Uzasadniony interes RODO — test równowagi (LIA) krok po kroku

Uzasadniony interes z art. 6 ust. 1 lit. f RODO to jedna z sześciu podstaw prawnych przetwarzania danych osobowych i zarazem najczęściej nadużywana. Administratorzy chętnie sięgają po nią, gdy nie chcą prosić o zgodę i nie widzą innej podstawy — traktując ją jak „domyślną” furtkę. To poważny błąd. Powołanie się na prawnie uzasadniony interes nie jest deklaracją, lecz wynikiem udokumentowanej, trójstopniowej oceny, którą trzeba przeprowadzić przed rozpoczęciem przetwarzania.

Rok 2024 ustawił tę podstawę w nowym świetle. W wyroku z 4 października 2024 r. w sprawie C-621/22 (KNLTB) Trybunał Sprawiedliwości UE przesądził, że również interes czysto komercyjny może być uzasadnionym interesem w rozumieniu art. 6 ust. 1 lit. f RODO. Cztery dni później Europejska Rada Ochrony Danych (EROD) przyjęła długo oczekiwane Wytyczne 1/2024 dotyczące przetwarzania na podstawie tego przepisu. Oba dokumenty prowadzą do tego samego wniosku: uzasadniony interes jest podstawą elastyczną, ale wymagającą — i nigdy nie może być „ostatnią deską ratunku”.

W tym artykule wyjaśniam, czym jest uzasadniony interes, omawiam trzy kumulatywne przesłanki (test celu, test niezbędności i test równowagi) oraz pokazuję, jak udokumentować ocenę legalnego interesu (LIA). Na końcu znajdziesz gotowy szablon LIA do skopiowania i wykorzystania we własnej organizacji.

Czym jest uzasadniony interes w RODO

Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej — chyba że nadrzędne wobec nich są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, w szczególności gdy jest ona dzieckiem.

Sama definicja „uzasadnionego interesu” nie pojawia się w RODO. Wskazówek dostarcza natomiast motyw 47 preambuły, który wymienia przykładowe sytuacje: przetwarzanie niezbędne do zapobiegania oszustwom, marketing bezpośredni, a także uwzględnienie „rozsądnych oczekiwań” osób, których dane dotyczą, wynikających z ich relacji z administratorem. Motyw 48 odnosi się do przekazywania danych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, a motyw 49 — do bezpieczeństwa sieci i informacji.

Dwie cechy odróżniają tę podstawę od pozostałych. Po pierwsze, jest najbardziej „uznaniowa” — to administrator, a nie ustawodawca, waży argumenty za i przeciw. Po drugie, niesie wbudowany mechanizm ochronny: prawo sprzeciwu z art. 21 RODO. Z tego względu uzasadniony interes wymaga większej staranności niż np. zgoda czy wykonanie umowy, gdzie podstawa jest prostsza do wykazania. Uzasadniony interes to tylko jedna z sześciu podstaw przetwarzania z art. 6 RODO — warto znać cały katalog, by świadomie wybrać właściwą. Wszystkie sześć podstaw prawnych z art. 6 RODO omawiamy w osobnym artykule.

Kto nie może powołać się na uzasadniony interes. Art. 6 ust. 1 zdanie drugie RODO wprost wyłącza stosowanie tej podstawy przez organy publiczne w ramach realizacji ich zadań. Administracja publiczna powinna opierać przetwarzanie na obowiązku prawnym (lit. c) lub zadaniu realizowanym w interesie publicznym (lit. e). Uzasadniony interes pozostaje natomiast otwarty dla podmiotów prywatnych oraz dla organów publicznych w obszarach, które nie należą do wykonywania ich władczych zadań.

Trzy kumulatywne przesłanki: test celu, niezbędności i równowagi

Trybunał Sprawiedliwości UE konsekwentnie wskazuje, że powołanie się na art. 6 ust. 1 lit. f wymaga spełnienia trzech kumulatywnych warunków. Ten trójstopniowy test potwierdziły m.in. wyroki w sprawach Meta Platforms (C-252/21, wyrok z 4 lipca 2023 r.), SCHUFA Holding (sprawy połączone C-26/22 i C-64/22, wyrok z 7 grudnia 2023 r.), a w 2024 r. ponownie sprawa KNLTB (C-621/22).

Test celu (purpose test) — istnienie prawnie uzasadnionego interesu administratora lub strony trzeciej.

Test niezbędności (necessity test) — przetwarzanie musi być niezbędne do realizacji tego interesu.

Test równowagi (balancing test) — interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie mogą być nadrzędne wobec interesu administratora.

Kumulatywność oznacza, że niespełnienie któregokolwiek z warunków przesądza o braku możliwości oparcia przetwarzania na tej podstawie. Nie wystarczy „mieć interes” — trzeba wykazać, że przetwarzanie jest do niego konieczne i że przechodzi test wyważenia. Łączna ocena tych trzech kroków, spisana i opatrzona datą, to właśnie ocena legalnego interesu (LIA).

Krok 1. Test celu — czy interes jest prawnie uzasadniony

Pierwszy krok polega na precyzyjnym nazwaniu interesu, który ma usprawiedliwiać przetwarzanie. EROD wskazuje, że interes musi spełniać trzy cechy: być zgodny z prawem (lawful), rzeczywisty i aktualny (a nie hipotetyczny czy spekulatywny) oraz wystarczająco konkretny. Ogólnik w stylu „prowadzenie działalności gospodarczej” nie wystarczy — interes trzeba opisać na tyle szczegółowo, by dało się go zważyć z prawami osoby.

Tu właśnie wkracza wyrok KNLTB. Holenderski organ nadzorczy nałożył na Królewski Holenderski Związek Tenisowy karę 525 000 euro za odpłatne udostępnienie danych członków sponsorom, uznając, że interes „czysto komercyjny” nie może być uzasadniony. TSUE nie zgodził się z tak surową wykładnią: interes nie musi być wprost przewidziany w przepisach prawa, musi jedynie być zgodny z prawem (lawful). Tym samym także interes komercyjny — np. sprzedaż produktów, marketing bezpośredni czy rozwój biznesu — może być uzasadnionym interesem, o ile przejdzie pozostałe dwa testy.

Uwaga interpretacyjna jest jednak istotna: wyrok KNLTB nie oznacza, że dane można dowolnie wykorzystywać komercyjnie bez zgody. Trybunał jedynie zniósł kategoryczne wykluczenie interesów komercyjnych z katalogu interesów uzasadnionych. Każdy taki interes nadal musi przejść test niezbędności i test równowagi, a Trybunał przypomniał o obowiązku informacyjnym z art. 13 ust. 1 lit. d RODO — administrator musi wskazać konkretny uzasadniony interes już w momencie zbierania danych.

Typowe interesy uznawane za uzasadnione (przy spełnieniu pozostałych przesłanek) to m.in.: marketing bezpośredni wobec własnych klientów (motyw 47), zapobieganie oszustwom i nadużyciom, bezpieczeństwo sieci i systemów informatycznych (motyw 49), dochodzenie i obrona roszczeń, przekazywanie danych w ramach grupy kapitałowej do celów administracyjnych (motyw 48), a także bezpieczeństwo osób i mienia, w tym monitoring wizyjny. Jak stosować monitoring wizyjny zgodnie z RODO opisujemy w osobnym artykule.

Krok 2. Test niezbędności — czy nie da się inaczej

Drugi krok bada, czy przetwarzanie jest faktycznie niezbędne do realizacji zidentyfikowanego interesu. „Niezbędne” nie znaczy „wygodne” ani „opłacalne”. Pytanie brzmi: czy ten sam cel można osiągnąć w sposób mniej ingerujący w prywatność — przetwarzając mniej danych, krócej, węższym kręgiem odbiorców albo na danych zanonimizowanych?

Test niezbędności jest ściśle związany z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO). Jeśli istnieje rozsądna, mniej inwazyjna alternatywa pozwalająca osiągnąć cel, przetwarzanie nie jest „niezbędne” w rozumieniu przepisu, a tym samym podstawa z lit. f odpada. W praktyce na tym etapie warto zadać sobie cztery pytania kontrolne: czy potrzebuję wszystkich tych kategorii danych, czy potrzebuję ich przez tak długi czas, czy muszę je udostępniać tym konkretnym odbiorcom oraz czy celu nie zrealizuję na danych pseudonimizowanych lub zagregowanych.

Krok 3. Test równowagi — ważenie interesów

Trzeci i najtrudniejszy krok to test równowagi (test wyważenia, balancing test). Polega on na zestawieniu interesu administratora z interesami, prawami i wolnościami osoby, której dane dotyczą. Jeżeli te ostatnie okazują się nadrzędne, przetwarzanie na podstawie lit. f jest niedopuszczalne. Test równowagi nie jest matematyczny — to ocena uwzględniająca szereg czynników.

Charakter danych. Im bardziej wrażliwe dane, tym mocniejsza ochrona osoby. Dane szczególnych kategorii z art. 9 RODO (zdrowie, pochodzenie, przekonania, dane biometryczne) w praktyce wykluczają oparcie się wyłącznie na uzasadnionym interesie — wymagają odrębnej przesłanki z art. 9 ust. 2.

Rozsądne oczekiwania osoby (motyw 47). Kluczowe pytanie: czy w momencie zbierania danych osoba mogła rozsądnie spodziewać się, że będą one przetwarzane w danym celu? Jeśli przetwarzanie jest dla niej zaskakujące lub odbiega od kontekstu, w którym dane podała, szala przechyla się na jej korzyść.

Relacja między administratorem a osobą. Inaczej ocenimy przetwarzanie danych istniejącego klienta, a inaczej osoby, która nie ma żadnej relacji z administratorem (np. pozyskanie danych z zewnętrznej bazy).

Potencjalny wpływ na osobę. Bierze się pod uwagę realne i możliwe skutki: ryzyko dyskryminacji, wykluczenia, strat finansowych, nadmiernego śledzenia czy utraty kontroli nad danymi.

Status osoby. RODO wprost wyróżnia dzieci — gdy przetwarzanie dotyczy danych dziecka, wymaga się szczególnej ostrożności, a interes administratora znacznie trudniej uznać za nadrzędny.

Środki ograniczające ryzyko (safeguards). Na wynik testu wpływają zabezpieczenia, które administrator wprowadza dobrowolnie: pseudonimizacja, ograniczenie zakresu danych, skrócenie retencji, przejrzysta informacja, a zwłaszcza łatwy mechanizm sprzeciwu lub rezygnacji (opt-out). Dobrze dobrane środki mogą przechylić szalę na korzyść administratora.

W tym miejscu warto pamiętać o szczególnym przypadku, jakim jest marketing bezpośredni i profilowanie. Choć motyw 47 wskazuje marketing bezpośredni jako możliwy uzasadniony interes, profilowanie marketingowe oraz wykorzystanie plików cookie i identyfikatorów w urządzeniu końcowym podlegają odrębnym regułom (prawo telekomunikacyjne, dyrektywa ePrivacy), które najczęściej wymagają zgody — niezależnie od podstawy z art. 6. Więcej o marketingu bezpośrednim i profilowaniu znajdziesz w naszym przewodniku.

Prawo sprzeciwu i obowiązek informacyjny

Z uzasadnionym interesem nierozerwalnie wiąże się prawo sprzeciwu z art. 21 RODO. Osoba, której dane dotyczą, może w każdej chwili wnieść sprzeciw wobec przetwarzania opartego na lit. f z przyczyn związanych z jej szczególną sytuacją; administrator musi wówczas zaprzestać przetwarzania, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych. W przypadku marketingu bezpośredniego sprzeciw jest bezwarunkowy — administrator musi go uwzględnić zawsze i bez wyjątków.

Powołanie się na uzasadniony interes uruchamia też rozszerzony obowiązek informacyjny. Zgodnie z art. 13 ust. 1 lit. d oraz art. 14 ust. 2 lit. b RODO administrator musi wskazać, jakie konkretnie prawnie uzasadnione interesy realizuje. Ogólne sformułowanie „przetwarzamy dane w naszym uzasadnionym interesie” nie spełnia tego wymogu — trzeba nazwać interes wprost.

Kiedy nie polegać na uzasadnionym interesie

Uzasadniony interes nie jest uniwersalnym rozwiązaniem. Nie należy się na niego powoływać, gdy przetwarzasz dane szczególnych kategorii (art. 9) — potrzebna jest wtedy odrębna przesłanka; gdy jesteś organem publicznym działającym w ramach swoich zadań; gdy chcesz stosować cookies i podobne technologie w celach marketingowych — tu z reguły wymagana jest zgoda; gdy test równowagi wypada na niekorzyść administratora, a ryzyka nie da się ograniczyć zabezpieczeniami; a także gdy przetwarzanie jest dla osoby zaskakujące i wykracza poza jej rozsądne oczekiwania. W tych sytuacjach właściwą podstawą będzie zwykle zgoda, wykonanie umowy albo obowiązek prawny.

Dokumentacja: ocena legalnego interesu (LIA) i rozliczalność

Wytyczne EROD 1/2024 jasno przypominają, że uzasadniony interes nie może być wybierany „domyślnie” ani jako podstawa ostatniej szansy. Przed rozpoczęciem przetwarzania administrator musi przeprowadzić staranną ocenę według opisanej wyżej metodyki. Ta ocena — spisana, opatrzona datą i przechowywana — to ocena legalnego interesu (LIA).

LIA jest praktycznym wyrazem zasady rozliczalności z art. 5 ust. 2 RODO. To dzięki niej w razie kontroli wykażesz, że podstawa z lit. f została wybrana świadomie i że przeszła trójstopniowy test. LIA warto powiązać z rejestrem czynności przetwarzania (art. 30), w którym wskazujesz podstawę prawną każdej czynności, a przy operacjach wysokiego ryzyka — z oceną skutków dla ochrony danych (DPIA). LIA i DPIA to różne dokumenty, ale często się uzupełniają. Jak przeprowadzić DPIA opisujemy krok po kroku w osobnym artykule.

Szablon oceny legalnego interesu (LIA)

Poniższy szablon możesz skopiować i uzupełnić dla każdej czynności przetwarzania opartej na art. 6 ust. 1 lit. f RODO. Trzymaj go w aktach jako dowód rozliczalności i aktualizuj przy istotnych zmianach.

OCENA LEGALNEGO INTERESU (LIA)

Administrator: …………… | Czynność przetwarzania: …………… | Data oceny: …………… | Autor: …………… | Data przeglądu: ……………

Część A — Test celu (purpose test)

1. Jaki konkretny interes realizuję? (opisz precyzyjnie)
2. Czy interes jest mój, czy strony trzeciej?
3. Czy interes jest zgodny z prawem (lawful)? TAK / NIE — uzasadnienie
4. Czy interes jest rzeczywisty i aktualny (nie hipotetyczny)? TAK / NIE
5. Jaka byłaby strata, gdyby przetwarzanie nie nastąpiło?

Część B — Test niezbędności (necessity test)

6. Czy przetwarzanie jest niezbędne do realizacji interesu? TAK / NIE
7. Czy istnieje mniej inwazyjny sposób osiągnięcia tego samego celu? TAK / NIE — jaki
8. Czy zakres danych jest ograniczony do minimum (art. 5 ust. 1 lit. c)? TAK / NIE
9. Czy okres przechowywania jest możliwie krótki? TAK / NIE

Część C — Test równowagi (balancing test)

10. Jaki jest charakter danych? (zwykłe / wrażliwe — uwaga: art. 9)
11. Czy osoba mogła rozsądnie spodziewać się tego przetwarzania? TAK / NIE — dlaczego
12. Jaka jest relacja z osobą? (klient / pracownik / brak relacji / inna)
13. Jaki jest możliwy negatywny wpływ na osobę?
14. Czy przetwarzanie dotyczy dzieci lub osób w trudnej sytuacji? TAK / NIE
15. Jakie środki ograniczające ryzyko stosuję? (pseudonimizacja, opt-out, krótka retencja, transparentność)
16. Czy zapewniam łatwy sprzeciw (art. 21)? TAK / NIE
17. Czy spełniam obowiązek informacyjny i wskazuję konkretny interes (art. 13 ust. 1 lit. d)? TAK / NIE

Decyzja

• Interesy administratora nie są nadrzędne — można oprzeć przetwarzanie na art. 6 ust. 1 lit. f.
• Interesy/prawa osoby są nadrzędne — należy poszukać innej podstawy lub zrezygnować z przetwarzania.

Podpis / osoba odpowiedzialna: ……………

Najczęstsze błędy

Traktowanie lit. f jako podstawy domyślnej, gdy nie pasuje inna — EROD wprost to wyklucza.

Brak udokumentowanej LIA — bez niej nie wykażesz rozliczalności.

Ogólnikowy interes w stylu „prowadzenie biznesu” zamiast konkretnego celu.

Mylenie niezbędności z wygodą — pominięcie analizy mniej inwazyjnych rozwiązań.

Pominięcie prawa sprzeciwu lub utrudnianie rezygnacji.

Powołanie lit. f do danych szczególnych kategorii lub do cookies marketingowych.

Niewskazanie interesu w klauzuli informacyjnej, mimo wymogu z art. 13 ust. 1 lit. d.

Checklist — uzasadniony interes krok po kroku

1. Nazwij konkretny, zgodny z prawem i aktualny interes.
2. Wykaż niezbędność przetwarzania i brak mniej inwazyjnych alternatyw.
3. Przeprowadź test równowagi z uwzględnieniem charakteru danych, oczekiwań i wpływu na osobę.
4. Sprawdź, czy przetwarzanie nie dotyczy danych szczególnych kategorii ani dzieci.
5. Wdróż środki ograniczające ryzyko (pseudonimizacja, retencja, transparentność).
6. Zapewnij łatwy mechanizm sprzeciwu (art. 21).
7. Wskaż konkretny interes w klauzuli informacyjnej (art. 13/14).
8. Spisz i opatrz datą ocenę LIA oraz powiąż ją z RCP.
9. Zaplanuj okresowy przegląd oceny.

Pełny kontekst znajdziesz w kompletnym przewodniku po RODO.

Potrzebujesz pomocy z oceną uzasadnionego interesu?

Uzasadniony interes to elastyczna, ale wymagająca podstawa przetwarzania — liczy się nie deklaracja, lecz udokumentowana, trójstopniowa ocena. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont wspieramy administratorów w doborze podstaw prawnych, sporządzaniu ocen legalnego interesu (LIA) i testów równowagi oraz w przygotowaniu klauzul informacyjnych zgodnych z RODO.