GDPR - revolúcia v oblasti ochrany
osobných údajov?

Časť 2 - Právne základy na spracovanie osobných údajov

Mohlo by Ťa zaujímať tiež

Prečítanie tohto článku Vám zaberie 6 minút a 12 sekúnd.

ÚVOD DO ČLÁNKU:

Ochrana osobných údajov nie je ničím novým a GDPR nie je prvou právnou normou, ktorá by túto ochranu upravovala. Zákon č. 122/2013 Z. z. túto oblasť upravoval aj doteraz, pričom rovnako ako GDPR, aj tento zákon ukladal najmä podnikateľom viacero povinností pod hrozbou vysokých sankcií.

Čo teda GDPR reálne mení? Nuž, je toho mnoho, kompletné porovnanie zmien účinných od 25. mája oproti dovtedajšej právnej úprave spracoval Úrad pre ochranu osobných údajov v dvanásťstranovom dokumente, ktorý si môžete stiahnuť TU.

Hádam najväčšou zmenou, ktorú prináša GDPR je úprava právnych základov na spracúvanie osobných údajov. Viac o tejto téme sa dočítate v článku.

Pravdepodobne najväčšou zmenou, ktorú prináša GDPR je úprava právnych základov na spracúvanie osobných údajov. Jednoducho povedané, pokiaľ chcete ako podnikateľ spracúvať v rámci svojej podnikateľskej činnosti osobné údaje určitej fyzickej osoby (zamestnanca, zákazníka a pod.), potrebujete mať na to právny základ, t.j. určitý právny dôvod, ktorý Vás na to oprávňuje.

Týchto dôvodov je podľa GDPR šesť, a to:

1. súhlas dotknutej osoby (t.j. osoby, ktorej údaje spracúvate),
2. zmluva uzavretá s dotknutou osobou,
3. plnenie zákonnej povinnosti prevádzkovateľa (t.j. spracúvateľa údajov),
4. životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
5. úloha vo verejnom záujme alebo výkon verejnej moci,
6. oprávnené záujmy prevádzkovateľa alebo tretej strany.

Ak chce podnikateľ (alebo iný prevádzkovateľ) spracúvať osobné údaje určitej fyzickej osoby, musí si vybrať niektorý z vyššie uvedených právnych základov na spracúvanie. Právny základ si pritom, samozrejme, nemožno vybrať svojvoľne, ale tento základ musí v príslušnej situácii reálne existovať.

ČO SI POD JEDNOTLIVÝMI PRÁVNYMI ZÁKLADMI PREDSTAVIŤ?

ad 1) Súhlas dotknutej osoby

Súhlas sa na prvý pohľad javí ako najlepší právny základ na spracúvanie osobných údajov. Pokiaľ chce prevádzkovateľ spracovať určitý osobný údaj na určitý účel, môže si od dotknutej osoby v tejto súvislosti vyžiadať súhlas. Ak ho dotknutá osoba poskytne, môže prevádzkovateľ osobný údaj na daný účel spracúvať. Pre prevádzkovateľa sa tak môže javiť ako najjednoduchšie pýtať si súhlas na každý druh spracúvania údajov a to v čo možno najväčšom množstve, takpovediac pre istotu, aby mu nikto nemohol vyčítať, že spracúva údaje nezákonne. Realita však nie je taká jednoduchá.

Totiž, súhlas sa v zmysle GDPR má v zásade žiadať len tam, kde nie je iný právny základ na spracúvanie údajov. Nemalo by sa teda postupovať tak, že podnikateľ si "pre istotu" vyžiada súhlas na každom kroku od každej dotknutej osoby pri každej spracovateľskej operácii. Súhlas sa má žiadať len tam, kde nie je iná možnosť. Ak napr. podnikateľ spracúva údaje v súvislosti s vybavením objednávky zákazníka, súhlas nepotrebuje, nakoľko údaje spracúva na účely splnenia zmluvy, ktorú so zákazníkom uzavrel, resp. uzatvára.

