26. 4. 2018
ID: 107490upozornění pro uživatele

Využití oprávněného zájmu na zpracování osobních údajů podle GDPR

Před zahájením zpracování osobních údajů na základě oprávněného zájmu bude muset správce vždy vyhodnotit, zda nad jeho oprávněným zájmem nepřevažují zájmy, základní práva nebo svobody subjektů, jejichž údaje jsou zpracovávány. Jestliže správce dospěje k závěru, že tyto zájmy převažují, bude muset dále zvážit, zda mu pro dané zpracování osobních údajů nesvědčí jiný právní titul, požádat dotčené subjekty o udělení souhlasu, nebo od zamýšleného zpracování osobních údajů zcela upustit. V jiném případě se bude mimo jiné vystavovat riziku přísných sankcí ze strany dozorového úřadu (v České republice tedy Úřadu pro ochranu osobních údajů).

 
Glatzová & Co., s.r.o. 
 
Jak využít oprávněného zájmu na zpracování osobních údajů

GDPR[1] uvádí jako příklady využití oprávněného zájmu zpracování pro účely:

  • 1) zamezení podvodům (například v rámci posuzování rizikovosti poskytnutí úvěru);
  • 2) přímého marketingu (mimo jiné nabízení relevantních služeb a výrobků stávajícím zákazníkům správce);
  • 3) předávání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely (včetně zpracování osobních údajů zákazníků či zaměstnanců);
  • 4) oznámení trestných činů nebo hrozeb pro veřejnou bezpečnost a předání dotčených osobních údajů příslušnému orgánu; a
  • 5) zajištění bezpečnosti sítě a informací (tj. schopnosti sítě nebo informačního systému odolávat náhodným událostem a protiprávnímu či zlovolnému jednání) k zabránění neoprávněného přístupu k nim, šíření škodlivých kódů a zamezení útokům a škodám na počítačových systémech a systémech elektronických komunikací.
Výše uvedený výčet je pouze příkladný, a tak připadá v úvahu i celá řada dalších případů, jež bude možné zahrnout pod pojem oprávněného zájmu a které svou povahou budou velmi často spočívat v ochraně správce (nebo třetích osob). Půjde například o ochranu života a zdraví nebo ochranu majetku při zpracování osobních údajů prostřednictvím kamerového systému monitorujícího vchod do bytového domu.

Mnohdy se však případy využití oprávněného zájmu budou pohybovat na hraně přiměřenosti zásahu do soukromí subjektů údajů, a proto bude nutné sledovat rozhodovací praxi Evropského sboru pro ochranu osobních údajů a dozorových úřadů, stejně jako soudní judikaturu, které vymezí hranici využitelnosti oprávněného zájmu. Obecně lze správcům osobních údajů také doporučit, aby v každém jednotlivém případě využití oprávněného zájmu usilovali o vyvážení tohoto zájmu s možnými důsledky zpracování pro dotčené subjekty údajů a přijali dostatečné záruky (technická a organizační opatření) k tomu, aby nedocházelo k nepřiměřenému zásahu do soukromí.

Kdy převáží základní práva a svobody subjektů osobních údajů?

Správce by měl ke zpracování osobních údajů na základě oprávněného zájmu přistupovat spíše restriktivně, a to zásadně na základě balančního testu, jehož provedení musí předcházet zahájení zpracování osobních údajů. Balanční test je podmínkou pro objektivní posouzení existence a významu oprávněného zájmu, který správce není schopen zhodnotit pouze na základě vlastní představy o tom, zda jeho zájem převažuje na základními právy a svobodami subjektů údajů.

V rámci balančního testu se posuzují mimo jiné:

  • 1)     důležitost oprávněného zájmu správce na zpracovávání osobních údajů;
  • 2)     důsledky zpracovávání osobních údajů pro dotčené subjekty údajů; a
  • 3)     přijetí dostatečných záruk ze strany správce pro ochranu práv a svobod subjektů údajů.
V případě pozitivního výsledku balančního testu je správce oprávněn zpracovávat osobní údaje na základě oprávněného zájmu. Správce však musí být schopen tento výsledek později doložit dozorovému úřadu, a tím i prokázat zákonnost daného zpracování, jak vyžaduje takzvaný princip odpovědnosti. Jestliže budou splněny podmínky oprávněného zájmu na zpracování, neměl by správce za stejným účelem vyžadovat od subjektu údajů souhlas. Takové jednání by totiž mohlo u dané osoby vzbudit mylnou domněnku, že ke zpracování osobních údajů dochází na základě svobodného projevu vůle, který lze kdykoliv odvolat.

Při zhodnocení, jestli nad oprávněným zájmem správce budou v konkrétním případě převažovat zájmy nebo základní práva a svobody subjektů údajů, je nutné zohlednit i aspekt přeměřeného očekávání dotčeného subjektu, který se posuzuje s ohledem na vztah mezi daným subjektem a správcem. Jako příklad relevantního a odpovídajícího vztahu, který zakládá oprávněný zájem na zpracování osobních údajů, je v preambuli GDPR uvedena situace, kdy je subjekt údajů zákazníkem správce, anebo naopak tento subjekt poskytuje správci vlastní služby. Správce údajů tak bude moci například oslovit své zákazníky s nabídkou obdobného zboží nebo služeb, které jim poskytoval v minulosti. V budoucnu by měli správci osobních údajů zohledňovat také kodexy chování, jež GDPR umožnuje vydat sdružením nebo jiným subjektům zastupujícím různé kategorie správců nebo zpracovatelů za účelem zpřesnění uplatňování pravidel tohoto předpisu, a to mimo jiné i ve věcech týkajících se oprávněných zájmů.

Námitka proti zpracování

Proti jakémukoliv druhu zpracování osobních údajů na základě oprávněného zájmu může subjekt osobních údajů vznést námitku, na což musí být výslovně upozorněn, a to zřetelně a odděleně od jakýchkoli jiných informací, nejpozději v okamžiku první komunikace se správcem. Jestliže subjekt údajů vznese námitku, pak správce osobní údaje dále nezpracovává, pokud pro zpracování neprokáže závažné důvody nebo zpracování nebude nezbytné k určení, výkonu nebo obhajobě právních nároků. Jestliže se nenajdou žádné závažné důvody pro zpracování, bude správce muset osobní údaje vymazat, a to bez zbytečného odkladu. Pokud půjde o zpracování pro účely přímého marketingu, prokázání závažnosti zájmu nepřichází v úvahu, a tak správce již nebude pro tento účel osobní údaje daného subjektu vůbec zpracovávat.

Závěr

Přestože se oprávněný zájem na zpracování osobních údajů jeví jako univerzálně využitelný právní titul pro zpracování, nemělo by se zapomínat na to, že v každém konkrétním případě budou muset být naplněny výše uvedené podmínky jeho využití, jejichž splnění je správce povinen doložit dozorovému úřadu. V případech, kdy bude dán oprávněný zájem, musí dále správce splnit svou informační povinnost o právním základu zpracování osobních údajů, zejména pak o tom, v čem spočívá oprávněný zájem správce nebo třetí strany. V průběhu samotného zpracování by pak měl být správce připraven reagovat na případné námitky ze strany subjektů údajů.


Mgr. Roman Kuchař


Glatzová & Co., s.r.o.

Betlémský palác
Husova 5
110 00  Praha 1

Tel.:    +420 224 401 440
Fax:    +420 224 248 701
e-mail:    office@glatzova.com


__________________________
[1] Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz