RODO test równowagi (balancing test) – kiedy i jak go wykonać?
Przygotowałem dla Ciebie krótką instrukcję dotyczącą wykonania testu równowagi. Test powinien zostać przeprowadzony za każdym razem, kiedy przetwarzasz dane osobowe w oparciu o prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).
Czy wykonanie testu jest trudne? Nie musi takie być. Wystarczy, że zwrócisz uwagę na kilka kluczowych elementów.
Idea, która stoi za wykonaniem testu równowagi
Osoby zajmujące się ochroną danych osobowych jeszcze przed wejściem w życie RODO, na pewno pamiętają przesłankę tzw. „prawnie usprawiedliwionego celu”. Jeśli przetwarzanie danych osobowych było realizowane w ramach prawnie usprawiedliwionego celu, to było legalne. Tak wskazywał art. 23 ust. 1 pkt 5 nie obowiązującej już ustawy o ochronie danych osobowych.
W praktyce pojawiały się różne interpretacje pojęcia prawnie usprawiedliwionego celu. Niektórzy administratorzy danych nadużywali tej przesłanki, opierając na niej prawie każdy proces.
Z drugiej jednak strony elastyczna przesłanka legalności jest po prostu niezbędna. Bez niej świat ochrony danych osobowych zacząłby funkcjonować w sposób absurdalny.
Wyobraźmy sobie sytuację, w której w przepisach nie ma elastycznej przesłanki legalności. Wchodząc do każdego centrum handlowego objętego monitoringiem, bylibyśmy proszeni o wyrażenie zgody na przetwarzanie danych osobowych. Wymieniając się wizytówkami z potencjalnym klientem czy przystępując do procesu windykacji – także powinniśmy rozważyć konieczność zebrania odpowiednich zgód.
Twórcy RODO wyciągnęli ważne wnioski z funkcjonowania poprzednich przepisów. Po pierwsze, zachowali elastyczną przesłankę legalności. Po drugie zadbali o to, żeby nie była ona nadużywana na tak dużą skalę jak kiedyś.
Ograniczona elastyczność
W przepisach RODO, elastyczną przesłanką legalności, jest „prawnie uzasadniony interes”. Ale uwaga, nie można z tej przesłanki skorzystać, jeśli „nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.
Jak więc sprawdzić czy nad naszym prawnie uzasadnionym interesem, nie przeważają inne ważne interesy lub prawa? Tu właśnie z pomocą przychodzi test równowagi. Test pozwoli nam położyć na szali i zważyć dwa ważne interesy: administratora danych oraz osób, których dane dotyczą.
Jeśli przeważą interesy administratora danych – możesz przetwarzać dane osobowe, bez zgody osoby, której one dotyczą. Jeśli przeważą interesy osoby, której dane dotyczą – nie powinieneś korzystać z przesłanki prawnie uzasadnionego interesu.
Nie oznacza to jednak, że musisz całkowicie zrezygnować z realizacji tego interesu i np. porzucić pomysł biznesowy. Konieczne będzie jednak dokonanie zmian w procesie przetwarzania, tak aby ograniczyć wpływ na osobę. Na przykład poprzez zastosowanie bardziej restrykcyjnych środków ochronnych, które mogą „przechylić” równowagę na stronę administratora.
Dla kogo robię test równowagi?
Na początku dla siebie. Dzięki temu, że każdy proces oparty na prawnie uzasadnionym interesie przejdzie test równowagi, możesz spać spokojniej. Test równowagi pozwoli Ci wychwycić ewentualne ryzyko naruszenia praw i wolności osób, których dane przetwarzasz. Wpisuje się więc w podejście oparte na ryzyku (risk based approach).
Co równie istotne, regulator wykonując kontrolę, może Cię poprosić o wyjaśnienie, dlaczego interesy administratora danych, są istotniejsze niż prawa i wolności osoby, której dane dotyczą. Bez przeprowadzonego testu równowagi nie udzielisz satysfakcjonującej odpowiedzi na pytanie regulatora.