Podobne ak zamestnávateľ spracúva údaje zamestnanca napr. na účely vyplatenia mzdy, nie je potrebné aby mu zamestnanec poskytol súhlas na spracovanie. Zamestnávateľ spracúva údaje zamestnanca v súvislosti s plnením pracovnej zmluvy a zároveň v súvislosti s plnením povinnosti zo Zákonníka práce (poskytovať zamestnancom mzdu), preto nepotrebuje na takéto spracovanie údajov zamestnanca súhlas. Úrad pre ochranu osobných údajov dokonca žiadanie súhlasu na spracovanie údajov zamestnanca v rámci pracovnej zmluvy považoval v minulosti za porušenie zákona, nakoľko mal za to, že zamestnávateľ si súhlas týmto spôsobom od zamestnanca vynucoval.

Zároveň je súhlas zrejme najmenej spoľahlivým právnym základom pokiaľ ide o jeho stálosť. Pri súhlase totiž platí, že dotknutá osoba, ktorá ho dala, ho môže kedykoľvek odvolať. Preto pokiaľ podnikateľ spracúva údaje na základe súhlasu, nemá nikdy istotu, počas akého obdobia takéto spracovanie môže robiť, keďže sa môže kedykoľvek stať, že dotknutá osoba mu súhlas odvolá. Aj preto je potrebné pri spracúvaní údajov primárne hľadať iný právny základ na spracovanie a k súhlasu sa uchýliť až vtedy, kedy nie je iná možnosť.

Pri súhlase platí, že musí byť vždy poskytnutý slobodne, dotknutá osoba musí vedieť, že poskytuje súhlas. Preto nestačí, ak je súhlas napr. skrytý vo všeobecných obchodných podmienkach podnikateľa. Je potrebné vyžiadať si ho osobitne. Zároveň musí byť súhlas aktívny, t.j. nestačí napr. upozornenie, že objednaním tovaru zákazník poskytuje súhlas a podobné praktiky. Súhlas musí byť vyjadrený aktivitou zákazníka smerujúcou k tomuto súhlasu - t.j. musí ho osobitne podpísať, prípadne urobiť iný aktívny úkon (zaškrtnúť osobitné políčko na webovej stránke a pod.).

Ad 2) Spracúvanie údajov na základe zmluvy uzatvorenej s dotknutou osobou

Tento právny základ má v praxi veľmi široké uplatnenie najmä v prípade podnikateľov. GDPR umožňuje spracúvať osobné údaje na účely plnenia uzatvorenej, alebo práve uzatváranej zmluvy. Podnikateľ, ktorý má s určitou fyzickou osobou uzavretú určitú zmluvu, môže spracúvať údaje tejto osoby v súvislosti s plnením a iným uplatňovaním tejto zmluvy. Typickým príkladom je napr. prípad, kedy si u podnikateľa niekto objedná tovar. Podnikateľ je oprávnený na účely vybavenia objednávky spracovať údaje od zákazníka, a to v rozsahu nevyhnutne potrebnom na tento účel. Rovnako napr. v prípade zamestnancov je zamestnávateľ oprávnený spracúvať údaje zamestnanca na účely plnenia pracovnej zmluvy. V tejto súvislosti nie je potrebné žiadať o poskytnutie akéhokoľvek súhlasu dotknutej osoby.

Ad 3) Plnenie zákonnej povinnosti prevádzkovateľa

Plnenie zákonnej povinnosti je ďalším veľmi častým prípadom právneho základu spracúvania osobných údajov. Ak má napr. podnikateľ povinnosť viesť účtovníctvo, v rámci ktorého musí spracúvať aj osobné údaje svojich zákazníkov (napr. v súvislosti s vystavovaním faktúr), nepotrebuje na takéto spracúvanie súhlas dotknutých osôb. Ak raz zákon ukladá povinnosť, pri ktorej dochádza k spracúvaniu osobných údajov, prevádzkovateľ nemusí mať žiadny iný právny základ na spracúvanie (napr. súhlas). Preto ak Vám zákon ukladá, aby ste určité osobné údaje napr. uschovávali, používali v účtovníctve, poskytovali úradom a podobne, na takéto spracúvanie osobných údajov nepotrebujete žiadny iný právny základ (napr. súhlas), nakoľko spracúvanie osobných údajov pri plnení zákonných povinností je samostatným právnym základom na spracúvanie aj podľa GDPR.

