RODO jako jedną z podstaw prawnych przetwarzania danych wskazuje prawnie uzasadnione interesy administratora. Czym jest ten interes? I kiedy się można na niego powołać?
Podpowiedzi można szukać m.in. w motywie 47 preambuły:
(…)Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (…). Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Tak mówią przepisy rozporządzenia…
a bardziej po ludzku?
Powyżej przytoczony motyw wskazuje przykłady prawnie uzasadnionego interesu administratora. Ale zacznijmy od podstaw. Czym jest ten interes? Jest to jedna z podstaw prawnych, która w ogóle umożliwia przetwarzanie danych. Pamiętaj, że jeśli chcesz przetwarzać dane osobowe w jakimkolwiek celu, musisz robić to, mając podstawę prawną. Katalog podstaw prawnych znajdziesz w art. 6 ust. 1 lit. a do f. To bardzo ważne. Nie można przetwarzać danych osobowych, jeśli nie potrafimy wskazać podstawy prawnej takiego przetwarzania. I ów prawnie uzasadniony interes administratora to właśnie jedna z podstaw prawnych.
Jest to jedna z mniej precyzyjnych podstaw prawnych i przysparza wielu wątpliwości, co może stanowić taki interes, a co nie. Dlatego też RODO ww. motywie stara się wyjaśnić trochę tę kwestię, podając przykłady. Są to:
- w celu wykonania umowy pomiędzy klientem a administratorem,
np. Ty, jako sprzedawca ebooka realizujesz umowę z klientem, który za pomocą formularza zamówienia na stronie złożył zamówienie na ów ebook – w takiej sytuacji nie potrzebujesz dodatkowo zgody klienta na przetwarzanie danych osobowych w celu realizacji zamówienia, czyli przygotowania wysyłki, wystawienia faktury i wysyłki ebooka. Już sam fakt realizacji zamówienia stanowi podstawę prawną do przetwarzania. Pamiętaj jednak, że dane możesz przetwarzać tylko w celu realizacji umowy, realizacji obowiązku prawnego (np. podatkowo-księgowego) oraz poniżej wskazanych celach. Nie możesz przetwarzać tych danych w innych celach np. wysyłki oferty handlowej drogą elektroniczną (np. emailem) - w celu zapobieganie oszustwom
np. może to być czarna lista osób, które próbowały wyłudzić usługę lub produkt od Ciebie, nie uiszczając płatności - w celu marketingu bezpośredniego
W tę kategorię wpadają wszystkie newslettery, oferty wysyłane mailem, zaproszenia do wyzwań. Jeśli chcemy przetwarzać dane osobowe, musimy uzyskać zgodę od osoby, której przetwarzane dane osobowe dotyczą. Taka zgoda stanowi naszą podstawę prawną do przetwarzania danych osobowych.
UWAGA – BARDZO WAŻNE:
RODO wymaga od nas spełnienia dodatkowego, niezwykle ważnego obowiązku, którym jest gwarancja prawa do wniesienia sprzeciwu wobec przetwarzania. I to my, jako administratorzy musimy zapewnić środki techniczne, by to osobie, której dane dotyczą, umożliwić.
Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.