Biuletyn prawny: Finanse i bankowość

Artykuł

Test równowagi według RODO – codzienne wyzwanie dla administratorów danych

Biuletyn prawny: Finanse i bankowość | Lipiec 2018 r.

Niemal każdy administrator danych osobowych będzie zobowiązany przeprowadzić tzw. test równowagi (tzw. balancing test). Taki obowiązek pojawia się w szczególności w przypadku przetwarzania danych na podstawie „prawnie uzasadnionego interesu administratora” (art. 6 ust. 1 lit. f RODO ). Nieprzeprowadzenie testu w sytuacji, gdy jest on wymagany przez RODO lub błędy w jego wykonaniu – mogą stanowić naruszenie przepisów Rozporządzenia, a co za tym idzie – skutkować nałożeniem kary pieniężnej na administratora. Firmy powinny zatem rozważyć zaprojektowanie procesu, wdrożenie procedur lub instrukcji, usprawniających przeprowadzenie testu oraz zapewniających prawidłowość jego wyników.

Czym jest test równowagi?

Test równowagi polega na porównaniu prawnie uzasadnionych interesów realizowanych przez administratora w związku z konkretnymi czynnościami przetwarzania danych osobowych z interesami lub podstawowymi prawami i wolnościami osoby, której dane są przetwarzane. W wyniku analizy administrator powinien określić czyje interesy – jego własne, czy osoby, której dane dotyczą – są w danych okolicznościach przeważające.

Kiedy należy przeprowadzić test równowagi?

Konieczność przeprowadzenia testu równowagi zaistnieje przede wszystkim w sytuacji, gdy przetwarzanie danych osobowych będzie miało odbywać się w oparciu o „prawnie uzasadniony interes administratora” (art. 6 ust. 1 lit. f RODO). Wynik testu równowagi przesądzać będzie o tym, czy art. 6 ust. 1 lit. f RODO można traktować jako podstawę prawną przetwarzania.

Zgodnie z RODO, za działanie wykonywane w prawnie uzasadnionym interesie administratora można uznać w szczególności przetwarzanie danych osobowych do celów marketingu bezpośredniego. Prawnie uzasadnionym interesem administratora jest także przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Administratorzy, którzy są częścią grupy przedsiębiorstw, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Przetwarzanie danych osobowych w zakresie absolutnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy może również stanowić prawnie uzasadniony interes administratora. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.

Administrator powinien przeprowadzić test równowagi przed rozpoczęciem przetwarzania danych na podstawie „prawnie uzasadnionego interesu administratora”, uwzględniając konkretne okoliczności danego procesu. Jeśli wynik testu wskazuje, że interesy osoby, której dane dotyczą ma charakter nadrzędny wobec interesów administratora, wówczas nie ma możliwości przetwarzania danych powołując się na „prawnie uzasadnione interesy administratora”.

Etapy testu równowagi

Test równowagi składa się z następujących etapów:

  • zidentyfikowanie prawnie uzasadnionych interesów administratora, realizowanych przez niego w związku z przetwarzaniem danych osobowych w określonym celu - należy zapewnić, że interesy te są zgodne z prawem, konkretne i rzeczywiste;
  • zidentyfikowanie interesów lub podstawowych praw i wolności podmiotu danych, które mogą być naruszone przez przetwarzanie danych osobowych;
  • ustalenie, czy przetwarzanie danych osobowych w danych okolicznościach jest konieczne do zrealizowania prawnie uzasadnionego interesu administratora – jeżeli istnieje możliwość zrealizowania tego samego interesu bez konieczności przetwarzania danych lub ograniczając ich przetwarzanie, wówczas wynik testu będzie negatywny dla administratora (tj. interesy osoby, której dane dotyczą będą nadrzędne wobec interesów administratora);
  • dokonanie ważenia interesów administratora i osoby, której dane dotyczą – tj. określenie, czyje interesy mają charakter nadrzędny; przeprowadzając tę analizę należy uwzględnić m.in.: charakter danych osobowych, kategorie podmiotów danych, sposób przetwarzania danych, ewentualne szkody administratora związane z zaniechaniem przetwarzania, uzasadnione oczekiwania podmiotów danych, zastosowane środki bezpieczeństwa, itp.;
  • udokumentowanie przeprowadzonej analizy i wyniku testu.

Wystandaryzowana metoda przeprowadzania testu

Prawidłowe przeprowadzenie testu równowagi wymaga uwzględnienia wielu czynników. Aby zapewnić, że przeprowadzając test uwzględniono wszystkie istotne okoliczności, warto zaprojektować proces oraz opisać go w procedurze, która krok po kroku będzie wskazywała poszczególne etapy testu. Tego rodzaju wewnętrzna dokumentacja zapewni, że testy równowagi będą przeprowadzane w sposób wystandaryzowany, a także zmniejszy ryzyko wystąpienia nieprawidłowości. Jest to szczególnie ważne w organizacjach, które przetwarzają duże wolumeny danych na podstawie „prawnie uzasadnionego interesu”, a w rezultacie - często spotykają się w codziennej działalności z koniecznością przeprowadzenia tego rodzaju analizy. Bardzo niekorzystna byłoby dopuszczenie do sytuacji, w których w zależności od osoby przeprowadzającej test, jego wyniki byłyby różne, a proponowane przez organizację w analogicznych sytuacjach rozwiązania - skrajnie rozbieżne. Wdrożenie wewnętrznej dokumentacji ma zatem na celu wystandaryzowanie procesu.

Czy ta strona była pomocna?