Ad 4) Životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby

Právny základ, ktorým sú životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby bude zrejme jedným z najmenej využívaným právnym základom na spracúvanie osobných údajov. Je totiž len pomerne ťažké predstaviť si situácie, kedy prevádzkovateľ spracúva osobné údaje z tohto dôvodu bez toho, aby zároveň plnil zákonom stanovenú povinnosť alebo zmluvu. Ako príklad si hádam možno predstaviť činnosť určitých neziskových organizácií, ktoré pomáhajú ľuďom v bezprostrednej núdzi (bez toho, aby na to boli zo zákona povinné) a pri svojej činnosť v nevyhnutnej miere musia spracúvať osobné údaje týchto ľudí. Pôjde však skutočne o výnimočné situácie, a preto nie je potrebné tomuto právnemu základu venovať väčší priestor.

Ad 5) Plnenie úloh vo verejnom záujme alebo výkon verejnej moci

Plnenie úloh vo verejnom záujme alebo výkon verejnej moci je právny základ, ktorý sa týka prevádzkovateľov, ktorým bola zverená určitá verejnoprávna funkcia a s tým spojené verejnoprávne právomoci. Prevádzkovateľmi podľa GDPR sú totiž aj rôzne úrady a verejnoprávne inštitúcie, ktoré môžu plniť úlohy vo verejnom záujme či vykonávať verejnú moc (či už priamo alebo prenesene). Tento právny základ tak nebudú na spracúvanie osobných údajov využívať podnikatelia, ale rôzne štátne úrady či samosprávne orgány. Tento právny základ sa však vo väčšine prípadov bude aj tak prekrývať s právnym základom č. 3 - plnením zákonnej povinnosti, keďže orgány verejnej moci môžu konať len na základe zákona a spôsobom ustanoveným zákonom.

Ad 6) Oprávnené záujmy prevádzkovateľa alebo tretej strany

Posledným právnym základom sú oprávnené záujmy prevádzkovateľa alebo tretej strany. Ide o pomerne všeobecne vymedzený právny základ, ktorý na prvý pohľad nedáva veľmi predstavu o tom, kedy ho bude možné využiť. V praxi však podľa nášho názoru bude využívaný pomerne často, a to najmä v prípadoch, kedy na spracúvanie osobných údajov nebude možné nájsť žiadny iný z vyššie uvedených právnych základov. Typickým príkladom využitia tohto právneho základu môžu byť napr. kamerové systémy prevádzkovateľa. Bežný podnikateľ, ktorý si svoje objekty zabezpečí kamerovým systémom týmto spôsobom spracúva osobné údaje všetkých osôb, ktoré budú týmto kamerovým systémom zaznamenané (napr. zamestnanci, zákazníci, obchodní partneri, či dokonca verejnosť ak kamery snímajú aj verejné priestranstvo). Na takéto spracúvanie osobných údajov musí mať podnikateľ právny základ. Keďže zriadením kamerového systému podnikateľ neplní zákonnú povinnosť, neplní ani zmluvu s dotknutými (zaznamenávanými) osobami, nechráni životne dôležité záujmy dotknutých osôb, neplní úlohu verejného záujmu a je tiež nereálne, aby mal od všetkých dotknutých osôb poskytnutý súhlas, do úvahy prichádza jedine právny základ v podobe oprávnených záujmov prevádzkovateľa, ktorým môže byť potreba ochrany vlastného majetku pred zlodejmi či vandalmi.

Pri tomto právnom základe je však potrebné pamätať na to, že oprávnené záujmy prevádzkovateľa na spracúvanie údajov musia vždy aj reálne existovať (napr. už spomenutý záujem na ochrane majetku v prípade kamerového systému), pričom týmto spracúvaním údajov nemôže dochádzať k takým zásahom do práv a slobôd dotknutých osôb, ktoré nad záujmami prevádzkovateľa prevažujú. Ťažko by napríklad zamestnávateľ mohol tvrdiť, že jeho záujem na ochrane majetku prevažuje nad ochranou súkromia zamestnancov, pokiaľ by išlo o kamerový systém umiestnený na zamestnaneckom WC.

