Podstawa prawna z art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora) jest jednym z najczęściej stosowanych – ale i najbardziej ryzykownych – mechanizmów przetwarzania danych osobowych. Pozwala ona na legalne wykorzystywanie danych bez zgody osoby, pod warunkiem że interesy administratora przeważają nad prawami i wolnościami osoby, której dane dotyczą. W praktyce jednak wiele podmiotów popełnia błędy w ocenie tego przeważenia, co prowadzi do kontroli Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i wysokich kar. W niniejszym artykule – z perspektywy adwokata specjalizującego się w ochronie danych – wyjaśniam, jak przeprowadzić test równowagi, jakie są granice prawnie uzasadnionego interesu oraz jak reagować na sprzeciw osoby, której dane dotyczą.
Czym jest uzasadniony interes prawny i kiedy można przetwarzać dane osobowe?
Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych jest zgodne z prawem, jeżeli „jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.
Definicja prawnie uzasadnionego interesu administratora według RODO
Prawnie uzasadniony interes to nieokreślone pojęcie, które RODO nie definiuje wprost. Z motywu 47 RODO wynika, że za taki interes można uznać m.in.: – windykację należności, – marketing bezpośredni (własnych produktów lub usług), – zapobieganie nadużyciom (fraud prevention), – bezpieczeństwo sieci i systemów informatycznych, – prowadzenie postępowań sądowych i dochodzenie roszczeń.
Istotne jest, że interes musi być rzeczywisty, aktualny i zgodny z prawem – nie może to być jedynie subiektywne życzenie administratora. Przykładowo: chęć zwiększenia zysków sama w sobie nie stanowi uzasadnionego interesu, ale już ochrona przed nieuczciwymi klientami (np. tworzenie list dłużników) – tak.
Kiedy administrator może przetwarzać dane na podstawie prawnie uzasadnionego interesu?
Administrator może skorzystać z tej podstawy, gdy łącznie spełnione są trzy przesłanki (tzw. test trójstopniowy): 1. Cel przetwarzania wynika z prawnie uzasadnionego interesu administratora lub strony trzeciej.
2. Przetwarzanie jest niezbędne do osiągnięcia tego celu (nie ma mniej inwazyjnego środka).
3. Interes administratora przeważa nad interesami, prawami i wolnościami osoby, której dane dotyczą.
Przetwarzanie na podstawie art. 6 ust. 1 lit. f RODO jest wyłączone, gdy wymagają tego przepisy szczególne (np. w przypadku danych wrażliwych – art. 9 RODO, lub gdy inna podstawa jest obligatoryjna).
📌 Uwaga praktyczna: Przetwarzanie na podstawie uzasadnionego interesu nie może być stosowane w odniesieniu do danych osobowych dzieci, jeżeli nie ma dodatkowych zabezpieczeń (motyw 47 RODO). W praktyce PUODO uznaje, że w przypadku dzieci konieczna jest zgoda rodzica lub wyraźnie silniejszy interes administratora (np. ochrona zdrowia).
Różnica między prawnie uzasadnionym interesem a innymi podstawami prawnymi przetwarzania danych osobowych
Podstawę z art. 6 ust. 1 lit. f RODO odróżnia od zgody (lit. a) i niezbędności do wykonania umowy (lit. b) przede wszystkim brak wymogu aktywnej zgody osoby oraz konieczność przeprowadzenia testu równowagi. W przeciwieństwie do lit. c (wypełnienie obowiązku prawnego) – interes nie wynika z wprost wskazanego przepisu, lecz z autonomicznej oceny administratora. Z kolei w stosunku do lit. e (wykonanie zadania w interesie publicznym) – interes prywatny jest co do zasady słabszy, co wymaga staranniejszego ważenia.
Najczęstszym błędem jest traktowanie uzasadnionego interesu jako „domyślnej” podstawy, gdy brak zgody lub umowy. To podejście jest ryzykowne – bez pozytywnego wyniku testu równowagi przetwarzanie jest nielegalne.
Test równowagi – jak przeprowadzić i sprawdzić prawnie uzasadniony interes?
Test równowagi (ang. balancing test) to obowiązkowa procedura, którą administrator powinien udokumentować przed rozpoczęciem przetwarzania na podstawie art. 6 ust. 1 lit. f RODO. Brak dokumentacji testu jest często kwestionowany przez organy nadzorcze.
Na czym polega przeprowadzenie testu równowagi według art. 6 ust. 1 lit. f RODO?
Test równowagi to trzyetapowa analiza pisemna:
Krok 1 – Identyfikacja interesu administratora: należy wskazać konkretny, legalny i aktualny interes (np. „zapewnienie bezpieczeństwa systemów IT poprzez monitorowanie logowań”). Interes nie może być ogólnikowy („działalność gospodarcza”).
Krok 2 – Ocena niezbędności: czy cel można osiągnąć przy użyciu mniej inwazyjnych środków? (np. zamiast monitorowania całej korespondencji – tylko nagłówki e-mail).
Krok 3 – Ważenie interesów: zestawienie interesu administratora z prawami osoby, której dane dotyczą (prywatność, autonomia informacyjna).
Wynik testu musi być pozytywny (przewaga administratora) lub co najmniej zrównoważony z dodatkowymi zabezpieczeniami (np. anonimizacja, krótki okres przechowywania).
Jak zrównoważyć interes administratora z interesem i podstawowymi prawami osoby?
Przy ważeniu bierzemy pod uwagę następujące czynniki:
– charakter danych (dane zwykłe vs. wrażliwe
– te drugie prawie zawsze przeważą),
– oczekiwania osoby (czy spodziewała się takiego przetwarzania?
– np. pracownik spodziewa się monitorowania służbowego komputera w ograniczonym zakresie),
– potencjalne negatywne skutki dla osoby (dyskryminacja, stygmatyzacja, utrata kontroli),
– możliwość wdrożenia zabezpieczeń (pseudonimizacja, ograniczenie dostępu, okresowe usuwanie).
W praktyce stosuje się metodę punktową lub macierz ryzyka. Im wyższe ryzyko dla osoby, tym silniejszy interes administratora musi być, aby przeważyć. Dla przykładu: windykacja należności 100 zł wobec emeryta – interes osoby (godność, spokój) może przeważyć, natomiast windykacja 50 000 zł od przedsiębiorcy – raczej interes administratora przeważa.
⚠️ Kluczowe ryzyko: Test równowagi nie może być przeprowadzony „po fakcie” (ex post). PUODO w decyzjach (np. decyzja z 2023 r. wobec firmy windykacyjnej) nakłada kary za brak udokumentowania testu przed rozpoczęciem przetwarzania. Rekomenduję sporządzenie protokołu testu dla każdego odrębnego celu przetwarzania.
Kiedy interes administratora przeważa nad prawami osoby, której dane dotyczą?
Przewaga administratora występuje najczęściej w następujących sytuacjach:
– dane są przetwarzane w celu dochodzenia roszczeń lub obrony przed roszczeniami (art. 6 ust. 1 lit. f w zw. z motywem 47),
– dane są niezbędne do zapewnienia bezpieczeństwa sieci i usług (np. logi serwerów),
– dane dotyczą osób pełniących funkcje publiczne lub eksponowane (ograniczone oczekiwanie prywatności),
– administrator stosuje silne zabezpieczenia (szyfrowanie, anonimizacja) i nie przekazuje danych stronom trzecim.
Natomiast nie przeważa w przypadku: przetwarzania danych dzieci, wykorzystywania danych do marketingu bez możliwości łatwego sprzeciwu, monitorowania pracowników bez jasnych zasad (art. 22 k.p. i wyroki ETPC).
Jak przetwarzać dane osobowe na podstawie prawnie uzasadnionego interesu administratora?
Po pozytywnym wyniku testu równowagi należy wdrożyć przetwarzanie zgodnie z zasadami RODO, w tym z zasadą minimalizacji i przejrzystości.
Realizacja celu wynikającego z prawnie uzasadnionego interesu administratora danych
Przetwarzanie musi być ograniczone do niezbędnego minimum. Oznacza to:
– zbieranie tylko tych danych, które są konieczne do realizacji celu (np. przy windykacji – adres, numer NIP, kwota zadłużenia, a nie np. stan zdrowia),
– ustalenie okresu przechowywania – nie dłuższego niż wymagany do realizacji celu (np. po przedawnieniu roszczenia dane należy usunąć),
– stosowanie środków technicznych i organizacyjnych, aby zapobiec nieuprawnionemu dostępowi.
Administrator musi również spełnić obowiązek informacyjny (art. 13 lub 14 RODO), wskazując jako podstawę prawną art. 6 ust. 1 lit. f oraz opisując uzasadniony interes. Brak tej informacji powoduje, że przetwarzanie jest nielegalne.
