Urząd Ochrony Danych Osobowych poinformował o wszczęciu z urzędu postępowania administracyjnego wobec posła Przemysława Czarnka. Powodem jest podejrzenie naruszenia przepisów RODO w związku z ujawnieniem danych osobowych podczas konferencji prasowej. To kolejny przypadek, w którym osoba pełniąca funkcję publiczną staje się przedmiotem postępowania o naruszenie prawa do prywatności. Na naszym blogu pisaliśmy już o analogicznej sytuacji z udziałem byłego ministra zdrowia, który ujawnił dane pacjenta podczas publicznego wystąpienia – co zakończyło się nałożeniem administracyjnej kary pieniężnej (link). Najnowsza sprawa pokazuje, że problem nieprzestrzegania zasad ochrony danych osobowych przez osoby publiczne wciąż pozostaje aktualny. Ujawnienie danych na konferencji – co wiadomo? […]
Zbierasz dane? Upewnij się, że Twój „uzasadniony interes” nie kosztuje 4% obrotu
29 kwietnia 2025 | Karolina Misiak
Z Karty praw podstawowych Unii Europejskiej wynika jasno: dane osobowe muszą być przetwarzane rzetelnie, w określonych celach i w oparciu o uzasadnioną podstawę prawną określoną w przepisach prawa. Tę zasadę konkretyzuje RODO, a zwłaszcza artykuł 6, który stanowi, że przetwarzanie danych osobowych jest zgodne z prawem tylko w zakresie i w przypadku, w jakim zastosowanie ma co najmniej jedna z sześciu wskazanych tam podstaw prawnych.
Jedną z nich jest tzw. „uzasadniony interes” (art. 6 ust. 1 lit. f RODO). Coraz częściej administratorzy danych sięgają właśnie po tę podstawę – kusi bowiem ona elastycznością i brakiem konieczności uzyskiwania zgody. Ale czy zawsze można z niej korzystać? Nie, ta elastyczność nie jest nieograniczona, przepisy RODO nadają jej bowiem pewne ramy. Poniżej odpowiadamy na pytania, które każdy administrator powinien sobie zadać, zanim powoła się na „uzasadniony interes”.
Czym jest uzasadniony interes?
Zacznijmy od początku – jak wskazano powyżej uzasadniony interes to jedna z podstaw prawnych przetwarzania danych osobowych, określona w art. 6 ust. 1 lit. f) RODO. Zgodnie z tym przepisem przetwarzanie zostanie uznane za zgodne z prawem, jeżeli jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Oznacza to sytuację, w której administrator może legalnie przetwarzać dane bez zgody, jeśli spełnione są następujące warunki:
- istnieje rzeczywisty, zgodny z prawem i konkretny interes administratora lub strony trzeciej,
- przetwarzanie danych jest niezbędne do realizacji tego interesu – nie można osiągnąć celu w sposób mniej inwazyjny,
- interesy lub prawa osoby, której dane dotyczą, nie przeważają nad interesem administratora.
Każdy przypadek wymaga przejrzystej analizy, testu równowagi i starannego planowania. Nie należy traktować tej podstawy jako furtki do przetwarzania danych, w sytuacji gdy żadna z podstaw przetwarzania wymieniona w art. 6 ust. 1 RODO nie może mieć zastosowania. Przesłanka ta bywa użyteczna, ale jej nadużycie grozi poważnymi konsekwencjami. W przypadku bowiem, gdy administrator przetwarza dane bez podstawy prawnej dopuszcza się naruszenia, które może być znaczące dla jego organizacji. Przekonała się o tym ostatnio Poczta Polska, która przetwarzała dane obywateli pozyskane z rejestru PESEL bez odpowiedniej podstawy prawnej, w związku z organizacją wyborów korespondencyjnych, o czym informowaliśmy na łamach naszego bloga: (link tutaj).
Czy Twój interes jest rzeczywiście uzasadniony, zgodny z prawem i aktualny?
