26. 4. 2018
ID: 107490upozornění pro uživatele
Využití oprávněného zájmu na zpracování osobních údajů podle GDPR
Před zahájením zpracování osobních údajů na základě oprávněného zájmu bude muset správce vždy vyhodnotit, zda nad jeho oprávněným zájmem nepřevažují zájmy, základní práva nebo svobody subjektů, jejichž údaje jsou zpracovávány. Jestliže správce dospěje k závěru, že tyto zájmy převažují, bude muset dále zvážit, zda mu pro dané zpracování osobních údajů nesvědčí jiný právní titul, požádat dotčené subjekty o udělení souhlasu, nebo od zamýšleného zpracování osobních údajů zcela upustit. V jiném případě se bude mimo jiné vystavovat riziku přísných sankcí ze strany dozorového úřadu (v České republice tedy Úřadu pro ochranu osobních údajů).
 |
GDPR[1] uvádí jako příklady využití oprávněného zájmu zpracování pro účely:
- 1) zamezení podvodům (například v rámci posuzování rizikovosti poskytnutí úvěru);
- 2) přímého marketingu (mimo jiné nabízení relevantních služeb a výrobků stávajícím zákazníkům správce);
- 3) předávání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely (včetně zpracování osobních údajů zákazníků či zaměstnanců);
- 4) oznámení trestných činů nebo hrozeb pro veřejnou bezpečnost a předání dotčených osobních údajů příslušnému orgánu; a
- 5) zajištění bezpečnosti sítě a informací (tj. schopnosti sítě nebo informačního systému odolávat náhodným událostem a protiprávnímu či zlovolnému jednání) k zabránění neoprávněného přístupu k nim, šíření škodlivých kódů a zamezení útokům a škodám na počítačových systémech a systémech elektronických komunikací.
Mnohdy se však případy využití oprávněného zájmu budou pohybovat na hraně přiměřenosti zásahu do soukromí subjektů údajů, a proto bude nutné sledovat rozhodovací praxi Evropského sboru pro ochranu osobních údajů a dozorových úřadů, stejně jako soudní judikaturu, které vymezí hranici využitelnosti oprávněného zájmu. Obecně lze správcům osobních údajů také doporučit, aby v každém jednotlivém případě využití oprávněného zájmu usilovali o vyvážení tohoto zájmu s možnými důsledky zpracování pro dotčené subjekty údajů a přijali dostatečné záruky (technická a organizační opatření) k tomu, aby nedocházelo k nepřiměřenému zásahu do soukromí.
Kdy převáží základní práva a svobody subjektů osobních údajů?
Správce by měl ke zpracování osobních údajů na základě oprávněného zájmu přistupovat spíše restriktivně, a to zásadně na základě balančního testu, jehož provedení musí předcházet zahájení zpracování osobních údajů. Balanční test je podmínkou pro objektivní posouzení existence a významu oprávněného zájmu, který správce není schopen zhodnotit pouze na základě vlastní představy o tom, zda jeho zájem převažuje na základními právy a svobodami subjektů údajů.
V rámci balančního testu se posuzují mimo jiné:
- 1) důležitost oprávněného zájmu správce na zpracovávání osobních údajů;
- 2) důsledky zpracovávání osobních údajů pro dotčené subjekty údajů; a
- 3) přijetí dostatečných záruk ze strany správce pro ochranu práv a svobod subjektů údajů.
Při zhodnocení, jestli nad oprávněným zájmem správce budou v konkrétním případě převažovat zájmy nebo základní práva a svobody subjektů údajů, je nutné zohlednit i aspekt přeměřeného očekávání dotčeného subjektu, který se posuzuje s ohledem na vztah mezi daným subjektem a správcem. Jako příklad relevantního a odpovídajícího vztahu, který zakládá oprávněný zájem na zpracování osobních údajů, je v preambuli GDPR uvedena situace, kdy je subjekt údajů zákazníkem správce, anebo naopak tento subjekt poskytuje správci vlastní služby. Správce údajů tak bude moci například oslovit své zákazníky s nabídkou obdobného zboží nebo služeb, které jim poskytoval v minulosti. V budoucnu by měli správci osobních údajů zohledňovat také kodexy chování, jež GDPR umožnuje vydat sdružením nebo jiným subjektům zastupujícím různé kategorie správců nebo zpracovatelů za účelem zpřesnění uplatňování pravidel tohoto předpisu, a to mimo jiné i ve věcech týkajících se oprávněných zájmů.
Námitka proti zpracování
Proti jakémukoliv druhu zpracování osobních údajů na základě oprávněného zájmu může subjekt osobních údajů vznést námitku, na což musí být výslovně upozorněn, a to zřetelně a odděleně od jakýchkoli jiných informací, nejpozději v okamžiku první komunikace se správcem. Jestliže subjekt údajů vznese námitku, pak správce osobní údaje dále nezpracovává, pokud pro zpracování neprokáže závažné důvody nebo zpracování nebude nezbytné k určení, výkonu nebo obhajobě právních nároků. Jestliže se nenajdou žádné závažné důvody pro zpracování, bude správce muset osobní údaje vymazat, a to bez zbytečného odkladu. Pokud půjde o zpracování pro účely přímého marketingu, prokázání závažnosti zájmu nepřichází v úvahu, a tak správce již nebude pro tento účel osobní údaje daného subjektu vůbec zpracovávat.
Závěr
Přestože se oprávněný zájem na zpracování osobních údajů jeví jako univerzálně využitelný právní titul pro zpracování, nemělo by se zapomínat na to, že v každém konkrétním případě budou muset být naplněny výše uvedené podmínky jeho využití, jejichž splnění je správce povinen doložit dozorovému úřadu. V případech, kdy bude dán oprávněný zájem, musí dále správce splnit svou informační povinnost o právním základu zpracování osobních údajů, zejména pak o tom, v čem spočívá oprávněný zájem správce nebo třetí strany. V průběhu samotného zpracování by pak měl být správce připraven reagovat na případné námitky ze strany subjektů údajů.
Mgr. Roman Kuchař
Glatzová & Co., s.r.o.
Betlémský palác
Husova 5
110 00 Praha 1
Tel.: +420 224 401 440
Fax: +420 224 248 701
e-mail: office@glatzova.com
__________________________
[1] Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