Przetwarzanie danych osobowych w ramach grupy na podstawie uzasadnionego interesu
W grupach kapitałowych często pojawia się pytanie, czy można udostępniać dane między spółkami w oparciu o uzasadniony interes. Zgodnie ze stanowiskiem EROD (European Data Protection Board)
– tak, ale pod warunkiem że: – udostępnienie jest niezbędne do realizacji interesu spółki dominującej lub zależnej (np. centralne zarządzanie ryzykiem kredytowym),
– test równowagi uwzględnia łączny interes grupy i prawa osób,
– istnieje umowa powierzenia przetwarzania lub współadministrowania (art. 26 RODO) – w zależności od modelu.
W przypadku przekazywania danych poza EOG do spółki matki w państwie trzecim, konieczne jest dodatkowe zabezpieczenie (SCC lub BCR). Art. 48 RODO (na który powołuje się nagłówek) dotyczy przekazywania na podstawie umów międzynarodowych – należy go stosować łącznie z art. 49.
Prawnie uzasadnionych interesów realizowanych zgodnie z art. 48 RODO
Art. 48 RODO stanowi, że każdy wyrok sądu lub decyzja organu administracyjnego państwa trzeciego nakazująca administratorowi lub podmiotowi przetwarzającemu przekazanie lub ujawnienie danych osobowych może być uznana za podstawę do przekazania tylko wtedy, gdy wynika z umowy międzynarodowej (np. konwencji) lub aktu prawnego UE. W praktyce oznacza to, że administrator nie może powołać się na uzasadniony interes, aby zrealizować żądanie amerykańskiego sądu (np. w ramach discovery) bez odpowiedniej podstawy prawnej. Interes administratora (np. uniknięcie grzywny za obrazę sądu) nie przeważa nad ochroną danych obywateli UE. To istotne ograniczenie.
Prawo do sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu
Prawo do sprzeciwu (art. 21 RODO) jest kluczowym narzędziem ochrony osób, których dane dotyczą, w przypadku przetwarzania na podstawie art. 6 ust. 1 lit. f.
Kiedy osoba może skorzystać z prawa do sprzeciwu według przepisów RODO?
Zgodnie z art. 21 ust. 1 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw
– z przyczyn związanych z jej szczególną sytuacją
– wobec przetwarzania danych osobowych opartego na prawnie uzasadnionym interesie.
Administrator ma obowiązek zaprzestać przetwarzania, chyba że wykaże:
– istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, które są nadrzędne wobec interesów, praw i wolności osoby, lub
– podstawy do ustalenia, dochodzenia lub obrony roszczeń.
W przypadku marketingu bezpośredniego (art. 21 ust. 2) sprzeciw jest bezwzględny – administrator nie może go oddalić, musi niezwłocznie zaprzestać przetwarzania na potrzeby marketingowe.
Jak administrator powinien reagować na sprzeciw wobec przetwarzania danych osobowych?
Procedura reakcji na sprzeciw:
1. Weryfikacja tożsamości osoby (zgodnie z art. 12 ust. 6 RODO).
2. Ocena zasadności sprzeciwu – czy dotyczy marketingu (wtedy natychmiastowe zaprzestanie) czy innego celu (wtedy ponowny test równowagi z uwzględnieniem „szczególnej sytuacji” osoby).
3. Odpowiedź w terminie 1 miesiąca (z możliwością przedłużenia o kolejne 2 miesiące).
4. W razie uwzględnienia sprzeciwu – zaprzestanie przetwarzania i usunięcie danych, chyba że zachodzą podstawy do przechowywania (np. termin przedawnienia roszczeń).
Brak reakcji na sprzeciw jest naruszeniem RODO zagrożonym karą administracyjną (do 20 mln EUR lub 4% rocznego obrotu).
Czy interesy lub podstawowe prawa i wolności osoby mogą ograniczyć prawny interes?
Tak. Nawet jeśli administrator przeprowadził test równowagi i uzyskał wynik pozytywny, osoba może wykazać, że jej szczególna sytuacja (np. choroba, uzależnienie, zagrożenie stygmatyzacją) powoduje, że jej prawa przeważają nad interesem administratora. Przykład: windykacja długu wobec osoby cierpiącej na depresję, u której kontakty windykacyjne wywołują głęboką traumę – wówczas należy zaprzestać przetwarzania. W praktyce sądowej (wyrok TSUE C-40/17) podkreśla się, że prawo do sprzeciwu nie jest absolutne, ale administrator musi dokonać indywidualnej oceny.
