Fajgielski Paweł, Test ważenia interesów i praw przy stosowaniu klauzuli prawnie uzasadnionych interesów

Jedną z podstaw dopuszczalności przetwarzania danych osobowych jest tzw. klauzula prawnie uzasadnionych interesów, określona w art. 6 ust. 1 lit. f r.o.d.o. W przypadku, gdy administrator chciałby skorzystać z tej podstawy przetwarzania danych, powinien przeprowadzić tzw. test ważenia interesów i praw, tzn. dokonać oceny, czy interes administratora lub strony trzeciej, przemawiający za przetwarzaniem danych, jest prawnie uzasadniony, czy przetwarzanie jest niezbędne do realizacji celu wynikającego z tego interesu, a następnie rozważyć, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą nie przeważają nad prawnie uzasadnionym interesem administratora lub strony trzeciej. Przepisy unijnego rozporządzenia o ochronie danych posługują się w tym zakresie zwrotami niedookreślonymi – klauzulami generalnymi, które wymagają konkretyzacji w określonym stanie faktycznym. W przypadku stwierdzenia, że interes nie jest prawnie uzasadniony, przetwarzanie nie jest niezbędne, bądź interesy lub podstawowe prawa i wolności osoby, której dane dotyczą mają charakter nadrzędny nad prawnie uzasadnionym interesem administratora lub strony trzeciej, oparcie przetwarzania danych o omawianą podstawę nie jest dopuszczalne.

Przy interpretacji przepisów, dotyczących prawnie uzasadnionego interesu, pomocne mogą być wskazówki zawarte w Opinii 6/2014 Grupy Roboczej Art. 29 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy art. 7 dyrektywy 95/46/WE (przyjętej 9.04.2014 r., WP 217, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_pl.pdf), które mimo zmiany stanu prawnego (zastąpienia dyrektywy 95/46/WE przez rozporządzenie 2016/679), w znacznej mierze zachowują swoją aktualność, tym bardziej, że opinia tworzona była w trakcie prac legislacyjnych nad unijną reformą ochrony danych i również do nich się odnosi.

Administrator może przetwarzać dane osobowe dla realizacji różnych celów, w oparciu o różne przesłanki dopuszczalności przetwarzania. Gdy administrator stwierdzi potrzebę przetwarzania danych powinien dokonać wyboru odpowiedniej podstawy. Klauzula prawnie usprawiedliwionego interesu jest jedną z podstaw wskazanych w art. 6 ust. 1 r.o.d.o. Może być ona postrzegana jako przejaw uznania przez prawodawcę unijnego, iż mogą zaistnieć sytuacje, w których administrator nie może powołać się na zgodę, przepis ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych, gdyż za dopuszczalnością przetwarzania przemawia „prawnie uzasadniony interes”. Daje to podstawę do twierdzenia, że jest to przesłanka dodatkowa, uzupełniająca pozostałe ogólne podstawy dopuszczalności przetwarzania danych.

Prawodawca unijny w art. 6 ust. 1 in fine rozporządzenia 2016/679 uznał, że przesłanka prawnie uzasadnionych interesów nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Oznacza to, że podmioty publiczne (organy administracji publicznej) powinny opierać przetwarzanie przede wszystkim na przepisach prawa – gdy jest to niezbędne do wykonania obowiązku prawnego (art. 6 ust. 1 lit. c r.o.d.o.) lub gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e r.o.d.o.).