This post is also available in: EN (EN)

V praxi sa často stretávame s tým, že prevádzkovatelia – ak nenájdu iný vhodný právny základ spracovávania – argumentujú pri spracovávaní osobných údajov svojim „oprávneným záujmom“. Informácia, ktorú následne poskytnú dotknutým osobám sa obmedzí na nasledovné: „Vaše osobné údaje spracovávame na základe nášho oprávneného záujmu podľa čl. 6 ods. 1 písm. f) GDPR.“ Je to však správne a dostatočné? Je skutočne spracovávanie osobných údajov na základe oprávneného záujmu také jednoduché?  V nasledovnom článku zhrnieme, na čo všetko je potrebné myslieť a čo je potrebné urobiť predtým, ako sa skutočne pustíte do spracovávania osobných údajov na základe „oprávneného záujmu“.

V prvom rade je potrebné si dobre prečítať, ako vlastne článok 6 ods. 1 písm. f) v GDPR znie.

„Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

 Pred začatím spracovávania je teda potrebné vykonať hodnotenie oprávneného záujmu (tzv. balance test).

GDPR nedáva presný návod na to, ako by malo hodnotenie oprávneného záujmu vyzerať.

V každom prípade, s ohľadom na princíp zodpovednosti a povinnosť prevádzkovateľa preukázať súlad vlastných postupov s GDPR, je však možné konštatovať, že toto hodnotenie by malo byť zdokumentované – teda písomné.

 Viaceré európske úrady na ochranu osobných údajov vydali usmernenia k vykonávaniu hodnotenia oprávneného záujmu, pričom v zásade takmer každé takéto usmernenie vychádza z testu rozdeleného na tri časti:

  • Test účelu a jeho oprávnenosti

V rámci tejto časti testu si musíte položiť otázky:

Je spracovávanie v našom záujme (máme teda zo spracovávania my alebo tretia strana benefit) ? Nestačí spoliehať sa na neurčité alebo všeobecné obchodné záujmy. Musíte konkrétne premyslieť, čo sa spracúvaním snažíte dosiahnuť.

Spracúvate osobné údaje na základe záujmu, ktorý je skutočne oprávnený? Je účel spracovávania legálny? Je účel spracovávania etický?

Čokoľvek nelegitímne, neetické alebo nezákonné nie je oprávneným záujmom. Napríklad hoci marketing môže byť vo všeobecnosti legitímnym účelom, zasielanie spamových e-mailov v rozpore s pravidlami priameho marketingu podľa zákona o elektronických komunikáciách nemusí byť legitímne.

Ak záujem nie je oprávnený, nespĺňate prvú časť testu a nemôžete použiť oprávnené záujmy ako svoj zákonný základ. Nie je potrebné brať do úvahy zvyšok testu, pretože ostatné časti nie sú schopné legitimizovať spracovanie, ktoré je od začiatku nelegitímne.

  • Test nevyhnutnosti

Je Vaše spracovanie skutočne nevyhnutné?

Neexistuje alternatíva?

Môžete dosiahnuť ten istý účel spracovaním menšieho množstva údajov alebo spracovaním údajov iným alebo menej obťažujúcim spôsobom?

Všeobecne, spracovanie sa bude považované za nevyhnutné, ak neexistuje iný spôsob na dosiahnutie cieľa spracovávania alebo ak by alternatívny spôsob dosiahnutia cieľa bol príliš zložitý. Ak však existuje niekoľko ďalších alternatív k dosiahnutiu cieľa, je nevyhnutné, aby ste si zvolili najmenej obťažujúcu alternatívu.

  • Test vyváženosti

Vaše oprávnené záujmy musia byť vždy dané „na váhu“ s právami a slobodami dotknutých osôb. Je potrebné si uvedomiť, že dotknuté osoby majú právo na to, aby sa ich osobné údaje nespracovávali spôsobom, ktorý by ich obťažoval.

V rámci tejto časti si musíte položiť otázky:

Neprevažujú práva dotknutej osoby nad našimi oprávnenými záujmami?

Je spracovávanie osobných údajov vysokým rizikom pre práva a slobody dotknutých slobôd?

Aký dopad bude mať spracovávanie na dotknuté osoby? Vieme dopady či riziká minimalizovať či zmierniť?

Napríklad, spracovávanie osobitnej kategórie osobných údajov by ste mali veľmi starostlivo zvážiť, najmä aby tieto údaje neboli spracúvané zbytočne (resp. nie nevyhnutne) a aby existovala výnimka umožňujúca ich spracovávanie.

Rovnako v prípade, ak spracovávate osobné údaje o tzv. „zraniteľných osobách“ (napr. deti, zamestnanci, pacienti a pod.), je potrebné ich práva dôsledne vyvážiť.

Podobne by ste mali zvážiť aj spôsob, akým mienite osobné údaje spracovávať  (napr. ak používate novú technológiu).

Po absolvovaní všetkých častí testu sa musíte rozhodnúť, prijať záver, či Vaše oprávnené záujmy sú alebo nie sú vhodným právnym základom a teda najmä či Vaše oprávnené záujmy nie sú prevážené rizikami, ktoré ste identifikovali v tretej časti testu. Rovnako ako celý test, aj svoje rozhodnutie musíte dokumentovať a túto dokumentáciu uchovávať pre prípad kontroly. Dokumentácia by mala podliehať pravidelnému preskúmavaniu a v prípade potreby aktualizácii.

Ak ste vo Vašom teste oprávneného záujmu identifikovali významné riziká, musíte zvážiť, či je potrebné urobiť DPIA (posúdenie vplyvu) na podrobnejšie posúdenie rizika a prijatie potenciálnych opatrení na jeho zmiernenie.

V prípade, že ste rozhodli o tom, že spracovávanie osobných údajov na základe orpávneného záujmu je vhodné, primerané a možné, nesmiete zabudnúť informáciu o svojich oprávnených záujmoch zahrnúť do svojich informácií či politík o ochrane osobných údajov. Ako to správne urobiť sa dozviete v našom článku Ako správne informovať dotknuté osoby, keď spracovávate osobné údaje na základe „oprávnených záujmov“.

Tento článok má iba všeobecný a informatívny charakter a závery, názory či odporúčania tu uvedené sa nemusia vzťahovať na konkrétnu situáciu. Článok nie je právnym poradenstvom ani ho nenahrádza. Pri riešení konkrétneho problému alebo konkrétnej situácie odporúčame vždy poradiť sa s advokátom.