ustalenie do jakiego działania wykorzystamy prawnie uzasadniony interes,
- Część 2 – test niezbędności, czyli określenie czy założonego celu nie możemy osiągnąć w inny, niewymagający przetwarzania danych sposób,
- Część 3 – test interesu administratora i osoby, które dane dotyczą oraz równowagi pomiędzy tymi interesami.
Prawnie uzasadniony interes – na co zwrócić uwagę?
Powiedzmy to od razu – ze wszystkich podstaw prawnych, prawnie uzasadniony interes administratora jest najtrudniejszy do oceny i budzi najwięcej wątpliwości. Określenie jak przetwarzanie może wpłynąć na osobę, której dane dotyczą wymaga interdyscyplinarnej wiedzy. Administrator danych może być zmuszony do konsultowania oceny ze specjalistami z danego zakresu – informatykiem czy prawnikiem lub z osobą, która będzie bezpośrednio odpowiedzialna za przetwarzanie danych (np. marketingowiec).
Co ważne, konsultacje te powinny być udokumentowane, tak aby w razie potrzeby wspomóc uzasadnienie prawnego interesu (np. w postaci formularza oceny).
Musimy też pamiętać, że prawnie uzasadniony interes administratora jest podstawą do przetwarzania danych taką samą, jak inne wymienione w art. 6 RODO i należy zapewnić możliwość realizacji praw podmiotów danych. W tym przypadku będą to:
1. Prawo do informacji – w tym uzyskania informacji o rodzaju prawnie uzasadnionego interesu (art. 12, art. 13, art. 14)
2. Prawo do dostępu do informacji (art. 15)
3. Prawo do sprostowania (art. 16)
4. Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17)
5. Prawo do ograniczenia przetwarzania (art. 18)
6. Prawo do sprzeciwu (art. 21)
7. Prawa związane z zautomatyzowanym podejmowaniem decyzji w tym z profilowaniem (art. 22)
Czy muszę mieć zgodę na marketing?
Wracamy do kwestii, która nurtuje wielu przedsiębiorców – czy muszę mieć zgodę na działania marketingowe?
Odpowiadamy od razu – nie na gruncie RODO.
Nie musimy mieć zgody na marketing bezpośredni. Stanowi on wskazany w motywie 47 prawnie uzasadniony interes i jako taki nie wymaga pozyskania zgody (która jest odrębną podstawą prawną). Nie potrzebujemy więc zgody na przetwarzanie danych do celów marketingowych.
Musimy jednak pamiętać o tym, że oprócz przepisów ochrony danych osobowych obowiązują nas również inne akty prawne. W tym przypadku będą to przede wszystkim: Ustawa o świadczeniu usług drogą elektroniczną (UŚUDE) oraz Prawo telekomunikacyjne (PT), które doprecyzowują kwestie wykorzystania środków komunikacji elektronicznej i urządzeń końcowych do tego typu celów.
Celem obu aktów jest ochrona przed spamem, czyli niezamówionymi informacjami handlowymi. Aby informacja była zamówiona nie musimy jednak pozyskiwać zgody. Może być ona wyrażona również przez jednoznaczną czynność potwierdzającą, jak np. podanie numeru telefonu, zapytanie o ofertę czy zapis na newsletter. W takim wypadku nie musimy zbierać formalnej zgody (jest ona jednak konieczna, jeśli nie wystąpiło takie działanie).
Podsumujmy – zgoda na przetwarzanie danych w celu marketingu nie jest konieczna, chyba że w grę wchodzi wykorzystanie komunikacji elektronicznej lub telekomunikacyjnych urządzeń końcowych.
Specjalista i doradca w zakresie ochrony i bezpieczeństwa danych osobowych. Ukończył studia podyplomowe w zakresie ochrony danych osobowych i bezpieczeństwa teleinformatycznego. Certyfikowany audytor wiodący systemów zarządzania bezpieczeństwem informacji wg. normy ISO 27001. Odpowiada za projekty związane z nowymi technologiami i ecommerce. Szczególnie zainteresowany kwestiami przystępności i jasności komunikacji biznesowej.