Test równowagi wpisuje się więc również w kluczową zasadę RODO – zasadę rozliczalności. Wykonanie analizy we wnętrzu własnego umysłu oczywiście jest możliwe. Jednak w praktyce taka odpowiedź nie usatysfakcjonuje regulatora. Dopiero udokumentowanie tego jak przebiegał nasz proces myślowy, pozwoli wykazać pełną rozliczalność.
Kiedy muszę wykonać test równowagi
Optymalną sytuacją będzie oczywiście wykonanie testu, jeszcze zanim zaczniesz przetwarzać dane osobowe. Jeśli przetwarzanie danych już ma miejsce przystąp do wykonania testów najszybciej jak to możliwe. Zgodnie z zasadą „lepiej późno niż wcale”
Test równowagi musisz wykonać jedynie wtedy, kiedy przetwarzasz dane osobowe na podstawie tzw. prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Dla żadnej z innych przesłanek legalności (np. przepisu prawa, zgody, etc.), nie ma konieczności wykonywania testu.
W praktyce dość często zdarzają się sytuacje przetwarzania danych osobowych w oparciu o art. 6 ust. 1 lit. f RODO. Z naszej wewnętrznej statystyki, którą prowadzimy w Lex Artist, wynika, że każdy administrator opiera średnio 10 procesów w całości lub w części na ww. przesłance.
Jakie to mogą być procesy? W Opinii w sprawie pojęcia prawnie uzasadnionych interesów z 2014 r. Grupa Robocza Art. 29 wskazała, że prawnie uzasadnione interesy (wtedy występujące jako prawnie usprawiedliwione cele) mogą być odpowiednią podstawą prawną do wykorzystania do niektórych rodzajów działań marketingowych, zarówno on-line jak i offline, przy zapewnieniu odpowiednich środków ochronnych (włączając w to, m.in. działający mechanizm polegający na zgłoszeniu sprzeciwu wobec takiego przetwarzania).
Opinie ekspertów
Z procesami opartymi na prawnie uzasadnionych interesach będziemy mieli do czynienia m.in. w podmiotach, które wchodzą w skład większych grup kapitałowych. Wzajemne przekazywanie danych osobowych klientów czy też pracowników, w wielu przypadkach opierać się będzie na tej właśnie przesłance. Jest to przykład prawnie uzasadnionego interesu, który wprost został wskazany w motywie 48 preambuły RODO.
Wydaje mi się, że można zaryzykować stwierdzenie, że w każdej Spółce będziemy mieć do czynienia z procesami opartymi na prawnie uzasadnionym interesie. Do procesów takich zaliczyć można chociażby prowadzenia działań marketingowych w postaci wysyłania Newsletterów, czy współpracę z osobami kontaktowymi wskazanymi przez klientów / kontrahentów w umowach.
Administratorzy często powołują przesłankę prawnie uzasadnionego interesu jako podstawę prawną do przetwarzania danych w procesach takich jak: marketing bezpośredni, stosowanie monitoringu wizyjnego, dochodzenie roszczeń czy przetwarzanie danych osób wyznaczonych do kontaktu przez kontrahenta. Należy jednak pamiętać, że każdy proces ma swoją specyfikę. Bardzo ważne są konkretne okoliczności przetwarzania występujące u danego administratora i to one ostatecznie będą decydowały o możliwości przetwarzania danych na podstawie prawnie uzasadnionego interesu.
Czy administracja publiczna też musi wykonywać test równowagi?
Zdania są podzielone. Niektórzy eksperci uważają, że administracja publiczna nigdy nie powinna korzystać z przesłanki prawnie uzasadnionego interesu. Tym samym nie pojawi się konieczność wykonania testu równowagi. Administracja w głównej mierze działa na podstawie przepisów prawa i tylko w ramach tych przepisów. Wszystkie operacje na danych osobowych, wykonywane przez administracje publiczną dla celów związanych z realizacją zadań publicznych, powinny mieć oparcie w przepisach prawa.
Inni eksperci (w tym ja), podchodzą do tematu bardziej liberalnie. Jeśli podmiot publiczny działa w sferze cywilnoprawnej (np. dochodzenie roszczeń na podstawie prawa cywilnego), to przesłanka prawnie uzasadnionego interesu jest dopuszczalna. Wtedy oczywiście konieczne będzie wykonanie testu równowagi.
