Test równowagi
Test równowagi jako narzędzie w RODO bywa przypisywany tylko do rozważenia tzw. uzasadnionego interesu administratora.
Ale czy słusznie?
Zmieniająca się przesłanka
Zanim przejdę do opisania sposobu wykonywania testu czy szerzej oceny, warto pamiętać o tym, że w trakcie przetwarzania danych osobowych, na różnych etapach procesu, przesłanka się zmienia. Tak się dzieje np. w większości działań administratora, które są opisane jako:
ustalenie, dochodzenie lub obrona roszczeń
W tym przypadku w rejestrze przetwarzania danych powinniśmy mieć zawartą informację o tym, że ta grupa danych przetwarzana jest w oparciu już nie o przesłankę np. 6.1.b (strona umowy), a w oparciu o 6.1.f – uzasadniony prawnie interes administratora. Niemniej jednak nadal jest to użycie testu równowagi do oceny zasadności stosowania 6.1.f, niezależnie od tego, czy ta przesłanka istniała na początku przetwarzania czy nie.
Test równowagi, czy ocena interesu administratora?
W Polsce przyjęło się traktować te dwa działania jako jedno i to samo rozwiązanie. Być może z powodu mody i tego, że “balance check” brzmi ładniej niż “legitimate interests assessment” i łatwiej to wymówić. A być może dlatego, że jak z audytem moda… Dlatego dwa zdania wyjaśnienia i krótki poradnik.
Ocena uzasadnionego interesu administratora
Składa się z kilku obszarów wymagających rozważenia:
- Ocena celu: czy naprawdę jest realizowany cel i jaki (opis) administratora i czy jest prawnie uzasadniony;
- Ocena konieczności: czy przetwarzanie jest niezbędne do realizacji tego cel? Innymi słowy, czy nie uda się osiągnąć tego samego efektu dla administratora bez przetwarzania danych lub przetwarzając dane w węższym zakresie lub z wyłączeniem danych np. szczególnych kategorii?
- Test równowagi: Czy interesy jednostki (osoby, której dane dotyczą) są ważniejsze czy jednak po stronie administratora lub (WAŻNE!!!) interesu grupowego będzie większa waga.
Te trzy obszary składają się dopiero na prawidłową ocenę prawidłowości stosowania przesłanki, jaką jest uzasadniony prawnie interes administratora, czyli opsiane w RODO w art. 6.1.f.
Test równowagi
Jak widać test równowagi jest tylko jednym z elementów oceny przesłanki, ale powinien być wykonywany nie tylko w tym obszarze. W RODO są jeszcze co najmniej dwa zastosowania testu równowagi, oczywiście z lekką modyfikacją pytania. Są to:
- Odstąpienie od poinformowania osoby w trybie art 14.5.b RODO. Dla przypomnienia administrator, który gromadzi i przetwarza dane osobowe zebrane (pozyskane) z innego źródła niż od osoby której dotyczą, może odstąpić od udzielenia informacji gdy okazuje się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
- Odstąpienie od poinformowania osoby, której dotyczyć może naruszenie danych, w trybie art 34.3.c czyli jeśli wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Zaznaczyłem kluczowe elementy, które wymagają oceny współmierności, a więc oceny zaangażowania po stronie administratora vs celu, jaki ma być osiągnięty. Współmierność wymaga posiadania co najmniej dwóch parametrów (uwaga analityczna).
Przypadek Bisnode
Dla przypomnienia, przypadek Bisnode jest doskonałym zobrazowaniem tego, czym może grozić brak rozważenia i oceny czy konkretne działanie jest nadmiernym wysiłkiem lub dokładniej – niewspółmiernym. Uznanie przez firmę, że wysłanie listu poleconego po 5,20 złotych za znaczek zostało uznane jako “nadmierne” przez firmę. Urząd Ochrony Danych Osobowych ma jednak inne zdanie (sprawa jest w Sądzie Administracyjnym).
Podsumowanie
Kilka technicznych uwag na koniec.
- Stosuj ograniczoną ilość wystandaryzowanych druków. Oznacza to, że jeśli masz działania podobne do siebie, postaraj się tak zaprojektować druk, aby można go było użyć w kilku czynnościach. Np. jak w przykładzie, test równowagi może być częścią oceny uzasadnionego interesu, oceny działań przy naruszeniu, czy odstąpieniu od poinformowania osoby, której dane dotyczą.
- Rejestruj środowisko informacyjne, czyli to jakie okoliczności towarzyszą podejmowaniu decyzji. Dlatego, że okoliczności mogą się zmienić, np. mogą pojawić się nowe rozwiązania techniczne bądź organy nadzorcze lub doradcze mogą wydać nowe wytyczne czy poradniki. Dzięki właściwej rejestracji środowiska informacyjnego będziesz w stanie udowodnić w dniu podejmowania decyzji rzetelność działania i “dobrą wolę” (tak, tutaj jako potencjalna okoliczność łagodząca).
