Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Test równowagi RODO – czym jest i kto powinien go przeprowadzać?

Test równowagi RODO – czym jest i kto powinien go przeprowadzać?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Niedługo minie 10 lat, od kiedy RODO zagościło w europejskim i polskim porządku prawnym. Mimo to dalej potrafi przysporzyć przedsiębiorcom problemów, szczególnie w przypadku przetwarzania danych osobowych, którego podstawa nie jest jednoznaczna. To gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, czy też do wypełnienia obowiązku prawnego ciążącego na administratorze, jest w miarę jasne. Rzadko kiedy dochodzi tutaj zatem do popełnienia błędu. Inaczej jest jednak przy przesłance, która pozwala na przetwarzanie danych, jeżeli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Może się tu pojawić wiele pytań, między innymi, czym są owe interesy oraz czy aby na pewno są one właściwie uzasadnione. Aby mieć pewność co do legalności przetwarzania danych w tym wypadku, należy wykonać test równowagi RODO. Czym jest i jak się go przeprowadza?

Przetwarzanie danych osobowych zgodne z prawem a uzasadniony interes administratora

To, w jakich sytuacjach możliwe jest przetwarzanie danych osobowych konsumentów, zostało opisane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku, czyli popularnym RODO. Katalog ten ma charakter zamknięty, zatem przedsiębiorca może zbierać, przechowywać, wykorzystywać i archiwizować dane osobowe osób fizycznych wyłącznie w okolicznościach przewidzianych przez prawodawcę unijnego.

Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (nie ma zastosowania, jeżeli administratorem jest organ publiczny).

Najwięcej problemów przysparza przesłanka ostatnia, warunkująca możliwość przetwarzania od uzasadnionych interesów administratora. Jak ją w ogóle rozumieć?

Warunek ten wprowadza klauzulę o charakterze ogólnym. W jej ramach przyjmuje się, że przetwarzanie danych jest dopuszczalne nawet bez zgody osoby, której one dotyczą, o ile odbywa się w prawnie usprawiedliwionym celu administratora danych (lub osoby trzeciej) i nie przeważa nad interesem osoby, której dane dotyczą, nie naruszając jednocześnie jej praw i wolności.

Za prawnie uzasadniony interes możemy rozumieć takie okoliczności, kiedy to przetwarzanie danych osobowych jest niezbędne do prowadzenia działalności gospodarczej przedsiębiorcy (administratora danych). Interes nie musi przy tym wynikać z żadnego aktu prawnego (np. ustawy), ale też nie może być sprzeczny z prawem, zasadami współżycia społecznego lub dobrymi obyczajami. Naczelny Sąd Administracyjny w wyroku z 6 czerwca 2005 roku (sygn. akt: I OPS 2/05) uznał, iż koncepcja ochrony danych osobowych opiera się na balansowaniu interesów.

Z jednej strony przetwarzanie danych musi gwarantować bezpieczeństwo tych danych, z drugiej nie może ograniczać działalności gospodarczej w takim stopniu, że jej prowadzenie będzie niemal niemożliwe. Trzeba jednocześnie podkreślić, że nie chodzi tutaj o każdy interes administratora, a tylko taki, który jest niezbędny. Wobec tego przedsiębiorca może korzystać tylko z takich danych, które są konieczne dla osiągnięcia usprawiedliwionego celu. Cel ten musi być przy tym jasny i precyzyjny. Administrator musi zatem uważać, aby gromadzone dane nie wykraczały poza granice przyjętego celu. Reasumując, przetwarzanie danych dla realizacji określonego celu musi być niezbędne i nie da się go realnie osiągnąć w żaden inny sposób dostępny administratorowi danych (inne bowiem narzędzia będzie posiadała osoba prowadząca sklep spożywczy, a inne jednostka państwowa zajmująca się przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu).

Przykład 1.

Firma prowadząca sklep odzieżowy zainstalowała kamery monitoringu w celu zapobiegania kradzieżom i zwiększenia bezpieczeństwa pracowników oraz klientów. Czy ma do tego prawo?

Tak, w tym przypadku interes firmy, tj. zapewnienie ochrony mienia, uzasadnia przetwarzanie danych osobowych konsumentów (wizerunku osób nagrywanych). Aby jednak nie narażać się na możliwość istotnego naruszenia praw i wolności osób nagrywanych, powinna ona zadbać o odpowiednie informowanie o monitoringu i unikać nagrywania miejsc prywatnych (np. toalet, przebieralni oraz pomieszczeń socjalnych).

Czym jest test równowagi RODO?

Gdy wiemy, kiedy prawnie usprawiedliwione interesy administratora dają mu prawo do przetwarzania danych osobowych konsumentów, zacznijmy temat testu równowagi RODO. Jest to proces, w którego ramach administrator ocenia, czy w danych okolicznościach interesy lub podstawowe prawa i wolności osób, których dane mają być przetwarzane, nie mają charakteru nadrzędnego nad jego interesami.

Warto dodać, że test równowagi RODO jest obowiązkiem, nie zaś możliwością. Każdy podmiot, który rozważa pozyskiwanie i wykorzystywanie danych na podstawie art. 6 ust. 1 lit. f RODO, musi dokonać omawianej analizy.

Wyniki testu równowagi RODO pokazują, czy w danej sytuacji istnieje w ogóle przesłanka do przetwarzania danych osobowych, zatem przeprowadzenie testu zawsze powinno poprzedzać proces przetwarzania danych osobowych. Wykonanie analizy w trakcie przetwarzania jest równoznaczne z niedochowaniem prawnych obowiązków administratora danych.

