#RODOwarsztat

Test równowagi, czy…

By Grzegorz Krzeminski

Test równowagi

Test równowagi jako narzędzie w RODO bywa przypisywany tylko do rozważenia tzw. uzasadnionego interesu administratora. 

Ale czy słusznie? 

Zmieniająca się przesłanka

Zanim przejdę do opisania sposobu wykonywania testu czy szerzej oceny, warto pamiętać o tym, że w trakcie przetwarzania danych osobowych, na różnych etapach procesu, przesłanka się zmienia. Tak się dzieje np. w większości działań administratora, które są opisane jako:

ustalenie, dochodzenie lub obrona roszczeń

W tym przypadku w rejestrze przetwarzania danych powinniśmy mieć zawartą informację o tym, że ta grupa danych przetwarzana jest w oparciu już nie o przesłankę np. 6.1.b (strona umowy), a w oparciu o 6.1.f – uzasadniony prawnie interes administratora. Niemniej jednak nadal jest to użycie testu równowagi do oceny zasadności stosowania 6.1.f, niezależnie od tego, czy ta przesłanka istniała na początku przetwarzania czy nie. 

Test równowagi, czy ocena interesu administratora?

W Polsce przyjęło się traktować te dwa działania jako jedno i to samo rozwiązanie. Być może z powodu mody i tego, że “balance check” brzmi ładniej niż “legitimate interests assessment” i łatwiej to wymówić. A być może dlatego, że jak z audytem moda… Dlatego dwa zdania wyjaśnienia i krótki poradnik. 

Ocena uzasadnionego interesu administratora

Składa się z kilku obszarów wymagających rozważenia:

  • Ocena celu: czy naprawdę jest realizowany cel i jaki (opis) administratora i czy jest prawnie uzasadniony; 
  • Ocena konieczności: czy przetwarzanie jest niezbędne do realizacji tego cel? Innymi słowy, czy nie uda się osiągnąć tego samego efektu dla administratora bez przetwarzania danych lub przetwarzając dane w węższym zakresie lub z wyłączeniem danych np. szczególnych kategorii?
  • Test równowagi: Czy interesy jednostki (osoby, której dane dotyczą) są ważniejsze czy jednak po stronie administratora lub (WAŻNE!!!) interesu grupowego będzie większa waga.

Te trzy obszary składają się dopiero na prawidłową ocenę prawidłowości stosowania przesłanki, jaką jest uzasadniony prawnie interes administratora, czyli opsiane w RODO w art. 6.1.f. 

Test równowagi

Jak widać test równowagi jest tylko jednym z elementów oceny przesłanki, ale powinien być wykonywany nie tylko w tym obszarze. W RODO są jeszcze co najmniej dwa zastosowania testu równowagi, oczywiście z lekką modyfikacją pytania. Są to:

  • Odstąpienie od poinformowania osoby w trybie art 14.5.b RODO. Dla przypomnienia administrator, który gromadzi i przetwarza dane osobowe zebrane (pozyskane) z innego źródła niż od osoby której dotyczą, może odstąpić od udzielenia informacji gdy okazuje się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. 
  • Odstąpienie od poinformowania osoby, której dotyczyć może naruszenie danych, w trybie art 34.3.c czyli  jeśli wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Zaznaczyłem kluczowe elementy, które wymagają oceny współmierności, a więc oceny zaangażowania po stronie administratora vs celu, jaki ma być osiągnięty. Współmierność wymaga posiadania co najmniej dwóch parametrów (uwaga analityczna).

Przypadek Bisnode

Dla przypomnienia, przypadek Bisnode jest doskonałym zobrazowaniem tego, czym może grozić brak rozważenia i oceny czy konkretne działanie jest nadmiernym wysiłkiem lub dokładniej – niewspółmiernym. Uznanie przez firmę, że wysłanie listu poleconego po 5,20 złotych za znaczek zostało uznane jako “nadmierne” przez firmę. Urząd Ochrony Danych Osobowych ma jednak inne zdanie (sprawa jest w Sądzie Administracyjnym). 

Podsumowanie

Kilka technicznych uwag na koniec. 

  • Stosuj ograniczoną ilość wystandaryzowanych druków. Oznacza to, że jeśli masz działania podobne do siebie, postaraj się tak zaprojektować druk, aby można go było użyć w kilku czynnościach. Np. jak w przykładzie, test równowagi może być częścią oceny uzasadnionego interesu, oceny działań przy naruszeniu, czy odstąpieniu od poinformowania osoby, której dane dotyczą. 
  • Rejestruj środowisko informacyjne, czyli to jakie okoliczności towarzyszą podejmowaniu decyzji. Dlatego, że okoliczności mogą się zmienić, np. mogą pojawić się nowe rozwiązania techniczne bądź organy nadzorcze lub doradcze mogą wydać nowe wytyczne czy poradniki. Dzięki właściwej rejestracji środowiska informacyjnego będziesz w stanie udowodnić w dniu podejmowania decyzji rzetelność działania i “dobrą wolę” (tak, tutaj jako potencjalna okoliczność łagodząca). 

Zainteresowany? Zapraszamy na warsztat!

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener. Pracował dla firm dużych i małych, krajowych i międzynarodowych również tych, których działanie związane było z transferem danych do państw trzecich. Rozwija Metodykę Audytu Bezpieczeństwa oraz standardy związane z oceną ryzyka. Wyszkolił ponad 200 osób do pracy jako Inspektor Ochrony Danych.
Poprzedni artykuł
Audyt RODO
Następny artykuł
Naruszenia w RODO #001

Ostatnio dodane

Przeczytaj koniecznie!

RODOmaniacy - strona marki zarządzanej przez Instytut Bezpieczeństwa i Informacji sp. z o.o. Więcej inforamcji znajdzesz w zakładce kontakt.

Ważne strony

Na skróty

Najnowsze na stronie

© RODOmaniacy. Od 2018 roku.