PRÁVNY ZÁKLAD NA SPRACOVANIE OSOBNÝCH ÚDAJOV A NOVÝ SLOVENSKÝ ZÁKON

Okrem uvedených šiestich právnych základov podľa GDPR je potrebné spomenúť ešte osobitné situácie, kedy je možné spracúvať osobné údaje bez súhlasu dotknutej osoby v zmysle nového zákona o ochrane osobných údajov.

Súčasne s GDPR (t.j. od 25.5.2018) totiž nadobudol účinnosť aj nový slovenský zákon o ochrane osobných údajov č. 18/2018 Z. z., ktorý nahradil doterajší zákon č. 122/2013 Z. z.

Nový zákon v ustanovení § 78 upravuje niekoľko osobitných situácií zákonného spracúvania osobných údajov. Zákon tým nadväzuje na úpravu obsiahnutú v kapitole IX GDPR, v zmysle ktorej môžu členské štáty vo svojich vnútroštátnych predpisoch upraviť podmienky spracúvania osobných údajoch pri niektorých osobitných situáciách.

Nový zákon o ochrane osobných údajov uvádza, že spracúvanie osobných údajov bez súhlasu dotknutej osoby je zákonné aj v nasledovných prípadoch:

A) spracúvanie nevyhnutné na akademický, umelecký alebo literárny účel,
B) spracúvanie nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami prevádzkovateľom, ktorému to vyplýva z predmetu činnosti,
C) spracúvanie formou poskytovania a zverejňovania vymedzeného druhu osobných údajov zamestnancov zo strany zamestnávateľa, ak je to nevyhnutné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby,

Ad A)  Spracúvanie nevyhnutné na akademický, umelecký alebo literárny účel

Spracúvanie osobných údajov na akademický, umelecký alebo literárny účel umožňuje, aby boli osobné údaje spracované napr. pri písaní vedeckých prác alebo knižných titulov. Takéto spracúvanie osobných údajov musí byť však vždy primerané a takýmto spracúvaním nemôže dôjsť k zásahu do práv dotknutej osoby na ochranu osobnosti alebo do práv na ochranu súkromia.

Ad B) Spracúvanie nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami prevádzkovateľom, ktorému to vyplýva z predmetu činnosti

Pri spracúvaní pre potreby informovania verejnosti má zákon na mysli spravodajstvo, ktoré by nemohlo riadne fungovať bez toho aby novinári spracúvali v nevyhnutnom rozsahu osobné údaje osôb, o ktorých v rámci spravodajstva informujú. Rovnako aj v tomto prípade si však novinári musia dať pozor, aby spracovaním osobných údajov napr. nepoškodzovali dobré meno dotknutých osôb alebo neprimerane nezasahovali do ich súkromia.

Ad C) Spracúvanie formou poskytovania a zverejňovania vymedzeného druhu osobných údajov zamestnancov zo strany zamestnávateľa, ak je to nevyhnutné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby

Pri spracúvaní osobných údajov zamestnancov zo strany zamestnávateľa má zákon na mysli bežné situácie vyplývajúce z pracovnoprávneho vzťahu medzi zamestnancom a zamestnávateľom. Ak napríklad zamestnávateľ chce poskytnúť svojím obchodným partnerom kontakt na svojho zamestnanca, ktorý u neho zabezpečuje určitú agendu, nemusí mať na to súhlas zamestnanca, keďže ide o spracúvanie osobných údajov zamestnanca nevyhnutné v súvislosti s plnením jeho pracovných povinností. Je logické, že zamestnávateľ môže určité zákonom vymedzené druhy osobných údajov poskytovať tretím osobám či zverejňovať napr. na svojom webovom sídle, ak to súvisí s pracovnou činnosťou zamestnancov.

V ďalšom článku sa pozrieme na princípy a zásady, na ktorých je po novom založená ochrana osobných údajov a ktoré musia rešpektovať všetci prevádzkovatelia pri spracúvaní akýchkoľvek osobných údajov.