Już wiesz, że stosowanie przesłanki uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych wymaga spełnienia jasno określonych warunków. Przede wszystkim, interes ten musi być zgodny z obowiązującym prawem, zarówno krajowym, jak i unijnym. Oznacza to, że nie może on prowadzić do naruszenia przepisów ochrony danych, innych regulacji sektorowych ani praw osób, których dane dotyczą.
Ponadto, interes ten powinien być konkretny i jasno określony – administrator danych musi umieć go wyraźnie zdefiniować i uzasadnić. Nie wystarczy ogólne stwierdzenie o potencjalnej przydatności danych w przyszłości. Interes musi być rzeczywisty i aktualny, a nie hipotetyczny.
Zgodnie z wytycznymi EROD 1/2024, administrator powinien zadać sobie pytanie: czy jest w stanie precyzyjnie wskazać, jaki jest cel przetwarzania i w czym przejawia się uzasadniony interes? Jeśli odpowiedź jest niejednoznaczna – przetwarzanie nie powinno być realizowane[1].
Pamiętaj: brak jasności co do celu lub charakteru interesu to wyraźny sygnał, że należy wstrzymać się z przetwarzaniem danych do czasu przeprowadzenia rzetelnej analizy.
Czy osiągnięcie mojego celu rzeczywiście wymaga przetwarzania tych danych?
Kolejnym krokiem w analizie jest ocena niezbędności przetwarzania. W praktyce oznacza to, że dane osobowe mogą być przetwarzane wyłącznie wtedy, gdy są one nieodzowne do realizacji konkretnego, legalnego interesu. Administrator powinien sprawdzić, czy istnieją mniej inwazyjne alternatywy, które pozwolą osiągnąć ten sam cel przy mniejszym wpływie na prywatność osób fizycznych. Jeśli tak – ma obowiązek z nich skorzystać.
Czy prawa i wolności osoby, której dane dotyczą, nie przeważają nad moim interesem?
To najtrudniejszy i zarazem kluczowy etap tzw. testu równowagi interesów. Wymaga on rzetelnego rozważenia, czy interes administratora nie narusza nadmiernie praw i wolności jednostki. Aby legalnie przetwarzać dane na podstawie uzasadnionego interesu, administrator musi upewnić się, że jego cel nie narusza w sposób nadmierny praw i wolności osoby, której dane dotyczą.
W ramach tej analizy należy:
- zidentyfikować prawa, wolności i interesy osoby, której dane dotyczą,
- ocenić potencjalny wpływ przetwarzania na jej życie prywatne, godność, autonomię, możliwość kontroli nad danymi,
- wziąć pod uwagę uzasadnione oczekiwania osoby – czy mogła ona realnie spodziewać się, że jej dane będą przetwarzane w taki sposób,
- zaplanować środki minimalizujące wpływ, takie jak pseudonimizacja, szyfrowanie, ograniczenia dostępu czy krótkie okresy przechowywania danych.
Jeśli w wyniku oceny okaże się, że przetwarzanie może prowadzić do nadmiernego naruszenia prywatności osoby, nie można oprzeć się na przesłance uzasadnionego interesu – nawet jeśli cel administratora jest istotny. Należy zawsze udokumentować przeprowadzenie testu na potrzeby ewentualnej kontroli.
Tytułem przykładu:
✅ Uzasadnione przetwarzanie – monitoring służbowej poczty e-mail w celu zapewnienia bezpieczeństwa danych i organizacji pracy – przy zachowaniu proporcjonalności i poinformowaniu pracownika.
❌ Nieuzasadnione przetwarzanie – Stały monitoring audio w pomieszczeniach biurowych w celu „poprawy jakości pracy”.
Konsekwencje niewłaściwego stosowania przesłanki uzasadnionego interesu
Niewłaściwe stosowanie przesłanki uzasadnionego interesu w kontekście przetwarzania danych osobowych może prowadzić do poważnych konsekwencji zarówno dla organizacji, jak i osób odpowiedzialnych za przetwarzanie tych danych. Zgodnie z przepisami prawa, w tym RODO, stosowanie tej przesłanki musi być starannie uzasadnione i zgodne z przepisami, by uniknąć negatywnych skutków. Przypadki nadużycia tej podstawy prawnej mogą prowadzić do następujących konsekwencji:
- skarg i pozwów ze strony osób, których dane dotyczą,
- nałożenia przez PUODO administracyjnych kar pieniężnych (nawet do 20 mln euro lub 4% rocznego światowego obrotu firmy,
- wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
- utraty reputacji oraz zaufania klientów i partnerów biznesowych.
