Test równowagi prawnie uzasadnionego interesu ADO
Test równowagi prawie uzasadnionego interesu ADO. Jego wykonanie stanowi obowiązek ADO w sytuacji, w której zamierza on przetwarzać dane na podstawie prawnie uzasadnionego interesu. Wykonywanie testów równowagi służy także realizacji zasady rozliczalności, wynikającej z Rozporządzenia RODO.
Wyniki testu OPUI
Wynikiem analizy wykonanej z wykorzystaniem testu jest ustalenie, czy przetwarzanie danych w określonym celu, na podstawie prawnie uzasadnionego interesu jest dopuszczalne. Dopuszczalne, czyli, czy nie zachodzą przesłanki wskazujące na to, iż:
- istnieją nadrzędne interesy, względem ww. interesu ADO,
- istnieją nadrzędne prawa i wolności osoby, której dane dotyczą,
wymagające, ochrony danych osobowych, ze szczególnym uwzględnieniem, sytuacji, w jakiej podmiotem danych są:
- dzieci.
Szczegółowo rzecz ujmując, w wyniku przeprowadzenia testu dojdzie do:
- określenia celu przetwarzania,
- analizy poziomu niezbędności i przydatności przetwarzania dla administratora,
- oceny równowagi pomiędzy uzasadnionym interesem administratora a wpływem na prawa i wolności osoby, której dane dotyczą.
Testujemy systematycznie, nie jednorazowo.
Zmieniające się realia, w których dochodzi do przetwarzania danych, wymuszają systematyczne testowanie. Zasadnym i celowym jest, aby testy równowagi przeprowadzane były powtarzalnie. Muszą Państwo odpowiednio reagować na zmieniającą się rzeczywistość. Skutkiem tego będzie często konieczność ponownego przeanalizowania, danej konkretnej sytuacji w podmiocie.
Testując badamy, a nie kreujemy rzeczywistość.
Prawodawca bardzo szeroko definiuje podstawę prawną jaką jest uzasadniony interes administratora. Opisuje on warunki zastosowania prawnie uzasadnionego interesu administratora wskazując w szczególności na możliwość przetwarzania danych osobowych o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na powiązaniu tych oczekiwań z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
Aby stwierdzić istnienie prawnie uzasadnionego interesu należy w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Interesy i prawa podstawowe osoby, której dane dotyczą mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Założenie, iż spełnione zostały wszystkie wymogi z art. 5 RODO.
Ocena OPUI zakłada, innymi słowy zatem, iż ADO przetwarzając dane przestrzega zasad, wynikających z art. 5 RODO.
- Zgodności z prawem.
- Rzetelności.
- Przejrzystości.
- Ograniczenia celu.
- Minimalizacji danych.
- Prawidłowości.
- Ograniczenia przechowywania.
- Integralności.
- Poufności.
- Odpowiedzialności administratora danych (osobowych).
- Zasada rozliczalności.
Procedura wymusza testowanie.
Procedura powinna zakładać dokonanie analizy w obszarze:
- Testowania celowości.
- Analizowania niezbędności.
- Zestawienia wyników, testowania równowagi.
Motyw (47)
Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego