Chcąc przetwarzać dane osobowe na podstawie klauzuli generalnej prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f rodo), zwłaszcza jeśli proces nie jest typowy, powszechnie prowadzony i aprobowany w doktrynie i orzecznictwie, administrator musi przeprowadzić tzw. test równowagi, aby ustalić czy nie jest tak, że nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Przetwarzanie na tej przesłance jest legalne gdy interesy ado są nadrzędne albo równorzędne wobec interesów podmiotu danych.
Aby tę relację interesów ustalić, z pomocą przychodzi brytyjski organ nadzorczy ICO, proponując listę kontrolną składającą się z ponad 30 pytań. Korzystając z tego wzorca można przygotować własny test równowagi złożony z mniejszej ilości pytań.
Test celu
- Dlaczego chcesz przetwarzać dane?
- Jakie korzyści oczekujesz z przetwarzania?
- Czy jakiekolwiek trzecie strony korzystają z przetwarzania?
- Czy istnieją szersze korzyści publiczne z przetwarzania?
- Jak ważne są zidentyfikowane korzyści?
- Jaki byłby wpływ, gdyby nie można było przystąpić do przetwarzania?
- Czy przestrzegasz konkretnych przepisów dotyczących ochrony danych obowiązujących w twoim przetwarzaniu (np. wymagania dotyczące profilowania czy przepisy dotyczące prywatności elektronicznej)?
- Czy przestrzegasz innych istotnych przepisów prawa?
- Czy przestrzegasz wytycznych branżowych lub kodeksów postępowania?
- Czy istnieją jakiekolwiek inne kwestie etyczne związane z przetwarzaniem?
Test konieczności
- Czy to przetwarzanie rzeczywiście pomoże ci osiągnąć cel?
- Czy przetwarzanie jest proporcjonalne do tego celu?
- Czy można osiągnąć ten sam cel bez przetwarzania?
- Czy można osiągnąć ten sam cel, przetwarzając mniej danych lub przetwarzając dane w inny, bardziej oczywisty lub mniej inwazyjny sposób?
Test równowagi
Charakter danych osobowych
- Czy to są dane specjalnej kategorii lub dane dotyczące przestępstw?
- Czy są to dane, które ludzie prawdopodobnie uważają za szczególnie „prywatne”?
- Czy przetwarzasz dane dzieci lub dane dotyczące innych osób wrażliwych?
- Czy dane dotyczą ludzi w ich sferze osobistej czy zawodowej?
Rozsądne oczekiwania
- Czy masz istniejący związek z daną osobą?
- Jaki jest charakter tego związku i jak wcześniej korzystałeś z danych?
- Czy dane zostały zebrane bezpośrednio od osoby? Co im powiedziałeś wtedy?
- Jeśli dane pochodzą od strony trzeciej, co powiedzieli osobom o ponownym wykorzystaniu przez strony trzecie w innych celach i czy to obejmuje ciebie?
- Jak dawno temu zebrano dane? Czy od tego czasu nastąpiły jakiekolwiek zmiany technologiczne lub kontekstowe, które wpłynęłyby na oczekiwania?
- Czy zamierzony cel i metoda są szeroko zrozumiane?
- Czy planujesz coś nowego lub innowacyjnego?
- Czy masz jakiekolwiek dowody dotyczące oczekiwań, na przykład z badań rynkowych, grup fokusowych lub innych form konsultacji?
- Czy istnieją inne czynniki w konkretnych okolicznościach, które sprawiają, że ludzie spodziewaliby się lub nie spodziewaliby się przetwarzania?
Prawdopodobny wpływ
- Jakie są możliwe skutki przetwarzania dla ludzi?
- Czy osoby stracą kontrolę nad używaniem swoich danych osobowych?
- Jaka jest prawdopodobieństwo i nasilenie potencjalnych skutków?
- Czy niektóre osoby prawdopodobnie sprzeciwią się przetwarzaniu lub uznają je za niezgodne z prywatnością?
- Czy byłbyś gotów wyjaśnić przetwarzanie osobom?
- Czy można wprowadzić jakieś zabezpieczenia, aby zminimalizować wpływ?