Najczęstsze błędy przy ocenie uzasadnionego interesu administratora – jak ich uniknąć?
Na podstawie kontroli PUODO i orzecznictwa sądów administracyjnych można wskazać powtarzające się uchybienia.
Typowe pomyłki w interpretacji art. 6 ust. 1 lit. f przepisów prawa
- Brak udokumentowania testu równowagi – najczęstszy błąd. PUODO nakazuje prowadzenie rejestru czynności przetwarzania z adnotacją o przeprowadzonym teście.
- Uznanie, że interes administratora zawsze przeważa – to błędne założenie. W szczególności w relacji pracodawca-pracownik przewaga jest wyjątkiem (np. monitoring jedynie w uzasadnionych przypadkach, po spełnieniu wymogów z art. 22 k.p.).
- Stosowanie jednej podstawy do wielu celów – każdy cel przetwarzania wymaga odrębnej oceny. Nie można np. objąć jednym uzasadnionym interesem marketingu i analizy sprzedaży.
- Przetwarzanie danych wrażliwych na podstawie art. 6 ust. 1 lit. f – to niedopuszczalne. Dane wrażliwe wymagają podstawy z art. 9 ust. 2 RODO (np. zgoda, obowiązek prawny).
- Brak informacji o sprzeciwie – w klauzuli informacyjnej należy poinformować osobie o prawie do sprzeciwu (art. 13 ust. 2 lit. d RODO).
Kiedy warto skonsultować się z radcą prawnym w sprawie przetwarzania danych?
Konsultacja z adwokatem lub radcą prawnym specjalizującym się w ochronie danych jest zalecana w szczególności, gdy:
– planowane przetwarzanie może wywołać wysokie ryzyko dla praw i wolności osób (wymagana DPIA – art. 35 RODO),
– zamierzamy stosować uzasadniony interes wobec pracowników lub dzieci,
– dane mają być przekazywane do państwa trzeciego (poza EOG),
– otrzymaliśmy sprzeciw od osoby, a nie jesteśmy pewni, czy możemy go oddalić,
– toczy się postępowanie przed PUODO lub sądem dotyczące podstawy przetwarzania.
Profesjonalna ocena pozwoli uniknąć kar, które w 2024 r. sięgały w Polsce nawet kilku milionów złotych (np. kara dla firmy windykacyjnej – 2,5 mln zł za brak testu równowagi).
Praktyczne przykłady wykorzystania prawnie uzasadnionego interesu do przetwarzania danych osobowych na podstawie RODO
Aby zobrazować zastosowanie art. 6 ust. 1 lit. f RODO, poniżej przedstawiam trzy typowe przypadki z orzecznictwa i praktyki gospodarczej.
RODO przetwarzanie danych osobowych w celach marketingowych na podstawie uzasadnionego interesu
Marketing bezpośredni własnych produktów lub usług (nie dotyczy marketingu podmiotów trzecich) jest uznawany za uzasadniony interes administratora, ale pod warunkami:
– dane pochodzą z wcześniejszej relacji z klientem (np. zakup, zapytanie ofertowe),
– oferta dotyczy podobnych produktów lub usług (tzw. „soft opt-in” – art. 4 ustawy o świadczeniu usług drogą elektroniczną oraz art. 6 ust. 1 lit. f RODO),
– klientowi zapewniono łatwą i bezpłatną możliwość sprzeciwu w każdej wiadomości. Przykład: sklep internetowy wysyła newsletter z ofertą nowej kolekcji butów do klienta, który rok temu kupił buty
– tak, to legalne. Ale wysłanie oferty ubezpieczeń na podstawie samego faktu posiadania konta bankowego
– już nie (chyba że klient wyraził zgodę). W razie sprzeciwu – marketing musi ustać natychmiast.
Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu administratora w celach bezpieczeństwa
Monitoring wizyjny w miejscach publicznie dostępnych (np. w sklepie, na parkingu) może być oparty na uzasadnionym interesie (ochrona mienia, bezpieczeństwo klientów). Jednak:
– monitoring musi być oznakowany (tablice informacyjne),
– nie może obejmować miejsc intymnych (toalety, przebieralnie),
– nagrania nie mogą być udostępniane bez podstawy prawnej,
– okres przechowywania – maksymalnie 30 dni, chyba że dłuższy okres jest uzasadniony (np. toczące się postępowanie).
