Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Przetwarzanie danych na podstawie prawnie uzasadnionego interesu

14-09-2018 Autor: Mariola Więckowska
autor : Rys. K. Kanoniak

Jakie są okoliczności, w których dane mogą być przetwarzane na podstawie prawnie uzasadnionego interesu (dalej: PUI)? Jak przeprowadzić ocenę możliwości stosowania PUI jako podstawy prawnej przetwarzania danych, której elementem jest test równowagi?


W art. 6 ust. 1 rodo określono podstawy prawne przetwarzania danych:

  • zgoda – osoba wyraziła zgodę na przetwarzanie swoich danych osobowych;
  • umowa – przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, lub do kontrolowania przez administratora czynności poprzedzających zawarcie umowy na wniosek osoby;
  • obowiązek prawny – przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego, któremu podlega administrator;
  • żywotny interes – przetwarzanie danych osobowych jest niezbędne do ochrony żywotnego interesu osoby lub innej osoby;
  • interes publiczny – przetwarzanie danych jest niezbędne do wykonania zadania w interesie publicznym;
  • PUI – przetwarzanie jest konieczne w ramach prawnie uzasadnionych interesów administratora lub strony trzeciej, chyba że nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Nie istnieje hierarchia podstaw prawnych przetwarzania danych osobowych: wszystkie są jednakowo ważne. Administratorzy wybierają odpowiednią podstawę prawną w zależności od tego, jaki jest cel i zakres przetwarzania danych oraz jakie operacje będą na nich wykonywane. PUI może być brany pod uwagę, gdy nie można użyć innej podstawy prawnej ze względu na charakter i/lub zakres przetwarzania lub kiedy możliwe są inne podstawy, jednak ze względu na kontekst i cel przetwarzania PUI jest najbardziej odpowiedni.


Jeżeli administrator zdecyduje się na przetwarzanie danych na podstawie PUI, to pierwszym krokiem jest przeprowadzenie i udokumentowanie oceny PUI (dalej: OPUI). Udokumentowanie OPUI pomoże administratorowi wykazać stosowanie zasady rozliczalności i przejrzystości przetwarzania danych oraz zagwarantować, że interesy poszczególnych osób w kontekście rodo będą poprawnie zinterpretowane.

Podstawę prawną dla organów publicznych zawsze określa ustawodawca, zatem w swojej działalności nie mogą one przetwarzać danych na podstawie PUI.

Rodo obliguje nas do zapewnienia ochrony osobom, których dane dotyczą, wymagając, aby wszystkie ich interesy oraz podstawowe prawa i wolności były uwzględniane i przeanalizowane niezależnie, a nawet wbrew interesom administratora.

Jak wypełniać prawa osób dla PUI?


Rodo definiuje prawo do informacji, dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu, niepodlegania zautomatyzowanej decyzji, w tym profilowania. Większość z nich stosuje się niezależnie od podstawy prawnej przetwarzania danych. Jednak w przypadku wyboru PUI jako podstawy prawnej należy zwrócić uwagę na:

1. Prawo do informacji – administrator jest zobligowany jasnym i prostym językiem przekazać osobie, której dane dotyczą, informacje o celu przetwarzania oraz o przysługujących jej prawach, w tym osobno o prawie do wniesienia sprzeciwu.

Informowanie osób o PUI może okazać się trudne. Dlatego warto, aby administrator zapewnił podmiot danych, że przetwarzanie nie narusza jego praw i wolności i nie wpływa na niego znacząco. Jednocześnie warto podkreślić korzyści dla tej osoby z zamierzonego przetwarzania. W celu uniknięcia sytuacji, w której spełnienie obowiązku informacyjnego staje się zbyt trudne do zrozumienia, administrator może zastosować podejście warstwowe, dzięki któremu szczegółowe informacje będą dostępne na życzenie.

2. Prawo do usunięcia – nie wykonuje się go automatycznie. W przypadku PUI należy zapewnić możliwość wniesienia sprzeciwu wobec przetwarzania danych w danym celu, co nie zawsze skutkuje ich usunięciem. Dane należałoby usunąć jedynie w przypadku, kiedy administrator nie będzie mógł uzasadnić konieczności ich przetwarzania lub gdy nie są już potrzebne do celu, dla którego pierwotnie zostały zebrane lub gdy przetwarzanie jest uznane za niezgodne z prawem.

3. Prawo do sprzeciwu – administrator wyraźnie informuje osoby o prawie do sprzeciwu wobec takiego przetwarzania w momencie pozyskiwania danych lub najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą; tę informację przedstawia się jasno i odrębnie od wszelkich innych informacji.

[...]

Autorka pracuje w LexDigital jako Head of Privacy Innovative Technologies; pomaga wykorzystywać i wdrożyć nowe technologie w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.