1.162
Plnění požadavků zákonnosti zpracování a jak přistupovat k souhlasům se zpracováním osobních údajů
Mgr. David Burian, Mgr. Zuzana Dubská, CIPP/E
1. Krok první: Legalita a legitimita zpracování osobních údajů
Pokud se správce osobních údajů rozhodne realizovat nějaký záměr a zjistí, že v rámci činností prováděných za účelem realizace tohoto záměru bude docházet také ke zpracovávání osobních údajů podle GDPR, musí v první řadě hledat odpověď na otázku, zda tyto činnosti vůbec může provádět.
K tomu, aby zpracování osobních údajů bylo legální a legitimní, tedy jinak řečeno právem dovolené a možné, je nezbytná existence právního základu neboli právního titulu, či důvodu pro provádění daného zpracování.
Aplikace vhodného a správného právního titulu se odvíjí v první řadě od účelu zpracování. Pouze, pokud správce osobních údajů řádně stanoví účel zpracování, který není v rozporu se zákonem, k jehož naplnění disponuje adekvátním právním titulem, můžeme konstatovat, že zpracování je zákonné ve smyslu čl. 5 písm. a) GDPR a tudíž také oprávněné.
Zákonnost zpracování je zároveň jednou z nejdůležitějších zásad ochrany osobních údajů, kterou musí správce respektovat a zároveň doložit její plnění.
2. Krok druhý: Právní důvody zpracování osobních údajů
Parametry každého zpracování osobních údajů je nutné vždy nastavit podle účelu zpracování a není tomu jinak ani u právního důvodu.
-
V případech, kdy je zpracování podmínkou plnění zákonných povinností, je tento účel obvykle vyjádřen přímo v daném zákoně, např. pro banky platí povinnost provádět identifikaci a verifikaci totožnosti svých klientů podle AML zákona (zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu).
-
Pokud však účel nevychází přímo ze zákona, správce si jej stanovuje sám. Může se jednat například o zefektivnění činností, zvýšení kvality nabízených služeb či o ochranu majetku. Účel zpracování nikdy nesmí být v rozporu se zákonem, tedy směrovat k jeho obcházení či porušení, jak by tomu bylo například u zpracování osobních údajů za účelem zastírání nelegálních aktivit.
Podle stanoveného účelu pak lze přistoupit k hledání vhodného právního důvodu. Výčet možných právních důvodů neboli podmínek zákonnosti zpracování je obsažen v čl. 6 GDPR, přičemž zpracování lze považovat za zákonné, pouze pokud je splněna nejméně jedna ze zde uvedených podmínek a pouze v odpovídajícím rozsahu.
Celkem je těchto právních důvodů šest a zpracování se podle právních důvodů dají rozdělit na:
-
zpracování, která lze provádět bez souhlasu subjektu údajů a
-
zpracování, ke kterým je souhlas nezbytný.
NahoruZpracování bez souhlasu subjektu údajů
Právní důvod si nevybírá správce podle svého subjektivního uvážení, ale jeho aplikace je závislá na objektivních kritériích, zejména na účelu zpracování.
Následuje popis tří stěžejních právních důvodů, o který se v praxi opírá, resp. by se měla opírat převážná část realizovaných zpracování.
a) První případ, kdy lze zpracování osobních údajů realizovat bez souhlasu subjektu údajů je, pokud je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje. V tomto případě je nutné právní základ vždy hledat v právních předpisech členského státu nebo EU a v jejích mezích také celé zpracování provádět. Na základě tohoto právního důvodu zpracovávají osobní údaje zejména orgány veřejné správy (státní správy i samosprávy). Dalším typickým příkladem může být zpracování osobních údajů zaměstnanců zaměstnavatelem pro účely personální a mzdové agendy. Tyto osobní údaje slouží pro zpracování výstupů v oblasti mzdové, daňové, důchodového, nemocenského a zdravotního pojištění a jejich zpracování předpokládá řada pracovněprávních předpisů.
b) Druhým případem, kdy není potřebné disponovat souhlasem subjektu údajů, je zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů. Jde o situace, kdy dochází k sjednávání nové smlouvy nebo k plnění smlouvy již uzavřené. V obou případech je nutné zpracovávat určité penzum osobních údajů, které identifikují smluvní strany. Požadavek na jiný právní titul, např. souhlas se zpracováním osobních údajů, jak se v praxi často objevuje, by byl zcela nedůvodný a nadbytečný.
c) Třetí možností je, že se bude jednat o zpracování osobních údajů nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. Tento právní důvod však nelze využít, pokud před těmito zájmy mají přednost zájmy či základní práva a svobody subjektu údajů vyžadující ochranu subjektu údajů, zejména pokud je subjektem údajů dítě.
Využití tohoto právního důvodu sebou nese povinnost provést poměřování zájmů správce subjektu údajů, podle tzv. testu proporcionality (také označován jako balanční test), kdy je nutné vyhodnotit vhodnost zpracování s přihlédnutím ke zvoleným prostředkům a způsobu s ohledem na dosažení stanoveného účelu.
Dále je potřeba vyhodnotit nutnost zpracování, tedy zda není možné účelu dosáhnout jiným, méně invazivním způsobem a nakonec, zda je zpracování přiměřené v tom smyslu, že dosažený prospěch je větší než zásah do práv subjektu údajů.
Využití tohoto právního důvodu je tak v praxi komplikovanější a pro správce přináší určitou míru právní nejistoty, neboť dozorový úřad či soudy mohou test proporcionality vyhodnotit jinak. Navíc v případě zpracování založeném na oprávněném zájmu může subjekt údajů proti takovému zpracování vznést kdykoliv námitku. V praxi využívají tohoto právního titulu především správci při zpracování osobních údajů prostřednictvím kamerových systémů.
Kromě výše uvedených právních důvodů je možné zpracování provádět také, pokud je nezbytné pro…