Analogicznie: logi serwerów, systemy antywłamaniowe, rejestracja wejść do budynku – to wszystko może być realizowane na podstawie art. 6 ust. 1 lit. f, o ile test równowagi wykaże przewagę administratora (co w przypadku ochrony przed włamaniem jest oczywiste).
Jak sprawdzić czy podstawowe prawa i wolności osoby nie są naruszone?
Ostatnim etapem testu równowagi jest ocena, czy pomimo pozytywnego wyniku, prawa osoby nie są naruszane w sposób nieproporcjonalny. A to sprawdzić można poprzez:
– analizę skutków – czy osoba może ponieść szkodę majątkową lub niemajątkową (stres, utrata wizerunku)?,
– możliwość kontroli – czy osoba ma realne narzędzia do sprzeciwu lub dostępu?,
– oczekiwania społeczne – czy przeciętny rozsądny człowiek spodziewałby się takiego przetwarzania w danej sytuacji?.
Jeśli któreś z powyższych wskazuje na wysokie ryzyko, konieczne jest albo zaniechanie przetwarzania, albo wdrożenie dodatkowych zabezpieczeń (np. szyfrowanie, ograniczenie dostępu do wybranej grupy). W razie wątpliwości zalecam konsultację z inspektorem ochrony danych (jeśli został wyznaczony) lub z radcą prawnym.
FAQ – najczęstsze pytania o prawnie uzasadniony interes administratora
1. Czy mogę wysłać ofertę handlową e-mailem do osoby, która nie jest moim klientem, powołując się na uzasadniony interes? Nie. Marketing bezpośredni do osób fizycznych, które nie są naszymi klientami, wymaga zgody (art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 6 ust. 1 lit. a RODO). Uzasadniony interes można stosować wyłącznie wobec własnych klientów – i tylko w zakresie produktów lub usług podobnych do tych, które nabyli. W praktyce polecam zawsze uzyskanie zgody, aby uniknąć ryzyka skargi do PUODO. 2. Jak udokumentować test równowagi? Czy wystarczy notatka służbowa?
Wskazane jest sporządzenie pisemnego protokołu testu równowagi, który zawiera: opis interesu administratora, ocenę niezbędności, szczegółowe ważenie interesów oraz wnioski. Protokół powinien być podpisany przez osobę odpowiedzialną za ochronę danych (np. IOD) i przechowywany wraz z rejestrem czynności przetwarzania. Notatka służbowa jest dopuszczalna, ale powinna być kompletna – same hasła („interes przeważa”) są niewystarczające.
3. Czy mogę udostępnić dane osobowe mojego dłużnika firmie windykacyjnej na podstawie uzasadnionego interesu?
Tak, ale pod warunkiem przeprowadzenia testu równowagi i zawarcia umowy powierzenia przetwarzania danych (art. 28 RODO). Windykacja należności jest uznawana za uzasadniony interes (motyw 47 RODO). Jednak przed przekazaniem danych należy rozważyć, czy istnieje mniej inwazyjny sposób (np. monit e-mail). Ponadto dłużnika należy poinformować o zamiarze przekazania danych do firmy windykacyjnej, chyba że zachodzi wyjątek (art. 14 ust. 5 RODO).
4. Co zrobić, gdy osoba wniesie sprzeciw wobec przetwarzania danych na podstawie art. 6 ust. 1 lit. f? Należy rozpatrzyć sprzeciw w terminie 1 miesiąca. Jeżeli dotyczy marketingu bezpośredniego – zaprzestać przetwarzania natychmiast. W innych przypadkach – przeprowadzić ponowny test równowagi, uwzględniając szczególną sytuację osoby. Jeśli nie możemy wykazać, że nasz interes jest nadrzędny – zaprzestajemy przetwarzania i usuwamy dane. Odpowiedź należy wysłać na piśmie lub w formie elektronicznej.
5. Czy mogę monitorować pocztę e-mail pracowników na podstawie uzasadnionego interesu?
W ograniczonym zakresie – tak, ale wyłącznie gdy monitoring jest niezbędny do zapewnienia bezpieczeństwa systemów (np. ochrona przed malware) lub do ochrony tajemnicy przedsiębiorstwa. Nie można monitorować treści wiadomości bez podstawy w kodeksie pracy (art. 22 k.p. wymaga regulaminu lub zgody). Ponadto konieczna jest uprzednia informacja pracowników oraz test równowagi. W praktyce rekomenduję oparcie monitoringu na przepisach prawa pracy (art. 22 k.p.) lub na zgodzie, a nie tylko na uzasadnionym interesie.
