GDPR – oprávnený záujem

Oprávnený záujem prevádzkovateľa tvorí v zmysle článku 6 bod 1. písm. f) Nariadenia GDPR právny základ spracúvania osobných údajov dotknutých osôb bez ich výslovného súhlasu. Pokiaľ možno nejaký záujem prevádzkovateľa považovať za oprávnený a za účelom jeho dosiahnutia je potrebné spracovať osobné údaje, tak to môže prevádzkovateľ urobiť.

Je však nutné prihliadať aj na to, či prevažujú záujmy alebo základné práva a slobody dotknutej osoby. Pokiaľ tieto prevážia nad záujmom prevádzkovateľa, alebo by došlo k ich obmedzeniu, tak je povinný prevádzkovateľ od spracovania osobných údajov upustiť.  Existencia oprávneného záujmu si v každom prípade vyžaduje dôkladné posúdenie. Toto je potrebné urobiť ešte pred prvým spracovaním a zodpovedať si na nasledujúce otázky:

1. či je stanovený záujem oprávnený,
2. či je spracovanie osobných údajov nevyhnutné pre daný záujem,
3. či oprávnený záujem neprevažuje záujmy alebo základné práva dotknutej osoby.

Nariadenie GDPR vo svojom odôvodnení prináša aj niekoľko príkladov. Oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách. Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa. Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely, vrátane spracúvania osobných údajov klientov alebo zamestnancov.

Spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti, t. j. schopnosti siete alebo informačného systému odolať na danom stupni dôvernosti poruchám alebo nezákonným, alebo úmyselným činom, ktoré narušujú dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenesených osobných údajov a bezpečnosti súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí, poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa. Mohlo by to napríklad zahŕňať zabránenie neoprávnenému prístupu k elektronickým komunikačným sieťam a šíreniu škodlivých programových kódov, ako aj zastavenie útokov sledujúcich cielené preťaženie serverov („denial of service“) a poškodzovanie počítačových a elektronických komunikačných systémov.

Pozrite si:

Ochrana osobných údajov – pripravovaná novela podľa GDPR
GDPR – zákonnosť spracúvania
GDPR – zodpovedná osoba