GDPR – Zákonnosť spracúvania

16. apr 2018

Jedna zo zmien, ktorá sa zrejme dotkne zákona 122/2013 Z. z. o ochrane osobných údajov, je stanovenie zákonnosti spracúvania osobných údajov.

Podľa nariadenia 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov, je spracúvanie osobných údajov zákonné iba vtedy, a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

 

  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden, alebo viaceré konkrétne účely;
  • spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
  • spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
  • spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
  • spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Ťažiskové právne základy pre spracúvanie osobných údajov zostali zachované (súhlas, zákon, zmluva). Pribudol právny základ, keď sa spracúvanie osobných údajov deje na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ.

Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta, alebo v jeho službách. Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov. Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely, vrátane spracúvania osobných údajov klientov alebo zamestnancov.

Spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti, t. j. schopnosti siete alebo informačného systému odolať na danom stupni dôvernosti poruchám alebo nezákonným, alebo úmyselným činom predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov.

Oznámenie možných trestných činov alebo ohrozenia verejnej bezpečnosti prevádzkovateľom a poskytnutie relevantných osobných údajov v jednotlivých prípadoch, alebo viacerých prípadoch týkajúcich sa toho istého trestného činu, alebo ohrozenia verejnej bezpečnosti príslušnému orgánu by sa malo považovať za oprávnený záujem, ktorý sleduje prevádzkovateľ.

Existencia oprávneného záujmu si v každom prípade vyžaduje dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť. Malo by byť na prevádzkovateľovi, aby preukázal, že jeho oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.

Pozrite si tiež:

Ochrana osobných údajov – pripravovaná novela podľa GDPR

GDPR – Zodpovedná osoba

GDPR – Povinnosti zodpovednej osoby

GDPR – Oprávnený záujem

GDPR – Bezpečnosť osobných údajov Nový zákon na ochranu osobných údajov