Zanim zaczniesz wykonywać testy
Na początku określ skalę zadania, z którym przyjdzie Ci się zmierzyć. Jeśli w Twojej organizacji ponad 30 procesów opartych jest na prawnie uzasadnionym interesie, to czeka Cię dużo pracy. Nadaj testowanym procesom różny priorytet. Zacznij od wykonania testów dla procesów, które mogą budzić większe ryzyka dla praw osób, których dane dotyczą. Na końcu wykonaj testy równowagi, które będą jedynie formalnością, dla procesów masowych, nie budzących większych ryzyk i wątpliwości.
Zbalansuj w pierwszej kolejności poniższe procesy:
- przetwarzania danych osobowych dla celów marketingowych,
- przesyłania danych osobowych pomiędzy podmiotami funkcjonującymi w ramach grupy kapitałowej.
- przetwarzania danych osobowych dla celów związanych z monitoringiem (szeroko rozumianym: CCTV, monitoring aktywności),
Procesy, które mogą chwilę poczekać:
- przetwarzania danych osobowych osób kontaktowych po stronie klientów / kontrahentów,
- przetwarzania danych osobowych z formularza kontaktowego.
Jak powinien wyglądać test równowagi
Metodologii wykonania testu równowagi jest bardzo dużo. Możesz zbudować swój własny test równowagi lub skorzystać z już gotowych rozwiązań.
Jeśli zdecydujesz się zbudować własny test równowagi, pamiętaj o kluczowych elementach jego konstrukcji. Zdecydowanie rekomenduję formę checklisty z krótkimi odpowiedziami. Oczywiście test może być również przeprowadzony w formie analizy, przypominającej opinię prawną. Jednak w przypadku analizy przygotowanej ad hoc, pod kątem każdego procesu, zabraknie ważnego elementu – spójności.
Dwie perspektywy
Wykonując test równowagi pamiętaj o dwóch perspektywach. Po pierwsze Twojej – czyli administratora danych. Zastanów się nad tym czy wchodzi w grę jedynie interes ekonomiczny, czy coś więcej. Może być to interes społeczny lub publiczny. Przykładowo – portale internetowe zajmujące się oceną pracy lekarzy, argumentują, że nie chodzi jedynie o interes ekonomiczny. Ich działanie realizuje ponadto ważny interes społeczny w postaci możliwości wymiany informacji o poziomie świadczonych usług.
Patrząc na przetwarzanie danych z perspektywy osoby, której dotyczą, ważnych czynników będzie znacznie więcej:
- charakter danych – tj. m.in. czy przetwarzanie dotyczy danych „zwykłych”, szczególnych kategorii danych, danych dotyczących wyroków skazujących oraz czynów zabronionych, fakt wcześniejszego upublicznienia danych,
- sposób przetwarzania danych — tj. m.in. skala przetwarzania danych oraz ich ilość, fakt udostępniania danych, zestawiania danych z innymi danymi, profilowania,
- interesy oraz podstawowe prawa i wolności osoby, które mogą być naruszone przez przetwarzanie danych – tj. ich rodzaj oraz zagrożenia jakie mogą dla nich wynikać ze sposobu przetwarzania,
- rozsądne oczekiwania osoby, której dane dotyczą – tj. czy ze względu na powiązania między osobą, a administratorem może ona w sposób racjonalny oczekiwać przetwarzania jej danych, np. będąc jego pracownikiem lub klientem. Ten czynnik wprost wskazany został w motywie 47 RODO i uważany jest za jeden z istotniejszych, który może pozytywnie przechylić szalę na korzyść administratora. Jeśli nie będzie występował to nie oznacza to automatycznie, że prawnie uzasadniony interes nie będzie mógł być podstawą dla przetwarzania danych, a jedynie to, że administrator swojej przewagi w balansowaniu będzie musiał poszukać w innych obszarach np. zastosowanych środkach ochronnych.
- status administratora oraz osoby, której dane dotyczą – tj. relacja w jakiej występuje administrator oraz osoba np. relacja pracodawca – pracownik, dominująca pozycja administratora na rynku, inne przypadki nierównowagi związane przynależnością osoby do słabszych grup społeczeństwa np. osoby starsze, dzieci, osoby chore.
Środki ochronne zastosowane przez administratora
Dla „łagodzenia” wpływu przetwarzania na osobę, której dane dotyczą kluczowe znaczenia ma zastosowanie przez administratora środków ochronnych. Najistotniejsze z nich to:
- minimalizacja danych,
- krótkie okresy retencji,
- stosowanie środków technicznych i organizacyjnych, w tym technik pseudonimizacji i szyfrowania,
- zwiększona przejrzystość przetwarzania,
- łatwa i szybka możliwość wyrażenia sprzeciwu, np. poprzez udostępnienie mechanizmów opt-out.
W niektórych przypadkach użycie takich środków może istotnie wpłynąć na wynik testu równowagi, na korzyść administratora. Sam fakt występowania po stronie osoby, której dane dotyczą interesów lub podstawowych praw i wolności podlegających ochronie nie oznacza, że wynik testu będzie negatywny.
A jaki będzie wynik testu?
W poprzednim akapicie wskazałem zmienne i okoliczności, które powinny być przez Ciebie wzięte pod uwagę przy wykonywaniu testu. Jeśli odpowiednio przygotujesz formularz testu, to zmusi Cię on do rozpatrzenia wszelkich możliwych za i przeciw. Wynik w bardziej skomplikowanych procesach, nigdy nie powinien być z góry przesądzony. Nie sugeruj się też ślepo wynikami testów, prowadzonych np. u Twojej konkurencji. W tym przypadku diabeł tkwi w szczegółach, a dobrze to obrazuje poniższa wypowiedź naszego eksperta.
W zależności od okoliczności faktycznych, test równowagi dotyczący tego samego prawnie uzasadnionego interesu u jednego administratora może dać wynik pozytywny, a u innego negatywny.
Przykładowo, inaczej może wyglądać wynik testu dla interesu polegającego na wykonywaniu badań satysfakcji klienta za pośrednictwem ankiet, jeśli w przypadku jednego administratora ankiety takie są dostarczane klientowi w formie papierowej wraz z odbiorem towaru, a inaczej u administratora, który dodatkowo postanawia przesyłać takie ankiety także drogą pocztową, mailowo oraz w formie sms, wielokrotnie wysyła przypomnienia o ankiecie, a także nie zapewnia klientowi łatwo dostępnego mechanizmu rezygnacji z otrzymywania takich ankiet.
Test równowagi – wzory, szablony, procedura i instrukcja
Przygotowaliśmy dla Ciebie pakiet narzędzi niezbędnych do realizacji testu równowagi uzasadnionego interesu administratora (balancing test).
Skorzystaj ze sprawdzonych rozwiązań przygotowanych przez naszych ekspertów.
Podsumowanie
Jest jeszcze jeden ważny element każdego testu równowagi, o którym nie napisałem dotychczas. Tym elementem jest pewna uznaniowość osoby wykonującej test. Ważenia wartości praw i wolności nie da się oprzeć na zero-jedynkowym algorytmie. Trochę jak w starożytnym sporze między Antygoną i Kreonem. W bardziej skomplikowanych przypadkach znajdziemy ważne argumenty przemawiające i za administratorem danych i za osobami, których dane są przetwarzane.
Jednak rolą osoby odpowiadającej za RODO w organizacji, jest podjęcie trudnej decyzji i przyznanie pierwszeństwa jednej ze stron.
Taka decyzja zawsze jest obarczona pewnym ryzykiem błędu. W tym przypadku za błąd uznamy sytuację w której regulator lub sąd uznają, że to jednak prawa drugiej ze stron miały większą wagę i wartość.
Jeśli jednak odpowiesz rzeczowo i merytorycznie na każde z pytań zawartych w teście równowagi, takie ryzyko będzie minimalne.
Życzę Ci powodzenia w trudnych decyzjach ważenia praw!
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Opinia 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE (przyjęta w dniu 9 kwietnia 2014 r.)
- M.Szkutnik, Balancing test w stosowaniu przesłanki prawnie uzasadnionego interesu, ODO Magazyn, Nr 11,
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.