Na początku października 2024 r. EROD opublikowała wytyczne dotyczące prawidłowego stosowania przesłanki uchylającej zakaz przetwarzania danych osobowych, określonej w art. 6 ust. 1 lit. f RODO.1 Pozwala ona na przetwarzanie danych osobowych (jednak co do zasady tylko tzw. zwykłych danych, a więc nie danych szczególnej kategorii) jeżeli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
To nie jest ostatnia deska ratunku
Choć za taką bywa czasem postrzegana, omawiana przesłanka nie powinna być, co podkreśla EROD, traktowana jako przesłanka ostatniego wyboru, kiedy pozostałe określone w RODO nie wchodzą w grę. Nie powinna też być traktowana jako przesłanka pierwszego wyboru, czy też – jak to określiła Rada – otwarte drzwi służące legitymizowaniu przetwarzania danych we wszystkich sytuacjach, kiedy nie jest możliwe oparcie przetwarzania na innej przesłance.
Przeciwnie – EROD podkreśla, że także i ta przesłanka musi być, jak i wszystkie inne, interpretowana restrykcyjnie.
Zawsze konieczny kilkuetapowy test
W każdym przypadku niezbędne jest zidentyfikowanie prawnie usprawiedliwionego interesu bądź interesów, które uzasadniają przetwarzanie danych osobowych. Wiele miejsca EROD poświęca omówieniu tego elementu, odwołując się do bogatego orzecznictwa TSUE. Podkreślając, że nie jest możliwe oczywiście stworzenie zamkniętego katalogu tego rodzaju interesów, wskazuje przykładowo na zapewnienie funkcjonowania publicznie dostępnych stron internetowych, pozyskanie danych osoby, która zniszczyła czyjeś mienie w celu dochodzenia od niej naprawienia szkody, rozwój produktu, ochrona mienia i wiele innych.
EROD szczegółowo również przypomina, kiedy interes jest prawnie usprawiedliwiony i co ten wymóg w praktyce oznacza.
Kolejnym etapem testu zasadności przetwarzania danych w oparciu o analizowaną przesłankę powinno być ustalenie, czy ich przetwarzanie jest rzeczywiście niezbędne do realizacji określonego interesu. W pewnym skrócie, oznacza to m. in. ustalenie, czy nie istnieją inne efektywne sposoby, lecz mniej ingerujące w podstawowe prawa i wolności osób fizycznych.
Wreszcie, także bardzo ważny, etap trzeci – wyważanie interesów administratora bądź strony trzeciej z jednej strony oraz praw i wolności osób fizycznych – z drugiej strony. Administrator zawsze zatem powinien ocenić szczegółowo wpływ przetwarzania na osobę, której dane dotyczą, biorąc pod uwagę takie elementy, jak np. już wspomniane jej podstawowe prawa i wolności, jej interesy finansowe, czy społeczne. Analizować należy takie elementy, jak rodzaj danych, jakie mają być przetwarzane, skutki przetwarzania, czy uzasadnione oczekiwania osoby, której dane dotyczą.
Dopiero, jeżeli wynik testu przeprowadzonego w etapie trzecim pokazuje, że prawa, wolności lub interesy osób, których dane dotyczą nie są nadrzędne nad prawnie usprawiedliwionym interesem, na jakim administrator zamierza oprzeć przetwarzanie danych, będzie ono zgodne z prawem (możliwe będzie oparcie tego procesu na przesłance określonej w art. 6 ust. 1 lit. f RODO).
Szczególne przypadki przetwarzania danych w oparciu o analizowaną przesłankę
W omawianych wytycznych EROD wiele miejsca poświęca także np. możliwości stosowania przesłanki prawnie uzasadnionych interesów do przetwarzania danych osobowych dzieci i przypomina o wynikających z innych niż RODO europejskich przepisów, zakazów czy ograniczeń dotyczących przetwarzania danych osobowych tej kategorii podmiotów danych.
Wytyczne zawierają także obszerne omówienie możliwości stosowania przesłanki wynikającej z art. 6 ust. 1 lit. f RODO przez podmioty publiczne, a także dla celów związanych z zapobieganiem oszustwom, marketingu bezpośredniego oraz dla zapewnienia bezpieczeństwa sieci i informacji.