Artykuł ukazał się w Magazynie ODO
Autor: Joanna Łukaszyk
Prawnie uzasadniony interes jawi się jako dość często stosowana podstawa przetwarzania danych osobowych, stosowana także przez podmioty publiczne. Lektura przepisów dotyczących funkcjonowania sądów (prezesów, dyrektorów) dostarcza ciekawych wniosków w zakresie stosowania tej przesłanki.
Dopuszczalność przetwarzania na podstawie prawnie uzasadnionego interesu
Prawnie uzasadniony interes (dalej jako: pui) stanowi jedną z podstaw przetwarzania danych osobowych określonych w przepisie art. 6) RODO[1]. W myśl art. 6 ust. 1 lit. f) RODO administrator, po wyważeniu swoich interesów oraz interesów, praw i wolności osoby, której dane dotyczą, może zadecydować o przetwarzaniu, jeżeli jest ono niezbędne do celów wynikających z jego interesów.
Nie zaskakuje przy tym intencja ustawodawcy, wyrażona w treści motywu (47) RODO, aby podmiot publiczny nie sięgał zbyt często do tej przesłanki, zwłaszcza w obszarach przypisanych mu ustawowo zadań. W tym celu ustawodawca kieruje w stronę podmiotów publicznych inne podstawy przetwarzania danych osobowych, w tym w szczególności obowiązek administratora – gdy przetwarzanie jest niezbędne do jego wykonania (art. 6 ust. 1 lit. c) RODO) lub też wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – jeżeli jest do tego niezbędne przetwarzanie danych osobowych (art. 6 ust. 1 lit. e) RODO). Te dwie podstawy przetwarzania wymagają istnienia przepisów prawa krajowego lub UE dotyczącego takiego przetwarzania, co wzmacnia charakter przetwarzania dokonywanego przez podmioty publiczne, w odniesieniu do których ustawowe określenie przetwarzania wpisuje się także w gwarancje poszanowania prywatności jednostki.
Normatywna konstrukcja tej podstawy przetwarzania danych osobowych opiera się na istnieniu interesów administratora, na tyle dla niego istotnych, że ich realizacja wysuwa się przed interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Ustawodawca jednocześnie wylicza sytuacje usprawiedliwiające ten rodzaj przetwarzania, tj. odpowiedni rodzaj powiązania między podmiotem danych a administratorem czy oczekiwanie takiego przetwarzania przez podmioty danych. Stosowanie pui jako podstawy przetwarzania danych osobowych powinna poprzedzić ocena dopuszczalności oparcia przetwarzania na innej podstawie. Jeżeli wynik takiej oceny jest negatywny, administrator powinien rozważyć stosowanie pui w swoich procesach.
Prawnie uzasadniony interes w sądach
Również w sądach znajduje zastosowanie pui jako podstawa przetwarzania danych osobowych. Analiza wydzielonych obszarów przetwarzania dostarcza jednoznacznych wniosków co do zakresu jej zastosowania – nie ulega wątpliwości, że obszar sprawowania wymiaru sprawiedliwości będzie wyłączony z możliwości zastosowania tej przesłanki. Określony konstytucyjnie obowiązek oparcia ingerencji w prywatność jednostki na przepisach prawa determinuje dominujące podstawy przetwarzania danych osobowych przez sądy – w zdecydowanej większości sytuacji podstawą taką będzie albo obowiązek administratora (art. 6 ust. 1 lit. c) RODO) albo niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e) RODO). Jednakże, w obszarach związanych z organizacyjno-administracyjnym funkcjonowaniem sądu, jak również w sferze stosunków cywilnoprawnych nawiązywanych przez sąd, dopuszczalne jest sięganie do prawnie uzasadnionego interesu. Dwa podstawowe procesy, typowe w zasadzie dla wszystkich administratorów, w których przetwarzanie będzie oparte na pui, to stosowanie monitoringu wizyjnego, a także przetwarzanie danych osobowych tzw. osób kontaktowych, wskazywanych przez drugą stronę umowy jako osoby właściwe do kontaktu w ramach realizacji umowy. Mimo, że pierwszy ze wspomnianych procesów ma swoje źródło normatywne w przepisach ustawy z dnia 26 czerwca 1974 r. Kodeks pracy[2], to jednak stosowanie monitoringu nie jest obowiązkiem, lecz uprawnieniem pracodawcy, a to z kolei oznacza brak możliwości zastosowania przesłanki z art. 6 ust. 1 lit. c RODO, czy z art. 6 ust. 1 lit. e RODO (w tym przypadku z uwagi na brak możliwości uznania, że stosowanie monitoringu wizyjnego jest realizacją określonego zadania publicznego). Drugi wskazany przykład dotyczy przetwarzania niemającego odzwierciedlenia w konkretnym obowiązku administratora, dotyczy jednak ważnej sfery funkcjonowania każdego podmiotu.
