Zrozumienie uzasadnionego interesu w ramach RODO

Jak wspomniano w poście inauguracyjnym Dennisa dotyczącym naszej serii blogów o ogólnym rozporządzeniu o ochronie danych (RODO), organizacje mające siedzibę lub działające w UE muszą mieć podstawę prawną do przetwarzania danych osobowych. RODO przewiduje sześć podstaw prawnych takiego przetwarzania: zgoda, prawnie uzasadniony interes, umowa, obowiązek prawny, żywotne interesy i zadania publiczne. Większość organizacji, które chcą pozyskać nowych klientów lub użytkowników, będzie traktować zgodę lub uzasadniony interes jako dopuszczalną podstawę przetwarzania. W zeszłym tygodniu dowiedzieliśmy się od Elizabeth, naszego specjalisty ds. prywatności, o zgodzie . W tym tygodniu przyjrzymy się „uzasadnionemu interesowi”. Było sporo zamieszania wokół Uzasadnionego Zainteresowania, więc postaramy się wyjaśnić i powiedzieć, jak o tym myślimy!

Język
Najpierw przyjrzyjmy się właściwemu językowi art. 6 ust. 1 lit. f RODO, dotyczącym prawnie uzasadnionego interesu:

Przetwarzanie jest zgodne z prawem tylko wtedy i w takim zakresie, w jakim ma zastosowanie co najmniej jedno z poniższych:

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Kuszące jest myślenie, że uzasadniony interes można wykorzystać do objęcia szerokiego zakresu okoliczności, eliminując potrzebę wyrażenia zgody. Jednak otwarcie odradzano szerokie interpretacje tego punktu: „otwarte wyjątki zgodnie z art. 6 RODO, a w szczególności art. 6 lit. f RODO (podstawa prawnie uzasadnionego interesu), należy unikać.” Zob. Opinia Grupy Roboczej Art. 29 ds. Ochrony Danych 01/2017 w sprawie proponowanego rozporządzenia do rozporządzenia o prywatności i łączności elektronicznej (2002/58/WE), przyjęta 4 kwietnia 2017 r.

Więc gdzie organizacje wyznaczają granicę?

Uzasadnione zainteresowanie zabawą
Najpierw zastanówmy się, co jest uzasadnionym interesem. RODO podaje kilka przykładów, takich jak przetwarzanie danych osobowych w celu zapobiegania oszustwom, do wewnętrznych celów administracyjnych dotyczących pracowników i klientów, w celu zapewnienia bezpieczeństwa sieci i informacji oraz zgłaszania ewentualnych przestępstw lub zagrożeń dla bezpieczeństwa publicznego właściwemu organowi. Ponadto przetwarzanie danych, które jest niezbędne do spełnienia wewnętrznego lub zewnętrznego ładu korporacyjnego lub powiązanych wymogów dotyczących zgodności z prawem, prawdopodobnie zostanie uznane za uzasadniony interes.

Być może mniej oczywisty przykład, motyw 47 RODO wskazuje na „przetwarzanie danych osobowych w celach marketingu bezpośredniego” jako uzasadniony interes. Częstym błędem, na który natrafiliśmy, jest to, że ten język uzasadnia wszelkie marketingowe, a nawet miękkie zgody. Aby lepiej zrozumieć, dlaczego tak nie jest, warto najpierw zastanowić się, czego nie mówi to sformułowanie : nie oznacza to, że dozwolony jest cały marketing e-mailowy lub wysyłanie materiałów marketingu bezpośredniego.

Po drugie, należy pamiętać, że RODO nie działa w próżni. Na potrzeby marketingu bezpośredniego organizacje i marketerzy muszą pamiętać o tym, jak RODO współpracuje z dyrektywą o prywatności i komunikacji elektronicznej (dyrektywa o prywatności i łączności elektronicznej), która zapewnia dodatkowe zasady zgody na marketing przesyłany za pośrednictwem telefonu, faksu, poczty elektronicznej, SMS-ów i innych kanałów komunikacji elektronicznej , który jest obecnie aktualizowany. Zgodnie z obecną dyrektywą o prywatności i łączności elektronicznej wymagana jest zgoda na marketing e-mailowy i SMS-owy, chyba że (i) odbiór danych miał miejsce w punkcie sprzedaży oraz (ii) w tym momencie zapewniono opcję rezygnacji. Tak więc, podczas gdy niektórzy marketerzy pierwszego poziomu mają podstawę prawną do marketingu bezpośredniego opartego na sprzedaży i rezygnacji (na razie), we wszystkich innych przypadkach marketerzy muszą przestrzegać wymogów zgody na włączenie, niezależnie od tego, czy mają uzasadniony interes na mocy RODO.

To, co stanowi uzasadniony interes, stanie się z czasem jaśniejsze dzięki większej liczbie wskazówek i decyzji właściwych organów oraz publikacji przyszłej zmienionej dyrektywy o prywatności i łączności elektronicznej. W międzyczasie wykorzystujemy te przykłady i parametry ustalone przez RODO omówione poniżej, jako ramy do przestrzegania zasad przetwarzania na podstawie prawnie uzasadnionego interesu.

Unikanie pułapek uzasadnionych interesów
Aby z pewnością ustalić, że rzeczywiście istnieje uzasadniony interes, organizacje powinny przeanalizować i udokumentować zarówno konieczność konkretnego przetwarzania, jak i jego zawarcia po zrównoważeniu interesu przetwarzania z prawami osób, których dane dotyczą. Jest to określane przez niektórych jako ocena uzasadnionego interesu („LIA”). Co do konieczności przetwarzania, proponujemy wyrobić sobie nawyk zadawania pytań: czy ten sam cel można osiągnąć bez przetwarzania danych osobowych? Jeśli odpowiedź brzmi „tak”, najlepszą praktyką jest odejście od uzasadnionego interesu jako podstawy przetwarzania i uzyskania zgody.

Jeśli odpowiedź brzmi „nie”, celu nie można w inny sposób osiągnąć, dobrym następnym krokiem jest pytanie: czy interesy lub prawa osób, których dane dotyczą, przeważają nad potrzebą przetwarzania? Odpowiadając na to pytanie, należy pamiętać, że osoby, których dane dotyczą, mają prawo do sprzeciwu wobec uzasadnionego interesu jako podstawy przetwarzania, który to sprzeciw można przezwyciężyć jedynie z „istotnych” powodów określonych przez organizację przetwarzającą.

Biorąc pod uwagę te ograniczenia, opierając się na uzasadnionym interesie jako podstawie przetwarzania, zalecamy wdrożenie procesu, aby prowadzić pisemny rejestr konieczności i równoważenia wniosków. Jest to szczególnie ważne, gdy osoba, której dane dotyczą, jest dzieckiem. I jako ogólna praktyka, pomoże to uniknąć pułapek uzasadnionych interesów i wykaże, że należycie uwzględniono potrzebę przetwarzania oraz prawa i wolności osób, których dane są przetwarzane.

Uwaga na zawiadomienie
Jeżeli organizacja opiera się na uzasadnionym interesie jako podstawie przetwarzania RODO, wymagane jest, aby organizacja poinformowała osoby, których dane są gromadzone, o tym, jakie są prawnie uzasadnione interesy i mają prawo do sprzeciwu. Można to zrobić w momencie gromadzenia danych lub, w przypadku zawiadomienia o sprzeciwie, w sekcji informacji o prywatności, która dotyczy praw osób fizycznych. Podobnie jak w przypadku wszystkich rzeczy związanych z RODO i prywatnością, najlepszym sposobem, aby to zrobić, jest otwarcie i przejrzystość działań związanych z przetwarzaniem.