Jedną z podstaw prawnych przetwarzania danych osobowych może być prawnie uzasadniony interes administratora – art. 6 ust. 1 lit. f Rozporządzenia o ochronie danych osobowych (dalej RODO).
Prawnie uzasadniony interes administratora danych osobowych może istnieć:
- gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz;
- również, gdy przetwarzanie danych osobowych jest bezwzględnie niezbędne do zapobiegania oszustwom;
- można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego* (należy pamiętać o ograniczeniach wynikających z innych przepisów);
- ustalenie, dochodzenie lub obrona roszczeń.
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Przetwarzanie danych w ramach grupy przedsiębiorstw?
Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników.
Test równowagi wg. RODO
Brytyjski organ nadzorczy (odpowiednik Prezesa Urzędu Ochrony Danych Osobowych) zauważa, iż chcąc powołać się na art. 6 ust. 1 lit . f RODO należy przeprowadzić tzw. test równowagi, biorąc pod uwagę następujące aspekty:
- cel – jaki ma być cel przetwarzania danych? czy jest on zgodny z prawem?
- niezbędność – czy przetwarzanie danych jest niezbędne do osiągnięcia wskazanego celu?
- równowaga – czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych?
- wpływ na prawa lub wolności osoby fizycznej – czy przetwarzanie rodzi ryzyko naruszenia praw lub wolności osoby, której dane dotyczą?
Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit . f RODO nie będzie mogło stanowić podstawy do przetwarzania danych osobowych, jeżeli w wyniku przeprowadzonego testu/ oceny okaże się, iż interesy, podstawowe prawa i wolności osoby, której dane dotyczą są nadrzędne/ istotniejsze niż prawnie uzasadniony interes administratora.
Czy można się powołać na uzasadniony interes administratora w przypadku danych szczególnych kategorii?
Nie, gdyż art. 9 ust. 2 RODO nie ma podobnej podstawy jak w art. 6 ust. 1 lit. f RODO, która dotyczy danych zwykłych.