Co w Prawie Piszczy | Uzasadniony interes administratora jako podstawa przetwarzania – w czym rzecz?
7267
post-template-default,single,single-post,postid-7267,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Uzasadniony interes administratora jako podstawa przetwarzania – w czym rzecz?

Legalne przetwarzanie danych osobowych może odbywać się na kilku podstawach, o których już wspominaliśmy w poprzednich wpisach. Tym samym, tak jak w obecnych przepisach krajowych, tak i w RODO znajdziemy katalog przesłanek legalizujących przetwarzanie danych osobowych bez zgody osoby zainteresowanej.

Obowiązujące obecnie przepisy polskiej ustawy o ochronie danych osobowych już w swej pierwotnej wersji z 1997 roku przewidywały, że przetwarzanie danych osobowych możliwe jest także, gdy jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Polska ustawa pod pojęciem „usprawiedliwionego celu administratora” rozumie w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Koncepcję tę w dużej mierze utrzymują unijne przepisy, wskazując w motywie 47 RODO, że takim interesem będzie np. zapobieganie oszustwom czy marketing bezpośredni.

Ustawodawca unijny posłużył się pojęciem „interesu” administratora. Prawnie uzasadniony interes administratora będzie stanowił podstawę prawną tylko dla takiego przetwarzania danych osobowych, które jest niezbędne dla realizacji celu wynikającego z tego interesu. Należy podkreślić, że prawnie uzasadniony interes nie musi wynikać z przepisów prawa. Ograniczeniem dla zastosowania tej podstawy przetwarzania są interesy lub podstawowe prawa i wolności podmiotu, którego dane dotyczą.

Lektura motywów 47 – 49 RODO nakazuje szerokie rozumienie pojęcia „uzasadnionego interesu administratora”. Jego istnienie należy w każdym przypadku oceniać na podstawie tego, czy w czasie i kontekście, w którym dane są zbierane, osoba której dane dotyczą może spodziewać się, że administrator przetwarza jej dane w określonym celu.

Termin „usprawiedliwione cele”, o którym mowa w obecnie obowiązującej polskiej ustawie jest zwrotem niedookreślonym (nieostrym). Skutkuje to pewnego rodzaju luzem decyzyjnym, dzięki któremu organ stosujący prawo może przy podejmowaniu decyzji kierować się ocenami indywidualnymi konkretnej sytuacji. Jak wskazuje GIODO, owe usprawiedliwione cele mają pozostawać w związku z działalnością prowadzoną przez administratora, która nie może być niezgodna z prawem, zasadami współżycia społecznego czy dobrymi obyczajami (tak m.in. Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 października 2015 r., DOLiS/DEC-834/15/92221).

Przekładając powyższe rozważania na grunt praktyczny, można przytoczyć kilka przykładów takiego przetwarzania danych:

  1. przetwarzanie przez bank danych spadkobiercy kredytobiorcy;
  2. przetwarzanie danych przez podmiot trzeci w celu windykacji należności;
  3. udostępnienie przez wydawcę danych w postaci adresu zamieszkania dziennikarza w celu wniesienia powództwa o ochronę dóbr osobistych;
  4. udostępnienie danych osobowych członków spółdzielni mieszkaniowej w razie zbycia przez spółdzielnię wierzytelności z tytułu wpłat na fundusz remontowy;
  5. przetwarzanie przez pracodawcę danych osobowych w postaci przychodu zleceniobiorcy posiadającego status pracownika;
  6. wysyłka przez administratora papierowych broszur informacyjnych i reklamowych dotyczących jego produktów i usług.

 

Powyższe przykłady zaczerpnięte są wprost z decyzji GIODO lub orzeczeń sądów wydanych na podstawie dotychczas obowiązującego przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Ponieważ RODO zastępuje pojęcie
prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych

pojęciem
prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią”,

musimy zaczekać na wdrożenie nowej regulacji, by stwierdzić, jak organ ochrony danych osobowych i sądy rozumieją tę przesłankę przetwarzania w nowej rzeczywistości prawnej.

Tyczy się to zwłaszcza kwestii uzasadnionych interesów realizowanych przez stronę trzecią, chociażby w kontekście marketingu bezpośredniego – czy administrator danych będzie mógł przesyłać użytkownikom informacje handlowe dotyczące innych podmiotów bez jego zgody? Być może tak, choć obecnie, w związku z odmiennym brzmieniem przepisu krajowego wymagana jest dla takiego działania odrębna zgoda. Pytanie jednak, czy użytkownik może oczekiwać, że zamiast mailingu dotyczącego produktów i usług administratora będzie otrzymywał kilka innych, pomimo niewyrażenia na to zgody. Wydaje się, że taką interpretację można przyjąć tylko w przypadku, gdy produkty i usługi podmiotu trzeciego będą podobne / zbliżone do tych administratora danych. Miejmy nadzieję, że praktyka pokaże nam wkrótce, na ile rozluźnienie interpretacyjne w tym zakresie rzeczywiście będzie miało miejsce. Pamiętajmy jednak, że zawsze granicą będą prawa i wolność osoby, której daną są przetwarzane.

Autor: Paulina Maślak-Stępnikowska

SENIOR KONSULTANT / APLIKANT RADCOWSKI

T: (+48) 22 123 52 46
E: paulina.maslak-stepnikowska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj