Test uzasadnionego interesu (LIA) w świetle RODO

Jednym z kluczowych elementów wprowadzonych w ramach rozporządzenia o ochronie danych osobowych jest koncepcja "uzasadnionego interesu" jako podstawy prawnej przetwarzania danych. Stosowanie tej podstawy określonej w art. 6 ust. 1 lit. f RODO wymaga łącznego spełnienia wszystkich wymienionych tam przesłanek, a ocena, czyli test czy zostały spełnione, musi nastąpić przed przetwarzaniem danych osobowych. Przyjrzyjmy się bliżej temu zagadnieniu. Test uzasadnionego interesu (LIA - Legitimate Interest Assessment) jest niezbędny dla tych, którzy chcą oprzeć swoje działania na tej podstawie prawnej.

Co kryje się pod pojęciem uzasadnionego interesu? 

Uzasadniony interes to jedna z sześciu podstaw prawnych przetwarzania danych osobowych wymienionych w RODO (art. 6 ust. 1). Możesz z niej skorzystać, gdy nie ma innej podstawy prawnej, na której oprzesz przetwarzanie danych. Ale tutaj warunek – w takim przypadku przetwarzanie danych musi być niezbędne do realizacji celów, a Ty masz do tego prawnie uzasadniony interes (jako Administrator danych osobowych lub robisz to w interesie strony trzeciej). Musisz jednocześnie pamiętać, że wyjątkiem jest sytuacja, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą i w związku z tym wymagają ochrony danych osobowych. Czy taka sytuacja ma miejsce możesz ocenić w ramach testu uzasadnionego interesu.
 

Kluczowe elementy testu uzasadnionego interesu 

Test uzasadnionego interesu to swoista ocena, czy w czasie i w kontekście, w którym zbierasz dane osobowe, osoba, której dane dotyczą, może spodziewać się, że jej dane będą przetwarzane w określonym przez Ciebie celu.  Jest to proces, który musisz przeprowadzić, aby upewnić się, że możesz legalnie oprzeć przetwarzanie danych na tej podstawie. 

Przeanalizujmy każdy z tych etapów.
 

1.    Zdefiniowanie celu
Na tym etapie musisz jasno określić, jaki jest Twój uzasadniony interes, który w Twojej ocenie uzasadnia przetwarzanie danych. Powinien on być przede wszystkim: 

• zgodny z prawem
• konkretny
• rzeczywisty i aktualny (nie może być tylko hipotetyczny)

Pamiętaj, sam fakt, że masz ekonomiczny interes w przetwarzaniu danych, nie oznacza automatycznie, że jest to uzasadniony interes w rozumieniu RODO, dlatego warto odpowiedzieć na następujące pytania:

• Jaki jest cel lub cele przetwarzania przez Ciebie danych osobowych (Po co to robisz)?
• Jak uzasadniasz przetwarzanie danych osobowych?
• Czy prawnie uzasadniony interes i przetwarzanie danych osobowych jest zgodne z prawem?
• Czy przetwarzanie danych osobowych jest konieczne do osiągnięcia założonego celu?
• Czy i jakie konsekwencje poniesiesz, jeżeli nie będziesz przetwarzać danych osobowych?

2.    Weryfikacja niezbędności
Po sprecyzowaniu uzasadnionego interesu, musisz wykazać, że przetwarzanie danych jest niezbędne do jego realizacji. Oznacza to, że:

• Nie możesz osiągnąć celu w inny, mniej inwazyjny sposób np. Ograniczając ilość przetwarzanych danych, w ogóle ich nie przetwarzać lub oprzeć przetwarzanie na innej podstawie prawnej
• Przetwarzanie jest proporcjonalne do zamierzonego celu

Warto zadać sobie pytania:

• Czy istnieją inne sposoby osiągnięcia tego samego celu?
• Czy możesz osiągnąć cel, gdy przetwarzasz mniej danych lub stosujesz mniej inwazyjne metody?
• Jak przetwarzanie danych wpłynie na osoby, których dane dotyczą?

 3.    Test równowagi 
Ostatni etap LIA polega na zestawieniu naszych interesów z prawami i wolnościami osób, których dane przetwarzasz i ocenie, czy Twój interes przeważa nad interesami osób, których danych dotyczą. To najtrudniejsza część, która wymaga dokładnej analizy wielu czynników, takich jak:

• Rodzaj przetwarzanych danych (czy są to dane wrażliwe?)
• Sposób przetwarzania danych (skala, kontekst, metody)
• Potencjalne oczekiwania osób, których dane dotyczą związane z przetwarzaniem ich danych
• Nasza relacja z osobami, których dane przetwarzamy (np. pracodawca-pracownik)
• Potencjalne skutki przetwarzania dla osób, których dane dotyczą
• Dodatkowe zabezpieczenia, które stosujemy (np. szyfrowanie, pseudonimizacja)

Po przejściu tego etapu posiadasz komplet informacji niezbędny do oceny, czy Twój interes przeważa nad interesem osób, których dane dotyczą.

Praktyczne wskazówki do przeprowadzenia LIA

Przykłady zastosowania LIA w praktyce

Wyzwania związane z LIA 

Przeprowadzenie testu uzasadnionego interesu może być wyzwaniem nie tylko podczas pierwszego podejścia, ponieważ często wymaga połączenia wiedzy prawnej, technicznej i biznesowej. Mimo że istnieją ogólne zasady przeprowadzania LIA, nie mamy  szczegółowych, uniwersalnych wytycznych. A to może powodować niepewność. Co więcej, organy nadzorcze w różnych krajach UE mogą mieć nieco odmienne podejście do oceny uzasadnionego interesu. Najczęściej będziesz się mierzyć z balansowaniem Twoich interesów z prawami osób, których dane dotyczą, co często wymaga subiektywnej oceny. Jednocześnie może też prowadzić do różnych interpretacji, więc w przypadku wątpliwości warto skonsultować dany temat z ekspertami ds. ochrony danych. Prawidłowe przeprowadzenie testu, a zmieniające się okoliczności mogą wpływać na ważność wcześniej przeprowadzonego testu, co wymaga regularnych przeglądów i aktualizacji.
 
Pamiętaj, że ochrona danych osobowych to nie tylko obowiązek prawny, ale także element budowania zaufania i etycznego prowadzenia biznesu. LIA może wydawać się skomplikowanym procesem, jednak skupienie się na trzech głównych etapach testu (cel, niezbędność, równowaga) oraz regularne przeglądy mogą znacząco ułatwić to zadanie. Jednocześnie prawidłowe przeprowadzenie testu pomoże Ci nie tylko w zachowaniu zgodności z przepisami, ale także w lepszym zrozumieniu procesów biznesowych i ich wpływu na prawa i wolności osób, których dane przetwarzasz.