1.4
Plnění požadavků zákonnosti zpracování a jak přistupovat k souhlasům se zpracováním osobních údajů
Mgr. David Burian, Mgr. Zuzana Radičová
Po shrnutí nejzásadnějších změn, které GDPR přináší a objasnění častých omylů spojovaných s touto rozsáhlou regulací, považujeme za vhodné dále věnovat pozornost stěžejní oblasti celé právní úpravy ochrany osobních údajů, a to principu zákonnosti zpracování osobních údajů a souvisejícímu souhlasu subjektů údajů se zpracováním.
NahoruKrok první: Legalita a legitimita zpracování osobních údajů
Pokud se správce osobních údajů rozhodne realizovat nějaký záměr a zjistí, že v rámci činností prováděných za účelem realizace tohoto záměru bude docházet také ke zpracovávání osobních údajů podle GDPR, musí v první řadě hledat odpověď na otázku, zda tyto činnosti vůbec může provádět.
K tomu, aby zpracování osobních údajů bylo legální a legitimní, tedy jinak řečeno právem dovolené a možné, je nezbytná existence právního základu neboli právního titulu, či důvodu pro provádění daného zpracování.
Aplikace vhodného a správného právního titulu se odvíjí v první řadě od účelu zpracování. Pouze, pokud správce osobních údajů řádně stanoví účel zpracování, který není v rozporu se zákonem, k jehož naplnění disponuje adekvátním právním titulem, můžeme konstatovat, že zpracování je zákonné ve smyslu čl. 5 písm. a) GDPR a tudíž také možné.
Zákonnost zpracování je zároveň jednou z nejdůležitějších zásad ochrany osobních údajů, kterou musí správce respektovat a zároveň doložit její plnění.
NahoruKrok druhý: Právní důvody zpracování osobních údajů
Parametry každého zpracování osobních údajů je nutné vždy nastavit podle účelu zpracování a není tomu jinak ani u právního titulu.
-
V případech, kdy je zpracování podmínkou plnění zákonných povinností, je tento účel obvykle vyjádřen přímo v daném zákoně, např. pro banky platí povinnost provádět identifikaci a verifikaci totožnosti svých klientů podle AML zákona.
-
Pokud však účel nevychází přímo ze zákona, správce si jej stanovuje sám. Může se jednat například o zefektivnění činností, zvýšení kvality nabízených služeb či o ochranu majetku. Účel zpracování nikdy nesmí být v rozporu se zákonem, tedy směrovat k jeho obcházení či porušení, jak by tomu bylo například u zpracování osobních údajů za účelem zastíraní nelegálních aktivit.
Podle stanoveného účelu pak lze přistoupit k hledání vhodného právního titulu. Výčet možných právních titulů neboli podmínek zákonnosti zpracování je obsažen v čl. 6 GDPR, přičemž zpracování lze považovat za zákonné, pouze pokud je splněna nejméně jedna ze zde uvedených podmínek a pouze v odpovídajícím rozsahu.
Celkem je těchto právních titulů šest a zpracování se podle právních titulů dají rozdělit na:
-
zpracování, které lze provádět bez souhlasu subjektu údajů a
-
zpracování, ke kterým je souhlas nezbytný.
NahoruZpracování bez souhlasu subjektu údajů
Právní titul si nevybírá správce podle svého subjektivního uvážení, ale jeho aplikace je závislá na objektivních kritériích, zejména účelu zpracování.
Následuje popis tří právních titulů, o který se v praxi opírá, resp. by se měla opírat převážná část realizovaných zpracování.
- První případ, kdy lze zpracování osobních údajů realizovat bez souhlasu subjektu údajů je, pokud je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje. V tomto případě je nutné právní základ vždy hledat v právních předpisech členského státu nebo EU a v jejích mezích také celé zpracování provádět. Na základě tohoto právního titulu zpracovávají osobní údaje zejména orgány veřejné správy (státní správy i samosprávy). Dalším typickým příkladem může být zpracování osobních údajů zaměstnanců zaměstnavatelem pro účely personální a mzdové agendy např. vedení osobního spisu zaměstnance. Tyto osobní údaje slouží pro zpracování výstupů v oblasti mzdové, daňové, důchodového, nemocenského a zdravotního pojištění a jejich zpracování předpokládá řada pracovněprávních předpisů.
- Druhým případem, kdy není potřebné disponovat souhlasem subjektu údajů je zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů. Jde o situace, kdy dochází k sjednávání nové smlouvy nebo k plnění smlouvy již uzavřené. V obou případech je nutné zpracovávat určité penzum osobních údajů, které identifikují smluvní strany. Požadavek na jiný právní titul, např. souhlas se zpracováním osobních údajů, jak se v praxi často objevuje, by byl zcela nedůvodný a nadbytečný.
- Třetí možností je, že se bude jednat o zpracování osobních údajů nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. Tento právní titul však nelze využít, pokud před těmito zájmy mají přednost zájmy či základní práva a svobody subjektu údajů vyžadující ochranu subjektu údajů, zejména pokud je subjektem údajů dítě.
Využití tohoto právního titulu sebou nese povinnost provést poměřování zájmů správce subjektu údajů, podle tzv. testu proporcionality, kdy je nutné vyhodnotit vhodnost zpracování s přihlédnutím ke zvoleným prostředkům a způsobu s ohledem na dosažení stanoveného účelu.
Dále je potřeba vyhodnotit nutnost zpracování, tedy zda není možné účelu dosáhnout jiným, méně invazivním způsobem a nakonec, zda je zpracování přiměřené v tom smyslu, že dosažený prospěch je větší než zásah do práv subjektu údajů.
Využití tohoto právního titulu je tak v praxi komplikovanější a pro správce přináší určitou míru právní nejistoty, neboť dozorový úřad či soudy mohou test proporcionality vyhodnotit jinak. V praxi využívají tohoto právního titulu především správci při zpracování osobních údajů prostřednictvím kamerových systémů.
Kromě výše uvedených právních důvodů je možné zpracování provádět také, pokud…