Prawnie uzasadniony cel

Przeczytaj koniecznie!

Niezbędność

Styczeń z RODOmaniakami

Alkomaty raz jeszcze

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener.

Podstawa prawna przetwarzania, która jest traktowana czasem po macoszemu, szczególnie przez organ, ale i administratorzy nie zawsze zauważają jej siłę w budowaniu właściwych podstaw do funkcjonowania swojego biznesu. A szkoda, bo jest to podstawa prawna bardzo ciekawa, wymaga jednak trochę pracy, aby była zgodna z zasadami fundamentalnymi z RODO – art. 5.

Siła prawnie uzasadnionego celu

Prawnie uzasadniony cel może być podstawą do przetwarzania naprawdę szerokiego zakresu danych. Będą to dane osobowe zwykłych kategorii – zgodnie z art. 6.1.f RODO. W niektórych przypadkach będą to dane szczególnych kategorii (obrona przed roszczeniami, dochodzenie roszczeń to jeden z prawnie uzasadnionych celów).

Przekazywanie danych (w ramach EOG) w grupach przedsiębiorstw również może być oparte na tej samej przesłance. Jak często mamy do czynienia z danymi w grupach przedsiębiorstw (grupie kapitałowej), w której MUSIMY dla sprawnego biznesu przekazywać między nimi dane, korzystać z nich, aby skutecznie działać?

Idąc dalej, transfer poza EOG (Europejski Obszar Gospodarczy), które jest przedmiotem szczególnych zasad i ochrony również może być oparte o prawnie uzasadniony cel (art. 49.1 akapit 2).

Wreszcie prawnie uzasadniony cel w organach administracji. Jak najbardziej do stosowania, ale w celu innym niż sprawowanie władzy, interesie publicznym czy realizacji przepisu. To akurat jest zrozumiałe, ponieważ organ, instytucja czy nawet podmiot prywatny nie może w ramach powyższych celów szczegółowych przetwarzać danych na podstawie „widzimisię”. Bo takim widzimisię jest 6.1.f – czyli prawnie uzasadniony cel. Takie wyjaśnienie chyba jest łatwiejsze do przyswojenia, niż fraza z RODO (motyw i przepis z art. 6) – o tym, że taki zakres powinien być określony ustawą.

Warto wiedzieć dlaczego (aby zrozumieć RODO). Otóż w takim przypadku władza byłaby w sposób oczywisty „silniejsza” niż osoba, której dane dotyczą. Podobny mechanizm mamy w ciągłym użyciu przez organ nadzorczy w ocenach prawnie uzasadnionego interesu w relacji pracownik-pracodawca. I często słusznie.

Widzimisię – rozważone, czy udokumentowane?

Krajowy organ nadzorczy w Polsce, za sprawą wieloletniej tradycji organów nadzorczych kraju nad Wisłą, do celów zademonstrowania systemu (rozliczalności) żąda dokumentu na wszystko. W przypadku organów w innych krajach często jest podobnie, ale są też takie, które angielskie słowo „to demonstrate” tłumaczone na polskie „rozliczalność” czyta zupełnie inaczej.

Przypadek kontroli organu w innym kraju europejskim

  • Początek kontroli: 9:15
  • Zakończenie kawy i czytania dokumentów: 9:45
  • Początek rundy po zakładzie, pokojach, rozmów z pracownikami: 10:00
  • Koniec rundy po pokojach, rozmów z pracownikami: 14:00
  • Tworzenie raportu przez przedstawiciela organu a następnie omówienie: 14:00-14:30.
  • Wnioski: fajnie wam to działa…

Niestety, to nie u nas. U nas warto mieć dokumenty na wszystko, ale jest też złota zasada. Nie muszą to być dokumenty w rozumieniu sformalizowanych druków czy innych. W myśl zasady:

Zrobiłeś coś (pomyślałeś, rozważyłeś, nabazgrałeś na kartce, wymieniłeś się mailami) to to ZAREJESTRUJ.

W ten sposób tworzy się bazę nie tylko jako podstawę do wykazania się przed organem, że czynność została dokonana. Zapisane są również wnioski, jakie z takiego rozważania były. Gdy kontrola pojawi się w 6-8 czy 12 miesięcy po podjęciu decyzji, że podstawą prawną przetwarzania jest 6.1.f – to dużo łatwiej przypomnieć sobie, o czym w danym dniu myśleliśmy.

Czy prawnie uzasadniony interes administratora wymaga udokumentowania analiz?

Motyw 47 mówi jakie obszary należy rozważyć w trakcie oceny (obowiązkowa jest ocena, nie jest udokumentowanie), czy ta podstawa do tego szczegółowego celu może być zastosowana. Znajduje się tam kilka obszarów, które już opisaliśmy we wcześniejszym artykule:

Przepis prawa nie wymaga dla danych zwykłych kategorii wykonania formalnej (spisanej, udokumentowanej) oceny prawnie uzasadnionego celu administratora (LIA – legitimate interests assessment). Nie wymaga też dla danych, które będziemy przetwarzać w celu dochodzenia lub obrony przed roszczeniami. Warto jednak rozważyć, czy nie jest to dobry kierunek, aby usystematyzować taką ocenę?

W praktyce można zastosować dwa podejścia:

  • Lista kontrolna sporządzona na podstawie motywu 47, w której odhaczymy, czy wykonaliśmy wszystkie czynności i czy obszary opisane w motywie (oraz w przepisach art. 6) zostały zrealizowane. W naszej liście kontrolnej, której używamy w pracy, ale też na webinarach czy warsztatach jest 14 pytań.
  • Wykonanie pełnej oceny, w 3 grupach pytań, w których szukamy już pełnych uzasadnień i opisów. Czyli nie tylko, czy rozważyliśmy, ale też co w związku danym rozważeniem się pojawia. Ten zakres zalecany jest do tematów trudnych (kamera na stołówce – temat pierwszego warsztatu, nagrywanie dźwięku w systemach monitoringu – temat drugiego, nadchodzącego warsztatu).

UWAGA: o ile powyższe działania są niejako “zalecone” (czyli podstawą nie jest przepis prawa, a motyw 47) o tyle w przypadku transferu danych taka ocena jest obowiązkowa zgodnie z art. 49.

To oznacza, że LIA wykonana w ramach TIA (transfer impact assesment – ocena wpływu przy transferze) MUSI być poszerzona o związki między zidentyfikowanymi zagrożeniami, elementami, które są dość „dyskusyjne” a tym, co administrator w związku z tym zrobił. Innymi słowy musi się pojawić związek wdrażanych zabezpieczeń z celami zabezpieczeń, wynikającymi z potrzeb zidentyfikowanych w analizie. Może brzmi to skomplikowanie, ale proszę mi wierzyć nie jest.

Jeśli jest zimno – zakładam czapkę. Aby się nie przeziębić (to zagrożenie), a w związku z tym nie zostać w domu i nie mieć obniżonej pensji (80% wynagrodzenia chorobowego). To już skutek finansowy, do ryzyka.

Podsumowanie

Prawnie uzasadniony cel może być świetną podstawą prawną do przetwarzania danych, w celach biznesowych. Muszą one być – jak sama nazwa wskazuje – prawnie uzasadnione. Natomiast nie do końca jest to tak, że to tylko cel administratora. Przepis prawa art. 6.1.f wyraźnie wskazuje, że mogą to być również cele strony trzeciej. Nieco to komplikuje ocenę, niemniej nadal jest świetnym rozwiązaniem, które pozwala usprawnić biznes.

 

 

Poprzedni artykuł
Następny artykuł
- REKLAMA -spot_img

Ostatnio dodane