Nie ryzykuj – sprawdź jak unikać pułapek przy stosowaniu uzasadnionego interesu w ochronie danych osobowych
Niewłaściwe stosowanie przesłanki uzasadnionego interesu w przetwarzaniu danych osobowych to nie tylko ryzyko naruszenia przepisów RODO, ale również poważne zagrożenie dla reputacji i stabilności finansowej firmy. Choć ta podstawa prawna daje organizacjom pewną elastyczność w przetwarzaniu danych, jej nadużycie może prowadzić do wysokich kar finansowych.
Przed każdą decyzją o przetwarzaniu danych na podstawie uzasadnionego interesu, organizacja powinna przeanalizować, czy istnieje rzeczywista potrzeba i interes, który uzasadnia takie działanie, a także, czy nie narusza to praw osób, których dane dotyczą. Niedopełnienie tych obowiązków może skutkować sankcjami na poziomie finansowym i prawnym, a także narazić firmę na długotrwałe problemy związane z jej wizerunkiem.
Aby uniknąć tych ryzyk, warto pamiętać o obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA), która pomoże w odpowiedzialnym podejściu do przetwarzania danych i zapewni zgodność z przepisami prawa. Ostatecznie, dbając o odpowiednią ochronę danych osobowych, organizacja nie tylko unika kar, ale także buduje solidne podstawy zaufania w relacjach z klientami i partnerami.
Bezpieczne dane to bezpieczna organizacja.
[1] Wytyczne 1/2024 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
Powiązane posty
UODO wszczyna postępowanie wobec posła– kolejne naruszenie ochrony danych osobowych w życiu publicznym
9 maja 2025 | Aleksandra Ziętek
Dlaczego uwierzytelnianie wieloskładnikowe to dziś konieczność? Nowe zalecenia CNIL na rok 2025
30 kwietnia 2025 | Aleksandra Ziętek
W dobie cyfrowych zagrożeń tradycyjne metody ochrony kont, oparte wyłącznie na haśle, stają się niewystarczające. W odpowiedzi na nowe ryzyka CNIL – francuska Krajowa Komisja Informatyki i Wolności – opublikowała w marcu 2025 roku nowe zalecenia dotyczące uwierzytelniania wieloskładnikowego (MFA- Multi-Factor Authentication). Dokument ten stanowi kompleksowy przewodnik dla firm, instytucji publicznych oraz dostawców usług, jak poprawnie i zgodnie z RODO wdrażać MFA. Czym jest uwierzytelnianie wieloskładnikowe? MFA polega na weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych czynników spośród trzech kategorii: Czynnik wiedzy (coś, co użytkownik wie) – np. hasło lub PIN, Czynnik posiadania (coś, co użytkownik posiada) – […]
Nowy poradnik Prezesa UODO – Kompendium wiedzy o naruszeniach ochrony danych osobowych
21 lutego 2025 | I L@W IT + RODO
Prezes Urzędu Ochrony Danych Osobowych opublikował najnowszy poradnik dotyczący naruszeń ochrony danych osobowych. To praktyczne źródło informacji, które krok po kroku wyjaśnia, jak rozpoznać naruszenie, odpowiednio na nie zareagować i minimalizować ryzyko jego wystąpienia. Poradnik szczegółowo omawia: Rodzaje naruszeń – poufności, integralności i dostępności danych, Obowiązki administratorów i podmiotów przetwarzających, w tym procedury zgłaszania incydentów, Metody oceny ryzyka i podejmowania działań naprawczych, Zasady informowania osób, których dane dotyczą, oraz organu nadzorczego. Publikacja uwzględnia najnowsze wytyczne Europejskiej Rady Ochrony Danych (EROD) oraz orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). To niezbędna lektura dla wszystkich odpowiedzialnych za bezpieczeństwo danych w organizacjach, w szczególności […]