6. Jak długo mogę przechowywać dane przetwarzane na podstawie uzasadnionego interesu?
Okres przechowywania zależy od celu. Dla windykacji – do momentu przedawnienia roszczeń (zazwyczaj 3-6 lat). Dla logów serwerowych – nie dłużej niż 24 miesiące, chyba że przepisy szczególne nakazują dłużej (np. prawo telekomunikacyjne – 12 miesięcy). Zasada ogólna: dane należy usunąć, gdy cel przetwarzania został osiągnięty lub gdy ustał interes administratora. Zalecam ustalenie konkretnych terminów w polityce ochrony danych.
7. Czy mogę przetwarzać dane osobowe z mediów społecznościowych (np. LinkedIn) na podstawie uzasadnionego interesu?
Tak, ale ostrożnie. Przykład: administrator może pobrać publicznie dostępne dane z LinkedIn w celu rekrutacji (interes w znalezieniu kandydata). Jednak nie może przetwarzać danych prywatnych (np. postów na ścianie) ani danych niepublicznych. Ponadto konieczne jest poinformowanie osoby (art. 14 RODO) – co jest często pomijane, a stanowi naruszenie. W przypadku masowego scrapingu danych – PUODO może uznać, że prawa osób przeważają (kara nałożona na firmę Meta).
8. Czy uzasadniony interes administratora może być stosowany w placówkach medycznych (np. do przypominania o wizytach)?
Przypominanie o wizytach (SMS, e-mail) może być oparte na uzasadnionym interesie (troska o zdrowie pacjenta, efektywność leczenia). Jednak w przypadku podmiotów leczniczych często właściwszą podstawą jest art. 6 ust. 1 lit. c (wypełnienie obowiązku prawnego) lub lit. e (interes publiczny). Aby uniknąć ryzyka, zalecam uzyskanie zgody pacjenta na kontakt w celach organizacyjnych (chyba że wynika to wprost z umowy). Dodatkowo trzeba pamiętać o danych wrażliwych (art. 9 RODO) – samo przypomnienie o wizycie nie wymaga ujawnienia stanu zdrowia, więc nie jest to dana wrażliwa.
9. Jakie kary grożą za nielegalne przetwarzanie danych na podstawie art. 6 ust. 1 lit. f?
Kary administracyjne z art. 83 RODO: do 20 000 000 EUR lub 4% rocznego światowego obrotu. W Polsce PUODO nakładał kary od 50 000 zł do 2,5 mln zł za brak testu równowagi lub stosowanie podstawy bez jej spełnienia. Ponadto osoba, której dane dotyczą, może dochodzić odszkodowania na podstawie art. 82 RODO. W skrajnych przypadkach może to być również naruszenie dóbr osobistych (art. 23 k.c.).
10. Czy muszę wyznaczyć Inspektora Ochrony Danych (IOD), aby móc korzystać z uzasadnionego interesu?
Nie. Obowiązek wyznaczenia IOD wynika z art. 37 RODO i jest niezależny od podstawy przetwarzania. Obowiązek ten dotyczy m.in. podmiotów publicznych oraz tych, których główna działalność wymaga regularnego i systematycznego monitorowania osób na dużą skalę. Nawet jeśli nie masz obowiązku wyznaczenia IOD, możesz powołać IOD dobrowolnie – co jest zalecane przy skomplikowanych operacjach przetwarzania (w tym przy stosowaniu art. 6 ust. 1 lit. f na dużą skalę).
Potrzebujesz pomocy w przeprowadzeniu testu równowagi lub wdrożeniu polityki RODO?
Skontaktuj się z kancelarią adwokat Marcin Orlicki. Przeprowadzimy audyt podstaw przetwarzania i pomożemy uniknąć kar.
👉 Umów bezpłatną konsultację wstępną
Artykuł przygotowany przez adw. Mateusza Orlickiego | Kancelaria Adwokacka | kwiecień 2025 r.
Treść ma charakter informacyjny i nie stanowi indywidualnej porady prawnej. Przed podjęciem decyzji o przetwarzaniu danych na podstawie uzasadnionego interesu zalecam konsultację z adwokatem lub inspektorem ochrony danych.