Test równowagi RODO – jak powinien wyglądać?

Przeprowadzenie testu równowagi jest obowiązkiem administratora, mimo to ustawodawca unijny nie zdecydował się dokładnie unormować treści takiego testu. Od wprowadzenia rozporządzenia unijnego minęło już niemal 10 lat, w tym czasie wykształciło się wiele metodologii i stworzono wiele narzędzi, dzięki którym możliwe jest przeprowadzenie omawianej oceny. Nie ma jednak jednej spójnej, „idealnej” i zawsze właściwej techniki przeprowadzania analizy, która gwarantuje prawidłowe przetwarzanie danych osobowych. Wszystko zależy od indywidualnej sytuacji.

Administrator, chcąc mieć pewność, że właściwie używa cudzych danych, powinien odpowiedzieć sobie na trzy podstawowe pytania:

  1. Czy istnieje prawnie uzasadniony interes, który wymaga przetwarzania określonych danych osobowych?
  2. Czy przetwarzanie tych danych jest niezbędne do realizacji celów administratora?
  3. Czy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, nie mają charakteru nadrzędnego w stosunku do jego interesów?

Jeżeli wszystkie odpowiedzi będą twierdzące, może on rozpocząć przetwarzanie niezbędnych danych osobowych.

Kroki testu równowagi RODO

W poprzednim akapicie wskazaliśmy na trzy podstawowe pytania, które powinien zadać sobie każdy administrator chcący przetwarzać dane osobowe na podstawie art. 6 ust. 1 lit. f RODO. Czasami jednak trudno odpowiedzieć na tak ogólne pytania. Warto wówczas podejść do tematu bardziej szczegółowo. Dzięki pogłębionej analizie łatwiej będzie zdobyć pewność, czy działanie administratora na pewno jest właściwe.

Pierwszym krokiem jest identyfikacja prawnie uzasadnionego interesu. Tutaj administrator powinien odpowiedzieć na następujące pytania:

  • Jakie cele chce osiągnąć?
  • Czy są one dokładnie sprecyzowane?
  • Czy są one realne do spełnienia?
  • Czy są one zgodne z prawem, zasadami współżycia społecznego lub dobrymi obyczajami?
  • Czy nie naruszają interesów osób, których dane dotyczą?

Drugim krokiem jest ocena wpływu przetwarzania danych osobowych na osoby, których one dotyczą. Tutaj należy odpowiedzieć na takie pytania jak:

  • Jakie dane mają być przetwarzane i czy mają one charakter danych wrażliwych?
  • Jeżeli dane mają charakter wrażliwy, to w jak dużym stopniu?
  • Czy przetwarzane dane dotyczą dzieci?
  • Czy istnieje ryzyko popełnienia błędu przy przetwarzaniu danych?
  • Jak głębokie szkody mogą zostać wyrządzone przez przetwarzanie danych?

Trzecim i ostatnim krokiem w teście równowagi RODO jest przeprowadzenie oceny proporcjonalności i wdrożonych zabezpieczeń. Tutaj administrator musi sobie zadać następujące pytania:

  • Jaki sposób przetwarzania danych osobowych został przyjęty w przedsiębiorstwie oraz jakie środki techniczne i organizacyjne zostały wdrożone celem zapewnienia zabezpieczenia danych?
  • Czy istnieją mniej inwazyjne sposoby osiągnięcia zamierzonych celów?
  • Czy osoby, których dane dotyczą, zostały prawidłowo poinformowane o możliwości przetwarzania ich danych osobowych?

Wszystkie powyższe pytania są „otwarte”. Jest to bardzo istotne, omawiana analiza możliwości przetwarzania danych, mimo że nosi nazwę „testu”, nie jest bowiem zero-jedynkowa. Nie da się tak skonstruować pytań w tej kwestii, w których odpowiedzi brzmiałyby jedynie „tak” lub „nie”. Podchodząc do testu, nie można mieć z góry ustalonej tezy i próbować dostosowywać pod nią odpowiedzi. Należy podchodzić do tej materii rzetelnie, odpowiedzialnie i uczciwie. Bezpieczeństwo danych osobowych osób fizycznych (ludzi) jest bardzo ważne, tym bardziej obecnie, kiedy istnieje tak wiele zagrożeń i cały czas powstają nowe. Jeżeli administrator musi „naciągać” odpowiedzi, to znaczy, że albo jego interes nie jest na tyle ważny, albo narzędzia służące ochronie danych w jego firmie są niewystarczające. W takim wypadku warto rozważyć wdrożenie odpowiednich modyfikacji i poprawek do procedur RODO, tak aby przy osiąganiu celów przedsiębiorstwa nie ucierpiał żaden konsument.

Polecamy:

Wakacje od ZUS 2025 – rewolucja w opłacaniu składek

Zgoda na mailing – wzór z omówieniem
Czerwiec 2025
10
Wtorek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Dzień ustawowo wolny od pracy
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  4. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Zgoda na mailing – wzór z omówieniem

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Konferencja Trendy HR: HR jako lider zmian
Konferencja Kadrowo-Płacowa ONLINE już 24- 25.06.2025!
AI Stage Warsaw #3 – sztuczna inteligencja w praktyce wraca na scenę!
I Ogólnopolska Konferencja ,,Razem Przeciw Mobbingowi" już 30.06.2025 r. we Wrocławiu
Rzeszów gospodarzem Kongresu Bezpieczeństwo Polski! Dyskusje o bezpiecznej Polsce już w czerwcu. Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów