Blog

GDPR přehledně – 2. díl: Právní tituly zpracování osobních údajů a nejčastější chyba při implementaci GDPR

Jednou ze základních zásad zpracování osobních údajů podle GDPR je zásada zákonnosti zpracování. Znamená to, že každý osobní údaj ve Vaší firmě může být zpracován jen tehdy, pokud takovému zpracování lze přiřadit některý ze šesti právních titulů definovaných v GDPR. Úpravu právních titulů pro zpracování osobních údajů považujeme za asi hlavní změnu přinášenou GDPR. Pochopení této problematiky je zcela zásadní pro to, aby Vaše činnost byla v souladu s GDPR.

Každý osobní údaj můžete zpracovávat buď
A) pokud Vám to GDPR výslovně povoluje (níže uvedených pět právních titulů, kdy je zpracování povoleno) nebo
B) ke zpracování máte souhlas subjektu údajů (šestý titul).

Kterých je tedy těch pět hlavních právních titulů, kdy můžete ten který osobní údaj zpracovávat? Vše si vysvětlíme na příkladech e-shopu jako správci osobních údajů.

1) Smlouva – zpracování je nezbytné pro plnění smlouvy.

Příklad:
E-shop prodává zákazníkovi zboží, tedy zcela jistě může zpracovávat jeho jméno, příjmení a adresu, také e-mail a telefonní číslo. To jsou údaje, které potřebuje k tomu, aby realizoval smlouvu se svým zákazníkem, mohl mu v pořádku doručit zboží a poskytnout obvyklý servis. V tomto případě není třeba mít od zákazníka souhlas ke zpracování osobních údajů. Ale pozor tento souhlas v takovém případě ani mít nelze (vysvětlíme dále)!
Je však třeba si uvědomit, že zpracování je omezeno daným účelem. Tedy e-mail zákazníka náš e-shop skutečně může zpracovávat pro účel dodání zboží, potvrzení objednávky, atd. Pokud by však chtěl zákazníkovi na e-mail zasílat akční nabídky svého zboží, nemá to již s plněním smlouvy žádnou souvislost, a takové zpracování by již vyžadovalo souhlas zákazníka.

2) Právní povinnost - zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.

Příklad:
Náš vzorový e-shop již dodal zboží zákazníkovi, obchod byl dokončen. Co tedy nyní s výše uvedenými osobními údaji zákazníka? E-shop nadále nemůže dál zpracovávat (mít uloženy) osobní údaje svého zákazníka z titulu plnění smlouvy, neboť tato smlouva již byla realizována. Přesto e-shop má řadu povinností, které mu ukládají jiné právní předpisy, které vyžadují, aby nadále disponoval osobními údaji o svých zákaznících. Typickým příkladem je plnění povinností na úseku daní a účetnictví. Zákon vyžaduje, aby e-shop archivoval své účetní doklady dle typu dokladu zpravidla buď 5 nebo 10 let. Po tuto dobu tedy bude dál zpracovávat i některé osobní údaje zákazníka jako je jméno a příjmení nebo fakturační adresa. Na druhou stranu již však pro plnění této zákonné povinnosti nepotřebuje e-mail zákazníka nebo jeho telefonní číslo.

3) Ochrana životně důležitých zájmů – zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
Tento právní titul se naprosté většiny správců a zpracovatelů nebude týkat, takže se jím blíže nemusíme zabývat.

4) Veřejný zájem – zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
Tento právní titul bude využíván spíše orgány veřejné moci, a rovněž není třeba se jím zde blíže zabývat.

5) Oprávněný zájem – zpracování je nezbytné pro účely oprávněných zájmů správce nebo třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Půjde o velmi využívaný právní titul zpracování osobních údajů, protože je nejflexibilnější, ale také bude spojen s největším rizikem. Vždy totiž bude třeba nejen prokázat skutečný oprávněný zájem správce, ale bude nutné rovněž doložit, že tento zájem má přednost před zájmy subjektů údajů. Bude tedy třeba provádět balanční testy těchto dvou zájmů.

Příklad:
Náš e-shop má svůj sklad, kde má uskladněno zboží. Tento sklad je monitorován kamerovým systémem s ukládáním záznamů (CCTV). V tomto případě stojí proti sobě jistě oprávněný zájem e-shopu na ochraně jeho majetku na straně jedné a zájmy různých osob, které se v daném skladu mohou pohybovat a být takto nahrávány na straně druhé. Může jít o zaměstnance, zástupce dodavatelů nebo třeba zákazníky, kteří si mohou přijíždět vyzvednout zboží přímo do skladu. Obhájí si e-shop, že může záznamy s těmito subjekty zpracovávat bez jejich souhlasu? Patrně ano, avšak musí splnit další povinnosti dle GDPR (uchovávat záznamy pouze omezenou dobu, transparentně označit monitorované prostory a další). Mnohem obtížnější to však bude mít takový obchodník, pokud bude chtít monitorovat kamerovým systémem například kanceláře, kde pracují jeho zaměstnanci – administrativní pracovníci.

Otázkami kamerových systémů a GDPR se budeme zabývat podrobněji ve speciálním díle našich pojednání o GDPR, kde vysvětlíme možnosti, podmínky i limity použití kamerových systémů.

Co tedy pro Vás výše uvedené znamená? V rámci přípravy na GDPR je především nezbytné definovat každý osobní údaj, který zpracováváte (o zákaznících, obchodních partnerech, zaměstnancích atd.) Co to je osobní údaj jsme si vysvětlili minule (zde). Až takto všechny osobní údaje identifikujete, je třeba vymezit účely, proč je zpracováváte a následně posoudit, zda zpracování toho kterého osobního údaje k tomu kterému účelu lze přiřadit některý z výše uvedených pěti zákonných titulů zpracování. Pokud ani jeden právní titul v některém případě nemůžete použít, pak máte jen dvě možnosti. Buď Vám udělí subjekty údajů souhlas se zpracováním těchto osobních údajů k tomuto konkrétnímu účelu (šestý titul), nebo údaje nesmíte zpracovávat. Jednalo by se o porušení GDPR, za které hrozí dosti často diskutované vysoké pokuty.


Nejčastější chybou, se kterou se setkáváme u našich klientů, je názor, že je lepší si ke všemu zajistit souhlas se zpracováním osobních údajů. Takový postup, jakkoli se může jevit na první pohled jako logický, znamená zásadní porušení GDPR a také ohrožení Vašeho dalšího zpracování. Tam, kde Vám svědčí některý z uvedených pěti titulů, nelze současně vyžadovat souhlas. Dále je třeba si uvědomit, že souhlas je dle GDPR zásadně odvolatelný!


Příklad:
E-shop veden výše uvedenou chybnou úvahou si od všech zákazníků nechá udělit souhlas se zpracováním jejich jména, příjmení a adresy k účelu realizace dodání zboží (dnes obvyklým zašrtávacím okénkem bez jehož zaškrtnutí nelze dokončit objednávku). Předně tím porušuje GDPR již proto, že toto nařízení nově zakazuje, aby plnění smlouvy bylo podmíněno udělením souhlasu (tedy nezaškrtnutí okénka se souhlasem se zpracováním osobních údajů již nesmí bránit dokončení objednávky!) Co však bude dělat v případě, že zákazník následně souhlas odvolá? Přitom smlouva je uzavřena a obchod musí dodat zboží, ale přitom již nesmí zpracovávat údaje o jméně, příjmení ani dodací adrese zákazníka, protože ten odvolal souhlas. Jedná se prekérní situaci, do které by se prodejce neměl v žádném případě dostat.


Souhlas se zpracováním osobních údajů tedy musí být využíván výlučně tam, kde zpracování nelze přiřadit žádný jiný právní titul definovaný v Článku 6 odst. 1 písm. b) až f) GDPR.

Vše výše uvedené se týká běžných osobních údajů, nikoliv speciální kategorie tzv. citlivých osobních údajů, pro které platí přísnější podmínky. Co jsou to citlivé osobní údaje najdete zde.

Kontaktujte nás

Jsme tu pro vás. Neváhejte nás kontaktovat s vašimi dotazy, připomínkami, náměty či poptávkami.

captcha

Mgr. Petr Juráň, advokát, zapsaný v seznamu advokátů vedeném Českou advokátní komorou pod ev. č. 11674, IČO: 714 66 282, adresa sídla Dvořákova 588/13, 602 00 Brno a adresa pobočky Svitavská 2383/1b, 678 01 Blansko.


Informace pro spotřebitele: Česká advokátní komora byla s účinností od února 2016 pověřena Ministerstvem průmyslu a obchodu ČR mimosoudním řešením spotřebitelských sporů pro oblast sporů mezi advokátem a spotřebitelem ze smluv o poskytování právních služeb (na základě zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů). Internetová stránka tohoto pověřeného subjektu je www.cak.cz.


© 2017 Advokátní kancelář JURÁŇ. Created by RAAi.