Brak możliwości tego rodzaju przetwarzania prowadziłby do paraliżu realizacji zadań zabezpieczających np. techniczne funkcjonowanie każdego podmiotu.
Jednakże, podane przykłady nie zamykają sfery korzystania przez sądowych administratorów danych z możliwości przetwarzania opartego na pui.
Ciekawy przypadek – nagrywanie rozmów telefonicznych
Dość interesującym obszarem zastosowania pui w sądach wydaje się przetwarzanie danych osobowych w ramach procesu nagrywania rozmów telefonicznych. Ustawodawca uregulował ten obszar fragmentarycznie, tzn. wyłącznie w odniesieniu do rozmów przychodzących do sądu, kreując uprawnienie prezesa sądu (nie obowiązek) do zadecydowania w przedmiocie ich nagrywania (§ 123 ust. 6 rozporządzenia Ministra Sprawiedliwości z dnia 18 czerwca 2019 r. – Regulamin urzędowania sądów powszechnych[3] – dalej RUSP). Nie rozstrzygając w tym momencie o podstawie prawnej przetwarzania (przede wszystkim spośród art. 6 ust. 1 lit. e) RODO oraz art. 6 ust. 1 lit. a) RODO) – choć sposób nagrywania rozmów telefonicznych wskazany w § 123 ust. 6 RUSP skłania jednak ku przyjęciu zgody jako podstawy przetwarzania) należy wskazać na wątpliwości dotyczące tego procesu, jak choćby regulacja uprawnienia do nagrywania rozmów na poziomie podstawowym.
Jednakże, w przypadku gdy z uwagi na stosowane rozwiązania techniczne, nagrywanie rozmów obejmuje zarówno rozmowy przychodzące, jak i wychodzące, administrator powinien rozważyć oparcie tego procesu na przesłance z art. 6 ust. 1 lit. f) RODO. I nie chodzi tylko o pominięcie tego aspektu możliwego przetwarzania, ale także rozliczalność działań podejmowanych przez administratora, np. w zakresie informowania o zmianach w sprawach. Uzasadnionym interesem administratora jest zatem zapewnienie rozliczalności wykonywanych czynności realizowanych tą drogą. Oparcie takiego przetwarzania np. na przesłance zgody, tradycyjnie stosowanej przez administratorów ‘prywatnych’ nie jest korzystne dla administratora także i z tego względu, że nie zapewni rozliczalności wszystkich działań. Należy bowiem zdecydowanie rozróżnić nagrywanie rozmów przez operatora telefonicznego czy bank, z reguły wiążące się z celami marketingowymi, od nagrywania rozmów telefonicznych przez sąd służące nie tylko zapewnieniu rozliczalności podejmowanych przez sąd działań, ale interesom uczestników postępowań, co oczywiście powinien też wykazać test równowagi przeprowadzony w odniesieniu do tego procesu.
PUI a regulacja ustawowa
Nie ulega wątpliwości, że prawnie uzasadniony interes administratora pojawi się w przetwarzaniu danych osobowych przez sądowych administratorów danych. Poza tymi bardziej oczywistymi procesami pojawią się oczywiście także ‘przypadki bardziej szczególne’. Trudności pojawią się wtedy, gdy konkretny proces przetwarzania danych osobowych będzie leżał na pograniczu realizacji zadań przypisanych administratorowi, ponieważ z jednej strony ograniczeniem będzie brak możliwości zastosowania pui do obszarów realizacji tych zadań, z drugiej natomiast brak lub fragmentaryczna regulacja normatywna określonego procesu stawia takiego administratora w trudnym położeniu. Czy administrator projektuje określone rozwiązania w kierunku stosowania pui? Czasem tak, czasem jednak jest to konsekwencja wcześniejszego wyboru ustawodawcy lub pominięcia istotnych jednak obszarów działań podmiotów publicznych.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L 119 z 4 maja 2016 r., s. 1, z późn. zm.
[2] T. j. Dz. U. 2021, poz. 1162.
[3] T.j. Dz. U. 2021, poz. 2046.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
