Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Prawnie uzasadniony interes – test badania równowagi

14-09-2018 Autor: Mariola Więckowska

Administratorzy w wielu przypadkach przy przetwarzaniu danych osobowych opierają się na prawnie uzasadnionym interesie (dalej: PUI). Kluczową kwestią koncepcji PUI jest równowaga pomiędzy interesami administratora a interesami, prawami i wolnością osoby.


W celu ustalenia, czy przetwarzanie na tej podstawie jest możliwe, należy przeprowadzić ocenę prawnie usprawiedliwionego interesu (dalej: OPUI). Poniżej przedstawiamy przykładowe narzędzia OPUI, które należy dostosować do potrzeb organizacji. Posłuży ona, zgodnie z zasadą rozliczalności jako materiał dowodowy przy spełnianiu wymogów rodo. Podobnie jak w przypadku oceny skutków dla ochrony danych warto, aby OPUI była okresowo poddawana przeglądowi, w szczególności w przypadku, kiedy kryteria stosowane w ocenie ulegają zmianie.

OPUI zakłada, że spełnione zostały wszystkie wymogi, które mają zastosowanie zgodnie
z art. 5 rodo.

I. Test celu     

1. Jaki jest cel przetwarzania danych?    
Pierwszym etapem jest identyfikacja PUI oraz podanie celu przetwarzania danych osobowych.


2. Czy przetwarzanie jest niezbędne do spełnienia jednego czy więcej celów organizacyjnych?
Jeżeli operacja przetwarzania jest wymagana do osiągnięcia zgodnego z prawem celu, to może być oceniona jako uzasadniona dla tych celów.

 

3. Czy przetwarzanie jest niezbędne do spełnienia jednego lub więcej określonych celów przez stronę trzecią?
Mimo że jeden cel wystarczy do OPUI, to warto podać wszystkie cele, które mogą być osiągnięte za pomocą przetwarzania opartego na PUI zarówno przez administratora, jak i stronę trzecią.

 

4. Czy rodo, ePrivacy lub inne krajowe przepisy identyfikują przetwarzanie jako usprawiedliwione (pod warunkiem przeprowadzenia testu równowagi zakończonego pozytywnym wynikiem)?
Przykładem przetwarzania opartym na PUI jest przetwarzanie danych osób, np. danych klienta lub pracownika przez grupę przedsiębiorstw dla celów administracyjnych (motyw 48 preambuły rodo). Jeżeli administrator przetwarza dane szczególne w kontekście pracowniczym, to może on powołać się na art. 9 ust. 2 lit. b rodo.

II. Test niezbędności

1. Dlaczego czynność przetwarzania jest ważna dla administratora?   

Przetwarzanie danych na PUI może mieć mniejsze lub większe, a czasami nawet kluczowe znaczenie dla administratora. Nawet wtedy jednak, kiedy przetwarzanie dla danego celu jest oczywiste i uzasadnione, administrator powinien zadbać o przekazanie podmiotom danych wymaganych przez rodo informacji w zwięzłej formie.

2. Jeżeli dotyczy, to dlaczego przetwarzanie jest ważne dla innych stron, którym dane mogą być ujawnione?
PUI może być mniej lub bardziej ważny dla biznesu, jednak organizacja musi być w stanie jasno wyjaśnić, na czym on polega. Niektóre cele będą miały dużą wagę w teście równowagi, podczas gdy inne mogą mieć charakter podrzędny. Rozważ, czy Twoje interesy odnoszą się do podstawowego prawa, interesu publicznego czy innego rodzaju interesu.


To, że przetwarzanie jest kluczowe dla administratora, nie oznacza, że jest uzasadnione. Jest to powód, dla którego należy przeprowadzić badanie równowagi pod kątem potencjalnego wpływu na prawa osoby.
Rozważ, na których PUI będziesz polegał, to w połączeniu z celem i kontekstem przetwarzania danych określi wagę PUI.

3. Czy istnieje inny sposób osiągnięcia celu?

  • Jeżeli go nie ma, to jasne jest, że przetwarzanie jest niezbędne.
  • Jeżeli jest inny sposób, ale wymagałby nieproporcjonalnie dużego wysiłku, przetwarzanie jest nadal niezbędne.
  • Jeżeli istnieje wiele sposobów osiągnięcia tego celu, to ocena skutków dla ochrony danych powinna wskazać najmniej inwazyjny sposób przetwarzania danych.
  • Jeżeli przetwarzanie nie jest niezbędne, wówczas nie można oprzeć się na PUI.

III. Test równowagi

1. Czy osoba, której dane dotyczą, spodziewa się, że jej dane będą przetwarzane?  
Jeżeli osoby spodziewają się, że przetwarzanie będzie miało miejsce, wówczas jego wpływ na nie prawdopodobnie był już rozważony i zaakceptowany. W przeciwnym razie będzie on miał większą wagę w teście równowagi.
2. Czy przetwarzanie zwiększa wartość produktu lub usługi, z których korzysta osoba?
3. Czy jest prawdopodobne, że przetwarzanie może negatywnie wpłynąć na prawa osób?
4. Czy jest prawdopodobne, że przetwarzanie może powodować nieuzasadnioną krzywdę lub negatywnie wpływać na osobę?
5. Czy brak przetwarzania danych spowoduje negatywne skutki dla administratora?
6. Czy brak przetwarzania danych spowoduje negatywne skutki dla strony trzeciej?
7. Czy przetwarzanie odbywa się w interesie osoby?

[...]

Autorka pracuje w LexDigital jako Head of Privacy Innovative Technologies; pomaga wykorzystywać i wdrożyć nowe technologie w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.