V predchádzajúcom článku sme vám priblížili, čo to vlastne GDPR je, čo všetko patrí pod osobný údaj, kto je prevádzkovateľ a aké mu z tohto nariadenia vyplývajú povinnosti. Zároveň sme vás vyzvali k zmapovaniu toho, odkiaľ a akým spôsobom čerpáte osobné údaje a tiež na aký účel ich využívate. Ak sa vám táto časť podarila, poďme si spolu prejsť zákonnosť spracovania osobných údajov. Myslíte si, že je správnym riešením umiestňovať súhlas so spracovaním osobných údajov všade? GDPR vraví, že nie. Prečo to tak je?

Čo sa ukrýva pod slovným spojením „právny titul spracovania“?

Ide vlastne o podmienku, vďaka ktorej sa spracovanie osobných údajov cez váš systém stane zákonným.

Snáď najčastejšie používaným právnym titulom bol doteraz súhlas dotknutej osoby so spracovaním osobných údajov. GDPR to však poňalo z opačnej stránky, takže súhlas ako právny základ pre spracovanie osobných údajov vo firmách je už dnes poslednou možnosťou spracovania osobných údajov zákonným spôsobom. Pozrite sa s nami na prehľad iných právnych základov:

1. Plnenie zmluvy, v ktorej je zmluvnou stranou dotknutá osoba

Príklad:
Ak na webstránke prevádzkujete e-shop, je nevyhnutné, aby zákazník v objednávkovom formulári vyplnil osobné údaje. Len potom mu môže byť objednaný tovar odoslaný. Tým, že zákazník odošle objednávkový formulár, odošle zároveň návrh na uzavretie zmluvy. Potvrdenie z vašej strany zmluvu uzavrie. Podľa GDPR by takýto objednávkový formulár nemal obsahovať checkbox na udelenie súhlasu so spracovaním osobných údajov v prípade, že odošlete len objednaný tovar a newsletter s podobným tovarom. Podľa Úradu na ochranu osobných údajov by mala mať emailová adresa zákazníka double opt-in overenie. Stále totiž máte voči zákazníkovi povinnosť informovať ho o použití jeho osobných údajov. Vyplýva vám z toho povinnosť informovať zákazníka, že v tomto prípade ide o právny základ spracovania v podobe plnenia zmluvy, ale aj o tom, ktoré zo zákazníkových osobných údajov sú pre vás potrebné. Dôležitou informáciou je aj to, aké má váš zákazník práva.

2. Plnenie zákonnej povinnosti prevádzkovateľa

Príklad:
Ako zamestnávateľovi vám zo zákona vyplýva povinnosť vedenia mzdových listov zamestnancov, takže súhlas zamestnancov so spracovaním ich osobných údajov nie je potrebný. Dokonca je takéto vyžiadanie súhlasu v rozpore s GDPR. O tejto skutočnosti by ste mali informovať aspoň v zásadách spracúvania osobných údajov.

 Na základe GDPR vznikli, samozrejme, aj ďalšie právne základy spracúvania osobných údajov, a to napr.: ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby (napr. spracovanie osobných údajov v nemocniciach), či splnenie úlohy vo verejnom záujme (napr. spracovanie osobných údajov na úradoch).

3. Prevádzkovateľ a jeho oprávnený záujem

Po plnení zmluvy je hneď druhým najdôležitejším právnym základom oprávnený záujem prevádzkovateľa, a to najmä v online biznise. Je nevyhnutné zistiť, či je na spracovanie osobných údajov možné použiť váš oprávnený záujem. V prípade, že nie je možný a zvíťazil by nad ním záujem dotknutej osoby, čiže osoby, ktorej údaje sú spracúvané, musíte použiť checkbox so súhlasom dotknutej osoby.

Pod oprávneným záujmom prevádzkovateľa GDPR si môžeme predstaviť napr. aj spracovanie osobných údajov pre účely zistenia bezpečnosti siete či informačnej bezpečnosti. Znamená to, že tam patrí aj zabránenie neoprávneným prístupom, zastavenie útokom atď.

Príklad:

Ak máte databázu zákazníkov, ktorí sú odoberateľmi vašich produktov, zasielanie newslettra týmto zákazníkom je vaším oprávneným záujmom. Ich súhlas nie je potrebný. Potrebné je iba informovať zákazníkov o tomto účele použitia ich osobných údajov. Ak by ste však chceli newsletter zasielať tretím osobám, a teda ľuďom, ktorí zatiaľ nie sú vašimi zákazníkmi a zadajú e-mailovú adresu na webovej stránke, váš oprávnený záujem na účely práce s existujúcimi zákazníkmi tu už nefiguruje. V tomto prípade teda potrebujete checkbox so súhlasom na tento konkrétny účel.

4. Starý súhlas dotknutej osoby v novom šate

Súhlas, ktorý je v súlade s GDPR má byť:

 

  • na konkrétny účel, ale aj na každý účel samostatný,
  • preukázateľný (double opt-in, web logs),
  • odlíšiteľný od iných skutočností na vašej webovej stránke (napr. od objednávky),
  • kedykoľvek odvolateľný, informovaný,
  • slobodný, čiže nepodmienený – toto vylučuje automaticky začiarknuté checkboxy so súhlasom. Dôležitou vecou je, že aj v prípade, keď zákazník nezačiarkne súhlas so spracovaním newslettrov tretej strany na jeho e-mailovú adresu, napriek tomu musí mať možnosť nákupu v e-shope.

 

Je nevyhnutné zdôrazniť, že výslovnému súhlasu so spracovaním osobných údajov ostalo výsostné postavenie právneho základu pri spracovaní osobitnej kategórie osobných údajov, ktorými sú tzv. extra citlivé osobné údaje, medzi ktoré patria napr. údaje o rase, príslušnosti k etniku, politických názoroch, o sexuálnej orientácii atď.

Zdielajte!

V prípade, záujmu o naše služby stačí vyplniť kontaktný formulár

Na Vaše dotazy odpovieme IHNEĎ a so všetkým Vám radi pomôžeme.